零日故事披露:可租研究者阅读建议成功经验
![](http://www.yyueer.com/sites/default/files/images/articles/AdobeStock_457358220.jpeg)
Tenable零日研究团队真实生活发现和披露故事提供指南,可用以改进组织政策
想象一种状况 即你发现错误或危险向责任人报告, 并期望得到正面响应, 并假设它会固定网络安全并没那么直截了当
发现和披露漏洞概念是网络安全正常运行周期的一个主要部分。发现和披露漏洞过程一直是标准过程,将研究人员和供应商聚到一起确认发现之处,并确保缺陷固定化并更好地保护用户
听似简单在大多数情况下,它很容易实现,但是仍然有太多实例显示圆不完全,销售商和研究者无法找到连接点。
微信代理商等设施和服务近些年来帮助研究者工作,但零日调查者仍有责任通知公司它们的漏洞
Tenable零日研究团队新白纸详解各种脆弱案例挑战经验从团队过去几年的经验看,故事中包括供应商抗药性实例,例如:
- 由其他商家提出的脆弱度未经证明或不在范围内的要求;
- 通知商公开敌视研究者并
- 通知商在整个披露过程越来越怀有敌意
无人想接受零日漏洞通知,因为这可以让开发者安全团队进行防守,而无助于帮助任何人解决问题。
常时研究者争取正确人向弱点报告分歧往往会因披露政策、过程和时间而产生白皮书讨论了这些挑战和其他挑战如何延缓进程,有可能使组织暴露于无源漏洞,并提出了各组织改善与零日研究人员工作关系的方法建议
Tenable零日研究团队 每一次安全漏洞披露 都自身独有冒险本文举例说明脆弱度披露不为接受者所欢迎,冲突发生和原因发生,以及组织能做些什么来更好地与研究者协作
学习更多 :
相关文章
- 报表
- 威胁情报
- 威胁管理