Агентство по кибербезопасности и защите инфраструктуры (CISA) опубликовало годовой отчет о платформе Vulnerability Disclosure Policy (VDP) за 2023 год, который демонстрирует значительные успехи в обеспечении кибербезопасности федеральных агентств США. В течение второго полного года работы платформа VDP продолжала расширять свое влияние, поддерживая федеральные гражданские исполнительные органы (FCEB) в выявлении и устранении уязвимостей в их системах.
Основные достижения 2023 года
В 2023 году платформа VDP обработала более 7,000 заявок, что в общей сложности составило более 12,000 с момента ее запуска в 2021 году. Из них более 2,400 уникальных уязвимостей были признаны действительными, и почти 2,000 из них были устранены. Важным аспектом работы платформы является участие более 3,200 исследователей в области безопасности, которые активно содействуют выявлению уязвимостей.
Вклад исследователей общественной безопасности
Исследователи общественной безопасности играют ключевую роль в обеспечении безопасности сетей федерального правительства. В 2020 году CISA выпустила Обязательную к исполнению Оперативную директиву (BOD) 20-01, требующую от каждого агентства FCEB создания VDP. Эти политики следуют лучшим практикам, включая разрешение на участие исследователей и обязательство не возбуждать судебных исков за добросовестные исследования.
Ведущие классы уязвимостей
В 2023 году через платформу VDP были выявлены наиболее критические классы уязвимостей, многие из которых соответствуют списку OWASP Top Ten. Эти уязвимости представляют собой наиболее распространенные ошибки в программном обеспечении, обнаруженные в интернет-системах агентств, участвующих в платформе.
Экономия времени и средств
Платформа VDP значительно сокращает затраты и время, необходимые агентствам для управления уязвимостями. Участвующие агентства в среднем обрабатывают заявки на два дня быстрее, чем не участвующие, что позволило сэкономить около 4.45 миллионов долларов на потенциальных затратах на устранение критических и серьезных уязвимостей.
Поддержка программ Bug Bounty
Платформа VDP также поддерживает программы Bug Bounty, которые предоставляют финансовые стимулы для исследователей, чтобы они искали уязвимости в системах. В 2023 году платформа поддержала запуск программ Bug Bounty для двух агентств, что стало важным шагом в укреплении процессов раскрытия уязвимостей.
Заключение
Платформа VDP CISA установила стандарт управления уязвимостями для федерального правительства. По мере того как все больше агентств подключаются к платформе, количество выявленных и устраненных уязвимостей продолжает расти, что способствует более безопасной федеральной среде. CISA продолжает расширять свое сотрудничество с сообществом исследователей, что способствует улучшению кибербезопасности на всех уровнях государственного управления и критической инфраструктуры.
Таким образом, платформа VDP CISA не только укрепляет безопасность федеральных агентств, но и служит моделью для краудсорсинговых решений в области кибербезопасности, которые могут быть применены в различных организациях и секторах.
Author: admin
Related Posts
Полный отчет по G2 Fall 2024 Grid Report для Security Orchestration, Automation, and Response (SOAR)
Обзор отчета Microsoft Digital Defense Report 2024
