¿Su organización tiene un archivo Stability.txt? – Krebs sobre seguridad


Sucede todo el tiempo: las organizaciones son pirateadas porque no existe una forma obvia para que los investigadores de seguridad les informen sobre las vulnerabilidades de seguridad o las fugas de datos. O tal vez no está del todo claro quién debería recibir el informe cuando se vende el acceso remoto a la crimson interna de una organización en la clandestinidad del ciberdelito.

En un intento por minimizar estos escenarios, un número creciente de empresas importantes están adoptando «Stability.txt, ”Un nuevo estándar de World wide web propuesto que ayuda a las organizaciones a describir sus preferencias y prácticas de divulgación de vulnerabilidades.

Un ejemplo de un archivo protection.txt. Imagen: Securitytxt.org.

La thought detrás de Protection.txt es sencilla: la organización coloca un archivo llamado security.txt en un lugar predecible, como instance.com/stability.txt o illustration.com/.perfectly-recognized/safety.txt. El contenido del archivo protection.txt varía un poco, pero la mayoría incluye enlaces a información sobre las políticas de divulgación de vulnerabilidades de la entidad y una dirección de correo electrónico de contacto.

los archivo safety.txt puesto a disposición por USAA, por ejemplo, incluye enlaces a su programa de recompensas por errores una dirección de correo electrónico para divulgar asuntos relacionados con la seguridad su clave pública de cifrado y política de divulgación de vulnerabilidades e incluso un enlace a una página donde USAA agradece a los investigadores que han informado importantes problemas de ciberseguridad.

Otras divulgaciones de stability.txt son menos detalladas, como en el caso de HCA Health care, cuales liza una dirección de correo electrónico de contacto y un enlace a las políticas de «divulgación responsable» de HCA. Al igual que USAA y muchas otras organizaciones que han publicado archivos stability.txt, HCA Health care también incluye un enlace a información sobre las vacantes de trabajo de seguridad de TI en la empresa.

Tener un archivo stability.txt puede facilitar que las organizaciones respondan a las amenazas de seguridad activas. Por ejemplo, esta mañana, una fuente confiable me envió las credenciales de VPN de un importante minorista de ropa que fueron robadas por malware y se pusieron a disposición de los ciberdelincuentes. No encontrar ningún archivo protection.txt en el sitio del minorista usando gotsecuritytxt.com (que comprueba la presencia de este archivo de contacto en un dominio), KrebsonSecurity envió una alerta a su dirección de correo electrónico «seguridad @» para el dominio del minorista.

Muchas organizaciones han utilizado extraoficialmente (si no se anuncia) durante mucho tiempo la dirección de correo electrónico security @[companydomain] aceptar informes sobre incidentes de seguridad o vulnerabilidades. Quizás este minorista en specific también lo hizo en un momento dado, sin embargo, mi mensaje fue devuelto con una nota que decía que el correo electrónico había sido bloqueado. KrebsOnSecurity también envió un mensaje al director de información (CIO) del minorista, la única persona en un puesto de nivel C en el minorista que estaba en mi crimson inmediata de LinkedIn. Todavía no tengo plan de si alguien lo ha leído.

Aunque stability.txt aún no es un estándar oficial de World-wide-web aprobado por el Grupo de Trabajo de Ingeniería de World wide web (IETF), sus principios básicos han sido adoptados hasta ahora por al menos el ocho por ciento de las empresas Fortune 100. Según una revisión de los nombres de dominio de las últimas empresas de Fortune 100 a través de gotsecuritytxt.com, se incluyen Alfabeto, Amazonas, Facebook, HCA Health care, Kroger, Procter & Gamble, USAA y Walmart.

Puede haber otra buena razón para consolidar los contactos de seguridad y la información de informes de vulnerabilidades en un solo lugar predecible. Alex Holden, fundador de la consultora con sede en Milwaukee Mantenga la seguridad, dijo que no es raro que los piratas informáticos malintencionados experimenten problemas para llamar la atención de las personas adecuadas dentro de la misma organización que acaban de piratear.

“En los casos de rescate, los malos intentan contactar a la empresa con sus demandas”, dijo Holden. «No tienes thought de la frecuencia con la que sus mensajes quedan atrapados en filtros, se eliminan, bloquean o ignoran».

PREPÁRESE PARA ENFRENTARSE

Entonces, si security.txt es tan bueno, ¿por qué aún no lo han adoptado más organizaciones? Parece que la configuración de un archivo protection.txt tiende a invitar a un volumen bastante alto de spam. La mayoría de estos correos electrónicos no deseados provienen de probadores de penetración autodesignados que, sin ninguna invitación para hacerlo, ejecutan herramientas automatizadas de descubrimiento de vulnerabilidades y luego envían los informes resultantes con la esperanza de asegurar un compromiso de consultoría o una tarifa de recompensa por mistake.

Esta dinámica fue un tema importante de discusión en estos hacker Hilos de noticias en stability.txt, en el que varios lectores relataron su experiencia de estar tan inundados de informes de escaneo de vulnerabilidades de baja calidad que se volvió difícil detectar los informes que realmente valían la pena seguir.

Edwin «EdOverflow» Foudil, el coautor del estándar de notificación propuesto, reconoció que los informes basura son una desventaja importante para las organizaciones que ofrecen un archivo security.txt.

“En realidad, esto se indica en la especificación en sí, y es increíblemente importante resaltar que las organizaciones que implementan esto van a quedar inundadas”, dijo Foudil a KrebsOnSecurity. “Una de las razones por las que los programas de recompensas por errores tienen éxito es que básicamente son un filtro de spam glorificado. Pero independientemente del enfoque que utilice, se verá inundado con estos informes de mala calidad y de mala calidad «.

A menudo, estos informes de vulnerabilidades inferiores provienen de personas que han escaneado todo Net en busca de una o dos vulnerabilidades de seguridad y luego han intentado ponerse en contacto con todas las organizaciones vulnerables a la vez de alguna manera semiautomatizada. Afortunadamente, dijo Foudil, muchos de estos informes de molestias se pueden ignorar o agrupar mediante la creación de filtros que busquen mensajes que contengan palabras clave que se encuentran comúnmente en los análisis automatizados de vulnerabilidades.

Foudil dijo que a pesar de los desafíos del spam, ha escuchado comentarios tremendos de varias universidades que han implementado protection.txt.

“Ha sido un éxito increíble con las universidades, que tienden a tener muchos sistemas heredados más antiguos”, dijo. «En ese contexto, hemos visto un montón de informes valiosos».

Foudil dice que está encantado de que ocho de las empresas de Fortune 100 ya hayan implementado stability.txt, aunque aún no ha sido aprobado como estándar IETF. Cuando se apruebe protection.txt, y si se aprueba, espera dedicar más tiempo a promover sus beneficios.

“No estoy tratando de ganar dinero con esto, que surgió después de conversar con bastantes personas en DEFCON [the annual security conference in Las Vegas] que estaban luchando por informar problemas de seguridad a los proveedores ”, dijo Foudil. «La razón principal por la que no me esfuerzo en promoverlo ahora es porque aún no es un estándar oficial».

¿Su organización ha considerado o implementado stability.txt? ¿Por qué o por qué no? Apague el sonido abajo en los comentarios.



Enlace a la noticia authentic