零日故事披露:可租研究者阅读建议成功经验
Tenable零日研究团队真实生活发现和披露故事提供指南,可用以改进组织政策
想象一种状况 即你发现错误或危险向责任人报告, 并期望得到正面响应, 并假设它会固定网络安全并没那么直截了当
发现和披露漏洞概念是网络安全正常运行周期的一个主要部分。发现和披露漏洞过程一直是标准过程,将研究人员和供应商聚到一起确认发现之处,并确保缺陷固定化并更好地保护用户
听似简单在大多数情况下,它很容易实现,但是仍然有太多实例显示圆不完全,销售商和研究者无法找到连接点。
微信代理商等设施和服务近些年来帮助研究者工作,但零日调查者仍有责任通知公司它们的漏洞
Tenable零日研究团队新白纸详解各种脆弱案例挑战经验从团队过去几年的经验看,故事中包括供应商抗药性实例,例如:
- 由其他商家提出的脆弱度未经证明或不在范围内的要求;
- 通知商公开敌视研究者并
- 通知商在整个披露过程越来越怀有敌意
无人想接受零日漏洞通知,因为这可以让开发者安全团队进行防守,而无助于帮助任何人解决问题。
常时研究者争取正确人向弱点报告分歧往往会因披露政策、过程和时间而产生白皮书讨论了这些挑战和其他挑战如何延缓进程,有可能使组织暴露于无源漏洞,并提出了各组织改善与零日研究人员工作关系的方法建议
Tenable零日研究团队 每一次安全漏洞披露 都自身独有冒险本文举例说明脆弱度披露不为接受者所欢迎,冲突发生和原因发生,以及组织能做些什么来更好地与研究者协作
学习更多 :
相关文章
焦点墨西哥:新工作世界需要新网络安全思维集
2021年9月22日拥抱墨西哥混合远程工作新世界开通了新网路风险和无控网络风险之门这是你需要知道的广度完全转换方式 多数Organiz
沙特阿拉伯王国焦点:新工作世界引入风险攻击者可使用
2021年9月22日沙特阿拉伯组织采用了一个新的工作世界,许多组织计划使混合远程工作模型永久化。以下是这些变化增加风险的方式过渡t
可租网表:CISA敦促网络队准备量子攻击、Ransomware攻击暴增
九九四二三本周网络观察解包量子计算机新威胁建议安全团队应采行并解决赎金软件攻击激增问题白宫和其他网络机构寻找公众投入 如何最安全开源软件
网络安全快照:Crub your Enthusiasm超聊天GPT类型工具
九一二三OpenAI发布CatGPT企业时, 英国网络机构警告职场使用AI聊天机的风险并发QakBatbotnet拆台,但恶意威胁仍然存在-ISA建议你做什么新的抗量算法明年到期And much more!
CVE-2023-2868:Barracuda和FBI建议立即替换邮箱安全网关设备
8月30日CVE2023-2868:Barracuda和FB建议立即替换Email安全网关设备 自2022年10月以来攻击者一直在利用BarracudaEm零日漏洞
- 报表
- 威胁情报
- 威胁管理