cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > cc防御 > 本文内容

防御cc攻击_备案_游戏服务器防御cc

发布时间:2021-02-24 12:02源自:51首防安全作者:51首防安全阅读()

防御cc攻击_备案_游戏服务器防御cc

当网络安全研究人员发现产品软件中存在缺陷时,研究人员向软件制造商披露缺陷的最佳方式是什么?软件供应商应该如何接受和回应研究人员的披露?随着越来越多的软件产品——以及它们所携带的网络安全漏洞——进入市场,彩云美国高防cdn,这些问题变得越来越重要。但需要更多的数据来说明这些问题在实践中是如何处理的。今天,我们帮助发布了一份研究报告[PDF],该报告调查了对漏洞披露和处理的态度和方法。该报告是两项调查的结果,一项针对安全研究人员,另一项针对技术提供商和运营商,作为国家电信和信息管理局(NTIA)"多利益相关者进程"的一部分发起的。该过程分为三个工作组:一个工作组侧重于为多方复杂的披露情景制定规范/最佳做法;一个工作组侧重于建立与"网络安全"问题有关的最佳做法和披露指南,另一个工作组侧重于提高人们对脆弱性披露的认识和采用以及处理最佳做法。正是最后一个小组,即"意识和采纳工作组"设计并发布了这些调查,以了解研究人员和技术提供商今天在这一主题上做了什么,以及为什么。Rapid7——以及其他几家公司、组织和个人——参与了这个项目(完全公开,我是工作组的联合主席),这是我们持续关注的一部分,支持安全研究,促进安全社区和技术制造商之间的合作。这些调查于4月发布,调查了人们对脆弱性披露最佳做法的认识和采用情况。当时我在博客中谈到了为什么这些调查很重要:简而言之,虽然漏洞披露这个话题并不新鲜,但推荐实践的采用率仍然被认为相对较低。研究人员与技术提供商/运营商之间的关系往往是敌对的,由于缺乏相互理解而产生摩擦。这些调查旨在揭示这些看法是否被夸大、过时,或者真正表明了正在发生的事情。在后一种情况下,ddos基础防御怎样开通,我们想了解驾驶行为的需求或关注点。调查问题集中在过去或现在报告或应对网络安全漏洞的行为,以及有效或可以改进的流程。一个简单的说明-我们的研究工作有点不完美,因为,cdnddos防御,正如我的数据科学家朋友鲍勃·鲁迪斯喜欢告诉我的那样,我们有效地调查了互联网(对不起鲍勃!)。这确实是我们可以选择的唯一务实的选择;然而,这确实导致了参加调查的人存在一定程度的选择偏差。我们做了大量努力,尽可能广泛地推广调查,特别是通过垂直部门联盟和信息共享小组,但我们预计受访者可能在过去曾以某种方式处理过脆弱性披露问题。尽管如此,我们相信这些数据是有价值的,我们对回复的数量和质量感到满意。对供应商调查有285份答复,对研究人员调查有414份答复。请在此处查看信息图[PDF]。主要发现研究人员调查绝大多数研究人员(92%)一般都会进行某种形式的协同脆弱性披露。当他们走上另一条路(例如,公开披露)时,通常是因为失望的期望,主要是围绕沟通。60%的研究人员认为,威胁采取法律行动是他们可能不会与供应商合作的原因之一。只有15%的研究人员希望得到奖励,多ip防御ddos,以换取信息披露,但70%的研究人员希望定期交流有关该缺陷的信息。供应商调查供应商的答复一般可分为"较成熟"和"不成熟"两类。大多数较成熟的供应商(60%到80%)使用了调查中描述的所有流程。大多数"更成熟"的技术提供商和运营商(76%)都在内部开发漏洞处理程序,而较少的比例则关注同行或国际标准以寻求指导。更成熟的供应商报告说,企业责任感或客户的愿望是他们制定披露政策的原因。只有三分之一的被调查公司考虑和/或要求供应商有自己的漏洞处理程序。以数据为基础创造更美好的未来随着物联网的兴起,我们看到了前所未有的技术复杂性和连通性,在我们生活的各个新领域带来了网络安全风险。采用强有力的机制来识别和报告漏洞,并为研究人员和技术提供商/运营商之间的合作建立富有成效的模型,从来没有如此重要。我们希望,这些数据能够帮助指导今后的努力,以提高认识和采纳建议的披露和处理做法。我们已经看到了漏洞披露领域的一些非常重要的进展,例如,安全研究的DMCA豁免;FDA上市后指南;以及NHTSA提议的漏洞披露指南。此外,在过去一年中,我们看到国防、航空、汽车和医疗设备制造和运营领域的知名公司都推出了引人注目的漏洞披露和处理计划。这些步骤表明,人们对披露脆弱性的价值的认识和认识提高了,每一步都为更广泛地采用最佳做法铺平了道路。调查数据本身在这方面提供了一个有希望的信息——许多答卷人表示,他们清楚地理解和理解以协调方式披露和处理脆弱性的好处。重要的是,研究人员和更成熟的技术提供商都表示愿意投入时间和资源进行合作,专业防御ddos,以便为技术消费者创造更积极的成果。然而,还有一段路要走。数据还表明,在一定程度上,研究人员与技术提供商/运营商之间仍然存在认知和沟通方面的挑战,其中最令人担忧的是60%的研究人员表示担心法律威胁。针对这些挑战,报告建议:"改善研究人员和供应商之间沟通的努力应该鼓励更协调的披露,而不是直接向公众披露。消除法律障碍,无论是通过修改法律或明确的漏洞处理政策,以保护研究人员,也可以帮助。应敦促成熟公司和不太成熟的公司研究外部标准,如ISOs,进一步解释在软件开发生命周期中通过实施漏洞处理过程节省的成本可能有助于这样做。"底线是,需要做更多的工作来推动漏洞披露和处理最佳实践的持续采用。如果你是协调披露的倡导者,那太好了!–继续传播信息。如果你以前没有考虑过,现在是开始调查的最佳时机。ISO29147是一个很好的起点,或者看看国防部或强生公司的一些示例政策。如果您有任何问题,可以在这里的评论或联系rapid7[dot]com社区。最后,我要感谢每一位为调查和结果数据分析提供意见和反馈的人——你们当中有很多人,你们中的许多人都非常慷慨。我还要感谢所有填写调查的人——感谢你们让我们了解了你们的经历和期望。~@infosecjen公司

欢迎分享转载→ 防御cc攻击_备案_游戏服务器防御cc

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -