Proses Ekuitas Kerentanan dan Pemodelan Ancaman – Adam Shostack & teman-teman

[Update: More at DarkReading, “ The Critical Difference Between Vulnerabilities Equities & Threat Equities.”]

Vulnerabilities Equities Process (VEP) adalah cara Pemerintah AS memutuskan apakah mereka akan mengungkapkan kerentanan kepada produsen untuk diperbaiki. Proses ini mendapat banyak kritik, karena tidak pernah jelas apa yang diungkapkan, bagian kerentanan apa yang diungkapkan, apakah proses tersebut berhasil, atau bagaimana seseorang tanpa izin seharusnya mengevaluasi bahwa selain “kami dari pemerintah, kami di sini untuk membantu, “atau mungkin” Saya tahu orang yang mengelola proses ini, mereka orang baik. ” Tak satu pun dari itu yang memuaskan.

Jadi, merupakan langkah yang sangat positif bahwa pada hari Rabu, Koordinator Keamanan Siber Gedung Putih Rob Joyce menerbitkan “Meningkatkan dan Membuat Proses Kesetaraan Kerentanan yang Transparan adalah Hal yang Tepat untuk Dilakukan,” bersama dengan prosesnya. Schneier berkata, “Saya kurang [pleased]; bagi saya sepertinya kebijakan lama yang sama dengan beberapa langkah transparansi baru – yang saya tidak yakin saya percayai. Iblis ada dalam detailnya, dan kami tidak tahu detailnya – dan ia memiliki celah raksasa. “

Saya memiliki dua pertanyaan keseluruhan, dan sebuah observasi.

Pertanyaan pertama adalah, apakah kebijakan yang diterbitkan ditulis ketika kita memiliki komitmen pada kepemimpinan internasional dan menjadi dealer yang adil, atau apakah itu dibuat atau direvisi dengan agenda “America First”?

Pertanyaan kedua berkaitan dengan ada empat ekuitas yang harus dipertimbangkan. Ini adalah “faktor utama” yang harus dipertimbangkan oleh pejabat senior pemerintah dalam menjalankan penilaian mereka. Tapi, yang mengejutkan, ada pertimbangan “tambahan”. (“Pada tingkat tinggi, kami mempertimbangkan empat kelompok utama ekuitas: ekuitas defensif; ekuitas intelijen / penegakan hukum / operasional; ekuitas komersial; dan ekuitas kemitraan internasional. Selain itu, orang biasa ingin mengetahui bahwa sistem yang mereka gunakan tangguh, aman, dan sehat. ”) Apakah itu menyiratkan bahwa para pejabat tersebut tidak diharuskan untuk mempertimbangkan keinginan publik akan sistem yang tangguh dan aman? Apa yang dimaksud dengan kalimat “tambahan” tidak mempertimbangkan ekuitas?

Terakhir, pengamatannya adalah bahwa VEP adalah tentang kerentanan, bukan tentang kekurangan atau pengorbanan desain. Dari piagam, halaman 9-10:

Hal-hal berikut ini tidak akan dianggap sebagai bagian dari proses evaluasi kerentanan:

  • Kesalahan konfigurasi atau konfigurasi yang buruk dari perangkat yang mengorbankan keamanan sebagai pengganti ketersediaan, kemudahan penggunaan, atau ketahanan operasional.
  • Penyalahgunaan fitur perangkat yang tersedia yang memungkinkan pengoperasian non-standar.
  • Penyalahgunaan alat teknik dan konfigurasi, teknik dan skrip yang meningkatkan / menurunkan fungsionalitas perangkat untuk kemungkinan operasi jahat.
  • Menyatakan / menemukan bahwa perangkat / sistem tidak memiliki fitur keamanan yang melekat dengan desain.

Pemodelan Ancaman adalah istilah umum bagi teknisi keamanan untuk menemukan dan menangani masalah ini. Itulah yang saya habiskan hari-hari saya, karena saya melihat upaya luar biasa dalam menangani kerentanan membuahkan hasil, dan kami melihat lebih sedikit dari mereka dalam sistem yang direkayasa dengan baik.

Pada bulan Oktober, saya menulis tentang fakta bahwa kita menjadi lebih baik dalam menangani kerentanan, dan perlu memikirkan masalah desain. Saya menutup:

Singkatnya, kami melakukan pekerjaan yang hebat dalam menemukan dan membasmi bug, dan itu membuka peluang baru dan menarik untuk berpikir lebih dalam tentang masalah desain. (Masalah Desain yang Muncul)

Di sini, saya akan tidak setuju dengan Bruce, karena menurut saya pengungkapan ini menunjukkan kepada kita detail penting yang sebelumnya tidak kita ketahui. Publikasi mengeksposnya, dan mari kita bicarakan.

Jadi, saya akan melipatgandakan apa yang saya tulis di bulan Oktober, dan mengatakan bahwa kita perlu VEP untuk memperluas untuk mencakup masalah tersebut. Saya tidak akan mengklaim itu akan mudah, bahwa pendekatan saat ini akan menerjemahkan, atau bahwa mereka harus menunggu untuk menanganinya sebelum menerbitkan. Satu tempat yang jelas semakin sulit adalah pertukaran sumber dan metode. Tapi kita membutuhkan internet untuk menjadi infrastruktur yang tangguh dan dapat dipercaya. Seperti yang ditulis Bill Gates 15 tahun lalu, kita membutuhkan sistem yang “akan selalu dapat diandalkan oleh orang-orang, [] untuk tersedia dan untuk mengamankan informasi mereka. Komputasi Tepercaya adalah komputasi yang tersedia, andal, dan seaman listrik, layanan air, dan telepon. “

Kami tidak dapat mencapai tujuan itu dengan VEP yang cakupannya sempit. Itu harus berevolusi untuk menangani jenis kekurangan dan pengorbanan desain yang membantu kita menemukan pemodelan ancaman.

Foto oleh David Clode di Unsplash.

https://adam.shostack.org/blog/2017/11/vulnerabilities-equities-process-and-threat-modeling/