Успехи платформы Уведомления об уязвимостях (VDP) CISA в 2023 году
КибербезопасностьОтчеты

Успехи платформы уведомления об уязвимостях (VDP) CISA в 2023 году

Агентство по кибербезопасности и защите инфраструктуры (CISA) опубликовало годовой отчет о платформе Vulnerability Disclosure Policy (VDP) за 2023 год, который демонстрирует значительные успехи в обеспечении кибербезопасности федеральных агентств США. В течение второго полного года работы платформа VDP продолжала расширять свое влияние, поддерживая федеральные гражданские исполнительные органы (FCEB) в выявлении и устранении уязвимостей в их системах.

Основные достижения 2023 года

В 2023 году платформа VDP обработала более 7,000 заявок, что в общей сложности составило более 12,000 с момента ее запуска в 2021 году. Из них более 2,400 уникальных уязвимостей были признаны действительными, и почти 2,000 из них были устранены. Важным аспектом работы платформы является участие более 3,200 исследователей в области безопасности, которые активно содействуют выявлению уязвимостей.

Вклад исследователей общественной безопасности

Исследователи общественной безопасности играют ключевую роль в обеспечении безопасности сетей федерального правительства. В 2020 году CISA выпустила Обязательную к исполнению Оперативную директиву (BOD) 20-01, требующую от каждого агентства FCEB создания VDP. Эти политики следуют лучшим практикам, включая разрешение на участие исследователей и обязательство не возбуждать судебных исков за добросовестные исследования.

Ведущие классы уязвимостей

В 2023 году через платформу VDP были выявлены наиболее критические классы уязвимостей, многие из которых соответствуют списку OWASP Top Ten. Эти уязвимости представляют собой наиболее распространенные ошибки в программном обеспечении, обнаруженные в интернет-системах агентств, участвующих в платформе.

Экономия времени и средств

Платформа VDP значительно сокращает затраты и время, необходимые агентствам для управления уязвимостями. Участвующие агентства в среднем обрабатывают заявки на два дня быстрее, чем не участвующие, что позволило сэкономить около 4.45 миллионов долларов на потенциальных затратах на устранение критических и серьезных уязвимостей.

Поддержка программ Bug Bounty

Платформа VDP также поддерживает программы Bug Bounty, которые предоставляют финансовые стимулы для исследователей, чтобы они искали уязвимости в системах. В 2023 году платформа поддержала запуск программ Bug Bounty для двух агентств, что стало важным шагом в укреплении процессов раскрытия уязвимостей.

Заключение

Платформа VDP CISA установила стандарт управления уязвимостями для федерального правительства. По мере того как все больше агентств подключаются к платформе, количество выявленных и устраненных уязвимостей продолжает расти, что способствует более безопасной федеральной среде. CISA продолжает расширять свое сотрудничество с сообществом исследователей, что способствует улучшению кибербезопасности на всех уровнях государственного управления и критической инфраструктуры.

Таким образом, платформа VDP CISA не только укрепляет безопасность федеральных агентств, но и служит моделью для краудсорсинговых решений в области кибербезопасности, которые могут быть применены в различных организациях и секторах.

admin
Author: admin

Hi, I’m admin

Добавить комментарий