专家说,国土安全部门选择性地分享有关零天漏洞信息的信息,这是过于严格的,应该向更多公司开放。
[还:到目前为止最糟糕的数据违规]
DHS秘书Janet Napolitano本周告诉路透社该机构将谨慎地共享关于应用程序开发人员未知的软件漏洞的分类信息。
国家安全机构和其他情报机构从Bug Hunters和经销商那里购买了这种缺陷的漏洞,因此他们可以在Cyberespionage任务中使用。
呼吸签名称为“指标”,将与具有政府许可的安全服务提供商共享。这些公司将提供从已被指定为关键基础设施的公司网络中检测和阻止携带利用的恶意软件,例如公用事业,金融机构和国防制造商。
“无论如何在雷斯龙信息系统,运营和服务总监Jeff Jacoby说,这些指标都没有留在商业服务提供商内的委托环境。国防承包商已同意提供政府称之为增强的网络安全服务。其他初始提供商包括AT&T和Northrop Grumman。
一般而言,任何政府努力分享网络攻击信息的努力受到安全专家的欢迎。在拐杖上,令人伤害限制数据流的努力。
虽然政府正在慢慢开始,但我希望看到更广泛地分享信息,“漏洞管理公司Qualys的首席技术官Wolfgang Kandek表示。“从进攻的角度来看,维护一定数量的攻击,私下漏洞肯定有价值,但是对于防守,最好的选择是尽快与软件供应商共享漏洞信息。”
[还请参阅:研究人员开发出于违规行业的工业系统]
NSS实验室的研究总监Andrew Braunberg表示,政府希望共享数据,同时还将零日错误保持有用的目的。
“最明显的是,美国政府都希望这两种方式,”他说。“他们真的不希望这些脆弱性消失,因为他们希望进攻,但他们不希望相同的漏洞允许黑客攻击美国资产。”
除了普遍可用的情况下,DHS计划可能会错过较小的企业,即一些专家表示,黑客可以用作他们销售产品或服务的关键基础设施公司网络的入境点。赛门铁克最近的一份报告发现,攻击百分比为目标,有250名员工或更少的公司从2011年到2012年几乎翻了一番。
“我们可能会解决大型辩护相关的组织,但它们是在黑暗中留下的行业的一小部分,”Cyber Squared的主要情报官Rich Barger说,专门从事网络攻击数据保护数据。
雅各布表示,任何规模的公司都可以利用该服务,只要它们被分类为关键基础架构。定价留给提供商。
虽然对零天漏洞进行辩护是重要的,但初级攻击是攻击公司计算机系统的漏洞。在尚未修补的软件中使用已知漏洞的黑客发生了大多数突破。
“必须有更全面的方法,”麦格尔说。“问题比零日大。”
DHS计划源于一个巴拉克奥巴马总统发布的执行订单二月里。该订单要求政府机构将系统建立起来,以便与私营行业分享网络攻击信息。
这个故事,“专家丁DHS漏洞分享计划太有限”最初发表CSO 。