CISA จะเริ่ม ‘ปีแห่งการจัดการช่องโหว่’ ด้วยนโยบายการเปิดเผยภัยคุกคามที่ได้รับการปรับปรุง

CISA จะเริ่ม 'ปีแห่งการจัดการช่องโหว่' ด้วยนโยบายการเปิดเผยภัยคุกคามที่ได้รับการปรับปรุง

ตั้งแต่เริ่มก่อตั้ง Cybersecurity and Infrastructure Security Agency ได้ดำเนินแนวทางการทำงานร่วมกันซึ่งเป็นส่วนหนึ่งของภารกิจในการเป็นผู้นำความพยายามด้านความปลอดภัยทางไซเบอร์ของพลเรือนจากภายในกระทรวงความมั่นคงแห่งมาตุภูมิในฐานะส่วนหนึ่งของแนวทางดังกล่าว CISA จะเปิดคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD) เกี่ยวกับนโยบายการเปิดเผยช่องโหว่สำหรับความคิดเห็นในอีกไม่กี่เดือนข้างหน้า ซึ่งเปิดโอกาสให้หน่วยงานและพันธมิตรในอุตสาหกรรมเปรียบเทียบ

บันทึกเกี่ยวกับวิธีที่ดีที่สุดในการแบ่งปันข้อมูลภัยคุกคามอย่างปลอดภัย

นโยบายการเปิดเผยช่องโหว่ที่ได้รับการปรับปรุงจะช่วยกำหนดกระบวนการอย่างเป็นทางการสำหรับนักวิจัยและแฮ็กเกอร์ที่มีจริยธรรม ซึ่งสมัครผ่านโปรแกรมบั๊กของหน่วยงาน เพื่อให้หน่วยงานทราบล่วงหน้าเกี่ยวกับจุดอ่อนทางไซเบอร์ที่ไม่รู้จักก่อนหน้านี้ โดยไม่ต้องแจ้งเตือนผู้ไม่ประสงค์ดี

นโยบายการเปิดเผยช่องโหว่จะช่วยหนุนศูนย์จัดการความเสี่ยงแห่งชาติ DHS ยืนหยัดในปีที่แล้ว ซึ่งทำหน้าที่เป็นศูนย์กลางแบ่งปันภัยคุกคามทางไซเบอร์สำหรับรัฐบาลและภาคอุตสาหกรรม 16 แห่งที่เป็นเจ้าของโครงสร้างพื้นฐานที่สำคัญส่วนใหญ่ในสหรัฐอเมริกา

        ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม

คำสั่งที่กำลังจะมีขึ้น รวมถึงแนวทางการเปิดเผยช่องโหว่ที่กำลังจะมีขึ้นจากสำนักงานการจัดการและงบประมาณ เป็นส่วนหนึ่งของสิ่งที่ Jeanette Manfra ผู้ช่วยผู้อำนวยการด้านความปลอดภัยทางไซเบอร์ของ CISA เรียกว่าลำดับความสำคัญทั่วทั้งหน่วยงานเพื่อทำให้ปีงบประมาณ 2020 เป็น “ปีแห่งการจัดการช่องโหว่” โดยเน้นเฉพาะหน่วยงานของรัฐบาลกลาง

ในการร่างคำสั่ง Manfra กล่าวว่า CISA ได้ติดต่อกับหน่วยงาน

และบริษัทเอกชนอื่นๆ ที่มีนโยบายเกี่ยวกับช่องโหว่อยู่แล้ว เพื่อรับฟังบทเรียนบางส่วนที่พวกเขาได้เรียนรู้“เราไม่เคยทำสิ่งนี้มาก่อน แต่เราพบว่าในการพัฒนาแนวทางทั้งหมดของเรา เราพบคุณค่ามากมายจากผู้เชี่ยวชาญนอกภาครัฐ ในการให้ข้อเสนอแนะเกี่ยวกับสิ่งที่ควรมุ่งเน้น วิธีการมุ่งเน้น และเราต้องการจับภาพนั้นจริงๆ” Manfra กล่าวเมื่อวันพฤหัสบดีที่การประชุม CyberNext DC ของ Cybersecurity Coalition

Chris Krebs ผู้อำนวยการ CISA กล่าวว่าเมื่อสภาคองเกรสสร้างหน่วยงานจาก National Protection and Programs Directorate (NPPD) ฝ่ายนิติบัญญัติเห็นความจำเป็นในการมีผู้ประสานงานด้านไซเบอร์ทั่วทั้งรัฐบาล แต่เขาเสริมว่าบทบาทดังกล่าวยังคงต้องการความร่วมมือกับพันธมิตรหน่วยงานและตอบสนองต่อ “สัญญาณความต้องการ” จากอุตสาหกรรม

“ต้องขึ้นอยู่กับความต้องการ ไม่ใช่สิ่งที่เราคิดว่าจำเป็น … อะไรคือคำถามเชิงนโยบายที่ต้องตอบว่าเรามีส่วนร่วมและไม่แทนที่ตลาด ไม่ขับไล่องค์กรภาคเอกชนออกจากธุรกิจหรือทำลายองค์กร รูปแบบธุรกิจ” Krebs กล่าว “เราจะเสริมเติมแต่งตามความสามารถที่แตกต่างและไม่เหมือนใครภายในรัฐบาลกลางได้อย่างไร”

กระทรวงกลาโหมและหน่วยงานทางทหารได้เปิดตัวโปรแกรมรางวัลบั๊กในช่วงไม่กี่ปีที่ผ่านมา แต่หน่วยงานพลเรือนได้เห็นการเปิดตัวที่ช้าลง General Services Administration เปิดตัวโปรแกรม Bug Bountyในปี 2560 และสมาชิกสภาคองเกรสได้พยายามให้หน่วยงานอื่น ๆ เข้าสู่การปฏิบัติ

พระราชบัญญัติการเสริมสร้างความเข้มแข็งและการเพิ่มความสามารถทางไซเบอร์โดยใช้ความเสี่ยง(SECURE)ประธานาธิบดีโดนัลด์ ทรัมป์ลงนามในกฎหมายเมื่อปีที่แล้วกำหนดให้ DHS กำหนดนโยบายการเปิดเผยช่องโหว่ด้านความปลอดภัยและตั้งค่าโปรแกรมรางวัลบั๊กสำหรับหน่วยงาน

การเรียกเก็บเงินที่คล้ายกันซึ่งนำเสนอโดย Sen. Cory Gardner (R-Colo.) ในปีนี้จะจัดตั้งโปรแกรมรางวัลบั๊กที่กระทรวงการต่างประเทศการกำหนดนโยบายการเปิดเผยช่องโหว่ที่สอดคล้องกันอาจช่วยให้ความพยายามในการกำจัดข้อบกพร่องในอนาคตหมดไป แต่ Manfra กล่าวว่าหน่วยงานต่างๆ ต้องการมากกว่าแค่ข้อมูลเชิงลึกเกี่ยวกับปัญหา

“สิ่งหนึ่งที่เราได้เรียนรู้คือสิ่งสำคัญมากที่ผู้คนมีทรัพยากรที่จะทำอะไรก็ตามที่ค้นพบ และเราค่อนข้างมั่นใจว่าสิ่งเหล่านี้ที่จะถูกค้นพบจะแก้ไขได้ไม่ยาก” เธอกล่าว

Manfra กล่าวว่า CISA ได้พิจารณาถึงการรวมศูนย์การจัดการเว็บไซต์ด้วยโดเมน “.gov” โดยอ้างถึงภัยคุกคามที่กำลังทำงานอยู่เพื่อขัดขวางหรือแย่งชิงทราฟฟิกเว็บของหน่วยงานรัฐบาลกลาง และเพิ่มฟีเจอร์ความปลอดภัยใหม่ๆ

“วิธีที่รัฐบาลกลางจัดการโดเมนนั้นค่อนข้างซับซ้อน — อาจจะมากเกินไป” Manfra กล่าว “เราคิดว่าเราสามารถลดการลงทุนด้านทรัพยากรบางอย่างที่เอเจนซีต้องทำทีละอย่างได้”

Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์