מעכשיו יהיה לכם קל יותר לדווח ולקבל קרדיט על חולשות ופירצות אבטחה

מצאתם פרצה מסוכנת במוצר או שירות? מערך הסייבר הישראלי הוסמך לרשום פרצות וחולשות אבטחה עם מספר CVE ייחודי, ומצטרף בכך למערכי הסייבר של ארצות הברית ויפן

תמונה: Pixabay

נדמה שזה לא יום על כדור הארץ אם לא מתגלה לפחות פרצת אבטחה קשה או חולשה במוצרים של חברה מסויימת. עכשיו, אם אתם לא חוקרי אבטחה, יכול להיות שלא שמתם לב, אבל הפרצות והחולשות הללו תמיד מופיעות בצירוף מספר מזהה ייחודי שנקרא CVE. המספר הזה הוא חלק מקטלוג בינלאומי שמאפשר לזהות ולאנדקס את החולשות הללו וכך להקל על הטיפול בהן. החל מהשבוע תהליך האסגרה ורישום הפרצה או החולשה יהיו קלים יותר עבור ישראלים.

מצטרף לרשימה מצומצמת

טיפול רשמי ונכון בחולשות מתחיל מגילוי שלהן על ידי חוקר אבטחה (ולעיתים אפילו אדם שזהו לא תפקידו), דיווח על החולשה באופן מסודר לאחד מהארגונים המוכרים אשר מעביר את המידע לחברה שבה התגלתה החולשה. רק לאחר הפצת עדכון האבטחה הרלוונטי ובדיקתו, אותו ארגון מקצה מספר מזהה ייחודי לחולשה, עם כל פרטיה ובין היתר קרדיט לחוקר או הקבוצה אשר דיווחה על החולשה והפכה את האינטרנט למקום קצת יותר טוב ובטוח.

אותו מספר ייחודי נקרא CVE, שהוא קיצור ל-Common Vulnerabilities and Exposures ועליו אחראי איגוד בשם MITRE, אשר מרכז את כל הרישומים הללו במאגר מידע אחד ומוסדר בו יש כיום יותר מ-156 אלף רישומים עם עשרות אלפי דיווחים חדשים מדי שנה. כמובן שאיגוד או ארגון אחד לא יכול להיות הגורם המטפל היחידי לשלל בעיות האבטחה שמתגלות, ועל כן הוא מאפשר לעוד ארגונים מוסמכים להקצות את המספרים ולנהל את הטיפול באסגרת החולשות. עד כה, הארגון אפשר ל-177 ארגונים לעשות זאת, כשמתוכם 100 נמצאים בארצות הברית.

כעת, מי שמצטרף לאותה רשימה מצומצמת של ארגונים מוסמכים הוא מערך הסייבר הלאומי הישראלי שקיבל השבוע את האישור להיות גוף מוסמך לרישום פגיעויות וחשיפות נפוצות (CVE) ברשימה העולמית. זהו הגוף המדינתי ה-3 היחידי בעולם שמוסמך לכך, כשמערך הסייבר האמריקאי והיפני הם היחידים בסטטוס זהה.

שאר הגופים ברשימה כוללים חברות וארגונים פרטיים דוגמת אפל, פייסבוק, מיקרוסופט, אינטל, גוגל ועוד. מערך הסייבר הוא לא הגוף הישראלי הראשון שיש לו גישה למאגר, וקדמו לו חברות כמו צ’ק פוינט, סייברארק ו-Cybellum, שנמצאות גם הן ברשימה, אך בניגוד לו, אלו יכולות לחתום רק על חולשות שנמצאו במערכת שלהן, ולא במערכות של חברות אחרות.

את הדיווח למערך הסייבר על חולשות ופירצות אבטחה ניתן להתחיל כאן. ואם הדיווח שלכם עומד בכללי האיגוד, הוא יפרסם את הדיווח בתוך קצת יותר מחודש. החולשה תקבל את המספר הסידורי שלה ותפורסם ברשימה העולמית, ואתם תקבלו את הקרדיט הראוי. אתם אולי לא תקבלו פרס כספי או מחיאות כפיים מבני המשפחה שלכם, אבל אתם כן תקבלו את תהילת העולם הקטנה שלכם – רק תשאלו את הישראלים המעטים שכבר חתומים על ה-CVE הראשון שלהם.

בשיחה עם גורמים במערך הסייבר נמסר לנו כי תהליך ההסמכה עבור CNA ארך כחודשיים במהלכם המערך למד את חוקי התוכנית, הקים פלטפורמה ייעודית לדיווחים במקביל לגיבוש מדיניות משפטית לדיווחים. לאחר מכן CNA בחנו את היכולות הטכניות של המערך, שעבר גם מבחן הסכמה אל מול גורם אנושי.

מלבד הקרדיט הנכסף, מערך הסייבר גם אמור ללוות את כל תהליך הדיווח, הבדיקות, העברת המידע הנדרש לסגירת החולשה ועוד. בהמשך, כך מספרים לנו במערך, יוקמו פורומים לשיתוף ידע בין חוקרי חולשות ישראליים.

לדברי טום אלכסנדרוביץ’ ממערך הסייבר הלאומי: “המערך יתאם טכנולוגית ברמה הלאומית את תהליך הנפקת מזהה החולשה. שרשרת הטיפול ברישום מורכבת והמערך יקח על עצמו את הטיפול בה. המטרה שלנו היא לסייע לחוקרים בהורדת מפלס החרדה בדיווח ובהתנהלות בתחום, ולאפשר ליצירתיות הישראלית וליכולות הסייבר לבוא לידי ביטוי ברמה העולמית”.

פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ הצטרפו לערוץ גיקטיים בטלגרם

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

1 תגובה על "מעכשיו יהיה לכם קל יותר לדווח ולקבל קרדיט על חולשות ופירצות אבטחה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
www
Guest

היה נחמד אם האתר היה רספונסיבי. אנחנו לא בשנות ה90…

wpDiscuz

תגיות לכתבה: