Внутренний центр по уязвимостям кибербезопасности федерального правительства США принял более 1,300 действительных отчетов за первые 18 месяцев своей работы. Это позволило сэкономить порядка $4,35 миллионов на реагировании и восстановлении систем, согласно первому годовому отчету программы.
Платформа Vulnerability Disclosure Policy (VDP) за короткое время с момента своего запуска в июле 2021 года показала “огромный рост”, включив 40 агентственных программ. Основная цель VDP – предоставить организованный способ для агентств получать данные об уязвимостях от исследователей в области кибербезопасности и других источников и распространять их по всему правительству. Следует отметить, что агентства, как правило, не предоставляют вознаграждений за прямые представления, но награждают участников за обнаружение ошибок в рамках конкурсов.
Данные о уязвимостях передаются в CISA, который собирает их для дальнейшего рассмотрения и решения важных проблем безопасности. Как говорится в отчете: “VDP позволяет агентствам определять и устранять уязвимости в своем программном обеспечении или системах до того, как их эксплуатируют хакеры. Программа также стимулирует исследователей сообщать об уязвимостях и демонстрирует приверженность федеральных агентств прозрачности и сотрудничеству с сообществом исследователей безопасности.”
К декабрю 2022 года платформа VDP обеспечила устранение 1,119 уязвимостей из 1,330 проверенных и подтвержденных сообщений. Оставшиеся проблемы были “решены компенсирующими мерами”, как сказал Jim Sheire, руководитель отдела кибербезопасности CISA.
Среди наиболее часто сообщаемых ошибок – межсайтовый скриптинг (XSS), неправильные конфигурации и утечка данных из-за плохо спроектированных веб-приложений или слабого шифрования.
На этой неделе законодатели представили законопроект, который расширял бы обязанность раскрытия уязвимостей на федеральных подрядчиков, а не только на сами агентства. По вопросам обороны у Военного департамента есть отдельные программы раскрытия уязвимостей.