- 13,852
- 20
- 8 Ноя 2022
Пентестеры теперь могут обнаруживать уязвимости без страха быть обвинёнными во взломе.
Коалиция компаний и организаций в сфере кибербезопасности обнародовала несколько инициатив, призванных побудить этичных хакеров обнаруживать и раскрывать уязвимости и защищать их от юридических проблем, если они это сделают.
Google вместе с различными ИБ-компаниями объявили о создании фонда правовой защиты для поддержки исследователей кибербезопасности и пентестеров, а также группы защиты интересов Hacking Policy Council, которая будет лоббировать разумные правила раскрытия информации об уязвимостях.
Эрик Гольдштейн, исполнительный помощник директора по кибербезопасности в CISA, заявил, что «существует только 2 варианта» для любой уязвимости: её найдёт либо добросовестный, либо недобросовестный исследователь.
«Сегодня во многих случаях уязвимости попадают в руки недобросовестных специалистов. На данный момент такие специалисты обладают полной свободой действий, а у этичных хакеров присутствует слишком много барьеров, страхов и сдерживающих факторов. Мы должны изменить это», - отметил Гольдштейн.
<span style="font-size: 13pt;">Фонд правовой защиты</span>
Для просмотра ссылки Войдиили Зарегистрируйся будет управляться некоммерческим Центром политики и права в области кибербезопасности с помощью начального финансирования от Google. Центр будет предоставлять юридические консультации исследователям кибербезопасности и пентестерам, которые «несправедливо преследуются за обнаружение уязвимостей или взломы».
Авторы предложения также отметили, что компании, у которых есть программы вознаграждения за ошибки ( Bug Bounty ), иногда вынуждают исследователей ждать продолжительные периоды времени, прежде чем разрешить им публично раскрывать проблемы. Это часто используется как способ купить «молчание» вместо того, чтобы заплатить специалистам вознаграждение.
<span style="font-size: 13pt;">Совет по политике взлома</span>
Google совместно с несколькими ИБ-компаниями основали группу Hacking Policy Council, которая будет обеспечивать, чтобы новые политики и правила поддерживали лучшие практики управления уязвимостями и их раскрытия. Среди членов-основателей группы находятся HackerOne, Bugcrowd, Intel , Intigriti и Luta Security.
«Совет стремится отстаивать результаты политик, которые наилучшим образом обеспечат обнаружение и раскрытие уязвимостей, а также защитят хакеров, работающих над повышением безопасности продуктов и систем, которые мы все используем», — сказала Илона Коэн, главный специалист по политике и правовым вопросам HackerOne.
Генеральный директор BugCrowd Дэйв Джерри добавил, что более совершенные методы отчетности об уязвимостях помогут защитить потребителей, предприятия и общество, повысив вероятность того, что недостатки будут устранены до того, как ими воспользуются злоумышленники.
Коалиция компаний и организаций в сфере кибербезопасности обнародовала несколько инициатив, призванных побудить этичных хакеров обнаруживать и раскрывать уязвимости и защищать их от юридических проблем, если они это сделают.
Google вместе с различными ИБ-компаниями объявили о создании фонда правовой защиты для поддержки исследователей кибербезопасности и пентестеров, а также группы защиты интересов Hacking Policy Council, которая будет лоббировать разумные правила раскрытия информации об уязвимостях.
Эрик Гольдштейн, исполнительный помощник директора по кибербезопасности в CISA, заявил, что «существует только 2 варианта» для любой уязвимости: её найдёт либо добросовестный, либо недобросовестный исследователь.
«Сегодня во многих случаях уязвимости попадают в руки недобросовестных специалистов. На данный момент такие специалисты обладают полной свободой действий, а у этичных хакеров присутствует слишком много барьеров, страхов и сдерживающих факторов. Мы должны изменить это», - отметил Гольдштейн.
<span style="font-size: 13pt;">Фонд правовой защиты</span>
Для просмотра ссылки Войди
Авторы предложения также отметили, что компании, у которых есть программы вознаграждения за ошибки ( Bug Bounty ), иногда вынуждают исследователей ждать продолжительные периоды времени, прежде чем разрешить им публично раскрывать проблемы. Это часто используется как способ купить «молчание» вместо того, чтобы заплатить специалистам вознаграждение.
<span style="font-size: 13pt;">Совет по политике взлома</span>
Google совместно с несколькими ИБ-компаниями основали группу Hacking Policy Council, которая будет обеспечивать, чтобы новые политики и правила поддерживали лучшие практики управления уязвимостями и их раскрытия. Среди членов-основателей группы находятся HackerOne, Bugcrowd, Intel , Intigriti и Luta Security.
«Совет стремится отстаивать результаты политик, которые наилучшим образом обеспечат обнаружение и раскрытие уязвимостей, а также защитят хакеров, работающих над повышением безопасности продуктов и систем, которые мы все используем», — сказала Илона Коэн, главный специалист по политике и правовым вопросам HackerOne.
Генеральный директор BugCrowd Дэйв Джерри добавил, что более совершенные методы отчетности об уязвимостях помогут защитить потребителей, предприятия и общество, повысив вероятность того, что недостатки будут устранены до того, как ими воспользуются злоумышленники.
- Источник новости
- www.securitylab.ru
