Борцы за компьютерную безопасность из подразделения HP TippingPoint будут публиковать уязвимости в софте через 6 месяцев после того, как был проинформирован его производитель. Эта мера должна мотивировать вендоров внимательнее относиться к безопасности собственных продуктов.
Приобретение компании 3Com позволило HP сосредоточить в своем активе полный набор продуктов для сетевой инфраструктуры. Но кроме того, в наших рядах появились очень интересные люди из подразделения HP TippingPoint, которые вот уже 4 года подряд успешнее всех на рынке борятся за безопасность вычислительных сетей (по версии Gartner).
Одно из интересных творений этих ребят — программа Zero Day Initiative (ZDI), в рамках которой TippingPoint покупает уязвимости у сторонных специалистов. Google и Mozilla платят за найденные в их браузерах уязвимости — об этом теперь знает каждый. Но ZDI делает это уже 5 лет, причем здесь вы можете «продать» уязвимость в любом софте, участвовать в накопительной бонусной программе и в итоге зарабатывать очень серьезные деньги.
Программа ZDI и масштаб самой TippingPoint позволяют ей содержать очень актуальную базу текущих уязвимостей. И в отличие от многих других компаний, работающих на ниве сетевой безопасности, TippingPoint сообщала обо всех найденных дырах производителям соответствующего ПО, а не только своим платным клиентам. Производители, в свою очередь, сами устанавливали время, нужное им для исправления бага.
«В целом, такая стратегия хорошо работала как для вендора, так и для нас и, конечно же, для наших клиентов», говорит Аарон Портной (Aaron Portnoy), глава исследовательской команды в TippingPoint. Но со временем скорость выявления новых уязвимостей растет, а скорость реакции вендоров на них остается постоянной. Сейчас TippingPoint готов опубликовать информацию о 31 критической уязвимости, которые были найдены участниками ZDI более года назад. Конечные пользователи, таким образом, в течение очень долгого времени остаются незащищенными.
Чтобы исправить эту ситуацию, TippingPoint будет публиковать уязвимости через 6 месяцев после того, как они были обнаружены в ZDI и вендор был проинформирован. Если по истечению этого срока производитель ПО не реагирует на репорт TippingPoint или не в состоянии исправить уязвимость, о ней будет опубликован краткий отчет, который подскажет пользователям, где им нужно усилить меры безопасности.
Конечно, если производителю ПО потребуется больше времени на исправления бага и он скажет об этом TippingPoint, срок будет сдвинут. Но в этом случае, как только дыра будет закрыта, TippingPoint будет публиковать содержание переписки с вендором. «Мы надеемся, что такой уровень прозрачности нашего процесса позволит обществу лучше понимать проблемы, с которыми сталкиваются вендоры», пишет Портной в своем блоге.
Приобретение компании 3Com позволило HP сосредоточить в своем активе полный набор продуктов для сетевой инфраструктуры. Но кроме того, в наших рядах появились очень интересные люди из подразделения HP TippingPoint, которые вот уже 4 года подряд успешнее всех на рынке борятся за безопасность вычислительных сетей (по версии Gartner).Одно из интересных творений этих ребят — программа Zero Day Initiative (ZDI), в рамках которой TippingPoint покупает уязвимости у сторонных специалистов. Google и Mozilla платят за найденные в их браузерах уязвимости — об этом теперь знает каждый. Но ZDI делает это уже 5 лет, причем здесь вы можете «продать» уязвимость в любом софте, участвовать в накопительной бонусной программе и в итоге зарабатывать очень серьезные деньги.
Программа ZDI и масштаб самой TippingPoint позволяют ей содержать очень актуальную базу текущих уязвимостей. И в отличие от многих других компаний, работающих на ниве сетевой безопасности, TippingPoint сообщала обо всех найденных дырах производителям соответствующего ПО, а не только своим платным клиентам. Производители, в свою очередь, сами устанавливали время, нужное им для исправления бага.
«В целом, такая стратегия хорошо работала как для вендора, так и для нас и, конечно же, для наших клиентов», говорит Аарон Портной (Aaron Portnoy), глава исследовательской команды в TippingPoint. Но со временем скорость выявления новых уязвимостей растет, а скорость реакции вендоров на них остается постоянной. Сейчас TippingPoint готов опубликовать информацию о 31 критической уязвимости, которые были найдены участниками ZDI более года назад. Конечные пользователи, таким образом, в течение очень долгого времени остаются незащищенными.
Чтобы исправить эту ситуацию, TippingPoint будет публиковать уязвимости через 6 месяцев после того, как они были обнаружены в ZDI и вендор был проинформирован. Если по истечению этого срока производитель ПО не реагирует на репорт TippingPoint или не в состоянии исправить уязвимость, о ней будет опубликован краткий отчет, который подскажет пользователям, где им нужно усилить меры безопасности.
Конечно, если производителю ПО потребуется больше времени на исправления бага и он скажет об этом TippingPoint, срок будет сдвинут. Но в этом случае, как только дыра будет закрыта, TippingPoint будет публиковать содержание переписки с вендором. «Мы надеемся, что такой уровень прозрачности нашего процесса позволит обществу лучше понимать проблемы, с которыми сталкиваются вендоры», пишет Портной в своем блоге.
