Charley Snyder, chefe de política de segurança do Google, publicou uma nova iniciativa que eliminará o risco de vulnerabilidades e protegerá os pesquisadores de segurança.
Em sua postagem, ele mencionou: “A indústria da segurança melhorou de muitas maneiras, tanto em termos de avanços tecnológicos como de colaboração, mas permanecem muitos desafios, especialmente no domínio da gestão de vulnerabilidades. Hoje parece que a comunidade está presa no mesmo ciclo quando se trata de vulnerabilidades de segurança”.
A postagem também mencionou que o gerenciamento de vulnerabilidades se tornou altamente desafiador, pois cada vulnerabilidade gira em torno de um ciclo de vulnerabilidades encontradas, corrigidas e novas.
Isso ocorre porque os patches lançados pelos fornecedores não são suficientes para corrigir a vulnerabilidade de uma vez por todas.
Projeto Zero é uma equipe do Google que estuda vulnerabilidades de software e hardware e fornece um patch e um prazo para divulgação.
No entanto, esse ciclo de patches já existe há muitos anos, então o Google teve uma ideia para interromper esse ciclo.
O Google postou que as vulnerabilidades de dia zero sempre se tornarão notícias instantâneas, mas o risco permanece o mesmo mesmo depois de corrigidas.
Esses riscos incluem a adoção do patch pelo fabricante do equipamento original (OEM), o teste do patch e seus pontos problemáticos, e também inclui a atualização do patch corrigido pelo usuário final.
A postagem também dizia que mais de um terço das vulnerabilidades encontradas em 2022 eram principalmente variantes adicionais de vulnerabilidades anteriores. Devido a isso, o Google propôs as seguintes iniciativas.
Maior transparência
Isto inclui o fabricante e o governo fornecendo transparência sobre a exploração das vulnerabilidades e como estão adotando os patches. Isto ajuda a compreender se o método atual de abordagem funciona ou precisa de etapas adicionais.
Atenção aos pontos de fricção
Durante o ciclo de vida de uma vulnerabilidade, deve haver extrema atenção às dificuldades que cada usuário enfrenta ao executar um patch e se eles conhecem os riscos da vulnerabilidade.
Endereçamento da causa raiz
Isso significa que a causa raiz de cada vulnerabilidade deve ser endereçada aos desenvolvedores, e cada ciclo de desenvolvimento deve priorizar práticas modernas e seguras de desenvolvimento de software.
Esta prática de desenvolvimento também deve ter o potencial de selar todos os métodos de exploração de uma vulnerabilidade.
Proteção ao Pesquisador de Segurança
Os pesquisadores de segurança enfrentam ameaças legais de fornecedores por suas contribuições sempre que suas pesquisas não são esperadas ou são mal compreendidas. Isso cria uma sensação de negligência em pesquisas valiosas de segurança e divulgação de vulnerabilidades.
Estes investigadores de segurança credíveis devem ser protegidos, uma vez que a sua investigação impede que os agentes de ameaças explorem uma vulnerabilidade.
Remendando o ecossistema
O Google propôs que as partes interessadas, usuários, pesquisadores de segurança, fornecedores, desenvolvedores de plataformas ou serviços, governos e quaisquer outros que sejam importantes na correção de uma vulnerabilidade se unam para apoiar a correção desses bugs exploráveis.
Conselho de Política de Hacking
Nos últimos anos, novas leis apoiam a divulgação privada de vulnerabilidades ao Governo sob certas condições.
Devido a isso, o Hacking Policy Council foi formado pelo Google, que ajudará a apoiar as melhores práticas para gerenciamento de vulnerabilidades com novas políticas e regulamentos.
Fundo de defesa legal de pesquisa de segurança
Conforme mencionado, os pesquisadores de segurança individuais têm contribuído enormemente para a segurança.
Essas contribuições ajudam os fornecedores a corrigir uma vulnerabilidade antes que sofram uma violação de dados pela exploração de um invasor.
No entanto, por vezes enfrentam questões jurídicas que os retirarão do radar da investigação de segurança.
Para proteger esses indivíduos de questões legais, o Google introduziu o Security Research Legal Defense Fund, que ajudará os pesquisadores de segurança a ter representação legal e a melhorar a postura de segurança cibernética no público.
Transparência de Exploração
O Google afirma que os usuários também devem ser notificados sobre a exploração de uma vulnerabilidade que os ajudará a entender o método de ataque do agente da ameaça, o que também pode levar a uma melhor proteção.
“Acreditamos que esta transparência deve tornar-se parte das políticas padrão de divulgação de vulnerabilidades da indústria. Sempre priorizamos a transparência quando nossos produtos são explorados, mas a partir de hoje tornaremos isso uma parte explícita de nossa política, comprometendo-nos a divulgar publicamente quando tivermos evidências de que vulnerabilidades em algum de nossos produtos foram exploradas”, diz a postagem publicada pelo Google.
Conforme publicado pelo Google, esses esforços devem impactar positivamente na redução do risco de vulnerabilidades. No entanto, os resultados desta iniciativa terão de esperar até à sua implementação.
