Армии США нужна своя программа по поиску брешей

Армии США нужна своя программа по поиску брешей

Существующая система кибербезопасности не позволяет исследователям эффективно выполнять свою работу.

image

Как сообщает издание Cyber Defense Review, представители вооруженных сил США считают необходимым разработку собственной системы по идентификации и устранению уязвимостей в ПО, а также выплате вознаграждений обнаружившим их исследователям. В настоящее время процедура идентификации и устранения брешей в военном ПО значительно осложнена, поскольку в IT-инфраструктуре армии США отсутствуют ряд ключевых систем.

Армия США не использует централизованную систему управления обновлениями, а также запрещает проводить пен-тестирование в связи с повышенной секретностью. Как гражданские, так и военные исследователи могут столкнуться с серьезными затруднениями при поиске брешей.

Обнаруживший уязвимости персонал сталкивается с проблемами даже на самом первом этапе процедуры ответственного разглашения информации о бреши. Информация о разработчиках уязвимого продукта не всегда доступна, и сам производитель в некоторых случаях может неверно истолковать полученные от исследователей данные, расценив их как угрозу контракту с вооруженными силами США. В большинстве случаев уязвимости в ПО, используемом армией США, остаются неразглашенными.

Исследователи могут столкнуться с проблемами с законом. Их могут лишить допуска к системам безопасности или даже заставить предстать перед трибуналом в соответствии с уставом армии США. В большинстве случаев именно так и происходит.

Эксперты призывают создать специальную систему по обнаружению и исправлению уязвимостей, предназначенную специально для военных. Специалисты уже разработали концепт программы Army Vulnerability Response Program (AVRP), спроектированной специально с учетом нужд представителей вооруженных сил. В рамках AVRP исследователи смогут сообщать об обнаруженных ими уязвимостях, а военные – вознаграждать специалистов за их работу.

Изначально проект будет закрытым, и принять в нем участие сможет лишь персонал Министерства обороны США. Тем не менее, AVRP предусматривает привлечение к процессу поиска уязвимостей гражданских.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle