HackerOne призывает покончить с безопасностью из-за безвестности


HackerOne, поставщик платформы для поиска ошибок, предложила план повышения ответственности корпоративной безопасности и призвала к переходу от секретности к прозрачности при работе с уязвимостями в отчете, опубликованном в четверг.

В отчете отмечается, что организации все чаще тщательно изучают методы своих поставщиков, основывая решения о закупках на учетных данных безопасности и переключая поставщиков, если компания столкнулась с инцидентом безопасности. Демонстрация лучших практик безопасности теперь является конкурентным преимуществом.

Чтобы продемонстрировать, что компания придерживается лучших практик, в отчете рекомендуется взять на себя ответственность за четыре аспекта корпоративной безопасности: прозрачность, сотрудничество, инновации и дифференциация.

Недоверие между организациями и сторонними исследователями

Согласно данным опроса, собранным для отчета 800 руководителями службы безопасности, 64% поддерживают культуру безопасности через неизвестность. В отчете поясняется, что отказ признать недостатки и обратиться за помощью в их устранении может нанести значительный ущерб бренду в случае использования «секретной» уязвимости.

Для обеспечения большей прозрачности в отчете рекомендуется создать культуру открытости, избегать возложения вины при возникновении инцидентов, предоставлять сторонним исследователям четкий процесс сообщения об уязвимостях и использовать открытый подход к заинтересованным сторонам в случае нарушения.

Отчет также выявил большое недоверие между организациями и сторонними исследователями. 67% заявили, что скорее примут уязвимости в программном обеспечении, чем будут работать с хакерами, а 50% хакеров признались, что не сообщали об ошибках из-за предыдущего негативного опыта или отсутствия канала, по которому можно было бы сообщить об этом.

© 2022 IDG Communications, Inc.

https://cyberxhack.org/