La divulgación coordinada de vulnerabilidades (CVD) comienza cuando al menos una persona se da cuenta de una vulnerabilidad. No puede proceder, sin embargo, sin la cooperación de muchos. Las cadenas de suministro de software program, las bibliotecas de software program y las vulnerabilidades de los componentes han evolucionado en complejidad y se han convertido en una parte tan importante del proceso de CVD como las vulnerabilidades en el código propietario de los proveedores. Muchos casos de CVD ahora requieren coordinación entre múltiples proveedores. Esta publicación, que se basa en un informe especial publicado recientementepresenta vultrónun protocolo para la divulgación coordinada de vulnerabilidades de múltiples partes (MPCVD).
Fundamentos de la divulgación coordinada de vulnerabilidades
Desde el lanzamiento nuestro primer aviso en 1988, CERT/CC ha buscado mejorar la profesionalización de las prácticas de CVD en el mundo. Basándonos en el trabajo a lo largo de las décadas, nuestro enfoque ha sido destilar y formalizar lo que sabemos sobre este proceso. Este trabajo surgió de numerosos advert hoc esfuerzos individuales para educar a los proveedores de software program y a la comunidad de investigación de seguridad cuando contrataron nuestros servicios para coordinar, analizar y publicar informes de vulnerabilidad, incluidos los siguientes:
Además de nuestros propios esfuerzos, también hemos participado (y en ocasiones liderado) el desarrollo de normas ISO/IEC relacionadas con la divulgación de vulnerabilidades, que incluyen
- ISO/CEI 29147:2018 Tecnología de la información—Técnicas de seguridad—Divulgación de vulnerabilidades
- ISO/CEI 30111:2019 Tecnología de la información—Técnicas de seguridad—Procesos de manejo de vulnerabilidades
El Protocolo Vultrón
En septiembre de 2022, presentamos Vultron, un protocolo propuesto para MPCVD. El informe completo, Diseño de Vultron: un protocolo para la divulgación coordinada de vulnerabilidades de múltiples partes (MPCVD)describe un protocolo de alto nivel que creemos que proporciona una base para la interoperabilidad de procesos entre las partes interesadas de CVD y señala el camino hacia la implementación técnica en herramientas como VINCE y otras plataformas de servicios de CVD.
Si bien he liderado los esfuerzos para desarrollar el protocolo Vultron, representa solo una parte de un esfuerzo más amplio para mejorar las prácticas de ECV. El informe no hubiera sido posible sin el diálogo continuo con mis colegas de la División CERT, incluidos Eric Hatleback, Artwork Manion, Brad Runyon, Vijay Sarvepalli, Sam Perl, Jonathan Spring, Laurie Tyzenhaus y Chuck Yarbrough.
El protocolo Vultron comienza con semántico interoperabilidad porque los participantes de CVD primero deben ponerse de acuerdo sobre lo que quieren decir cuando hablan de sus procesos. Ninguna cantidad de sintáctico la interoperabilidad (por ejemplo, especificaciones de formato de intercambio de datos o API) puede ayudar si la interpretación de esos datos difiere para el remitente y el receptor. El protocolo Vultron está diseñado para manejar casos de CVD y MPCVD. De hecho, el protocolo no discrimina entre ellos; simplemente trata el CVD “regular” como un caso especial de MPCVD en el que el número de proveedores es 1.
Específicamente, el protocolo Vultron se basa en tres procesos distintos pero que interactúan, que describimos en el informe como autómatas finitos deterministas (DFA):
- Gestión de informes—Un proceso arraigado en Gestión de servicios de TI (ITSM) que describe un flujo de trabajo de alto nivel mediante el cual los participantes individuales de casos de ECV pueden manejar y rastrear informes desde la recepción inicial hasta la validación, priorización y finalización del trabajo.
- Gestión de embargos—Un proceso basado en el calendario y la coordinación de horarios que contiene un flujo de trabajo para proponer, aceptar, revisar y salir de un período de coordinación privada antes de la divulgación pública de la información de vulnerabilidad. Los embargos en CVD están destinados a brindar una oportunidad para que los proveedores de productos afectados tengan tiempo suficiente para preparar una solución o un consejo de mitigación antes de que el público conozca la vulnerabilidad en cuestión.
- estado del caso—Un proceso que describe el ciclo de vida de un caso de CVD a través de sus hitos principales: conocimiento del proveedor, arreglo listo, arreglo implementado, conocimiento público, explotación pública y ataques observados. Describimos este modelo anteriormente en “¿Somos hábiles o simplemente afortunados? Interpretación de las posibles historias de divulgación de vulnerabilidades” y amplió la concept en nuestro informe especial 2021.
Figura 1: tres procesos (estado del caso, gestión de embargos y gestión de informes) interactúan para formar el Protocolo Vultron.
El protocolo Vultron abarca aspectos locales y globales del proceso CVD. Por ejemplo, mientras que el proceso de gestión de informes es native para un participante de caso específico, se espera que el proceso de gestión de embargo se comparta entre todos los participantes de caso. De manera related, partes del modelo de estado de caso son globales para el caso, mientras que otras son específicas para participantes individuales. Sin embargo, nuestra intención es dejar suficiente espacio para que las partes interesadas implementen sus propios procesos internos para satisfacer sus necesidades individuales. Nuestro objetivo con el protocolo Vultron es proporcionar un conjunto de abstracciones relevantes para mapear los procesos internos de diversas organizaciones en un flujo de trabajo generalizado que promueva la coordinación de esfuerzos y mejore la comunicación del estado de los casos entre las partes interesadas.
Nuestro informe sobre Vultron incluye comentarios detallados sobre cómo se podría implementar el protocolo Vultron y describe el trabajo futuro. Se proporcionan apéndices que asignan el protocolo Vultron al trabajo existente, incluidos SSVC v2, ISO/CEI 30111:2019, ISO/CEI 29147:2018, e ISO/IEC TR 5895:2022 (Ciberseguridad—Divulgación y manejo coordinado de vulnerabilidades de múltiples partes).
Y sí, fanáticos de cierto mecha gigante de anime colorido compuesto por cinco robots discretos con pilotos humanos podría observar más que una metáfora pasajera en la concept de que se necesita un esfuerzo cooperativo y coordinado para que una asociación humana/máquina compleja logre algunos objetivos defensivos.
¿A dónde vamos después?
Aunque hemos realizado un desarrollo interno de prueba de concepto para explorar aspectos del protocolo Vultron, aún no se ha implementado por completo. Tampoco hemos completado nuestro análisis de sus propiedades. Sin embargo, debido al tamaño y el alcance de lo que pensamos que podría convertirse, queríamos compartirlo ahora como una propuesta para que podamos comenzar a desarrollar una comunidad de interés entre las partes interesadas relevantes, que incluyen, entre otros,
- proveedores de software program y PSIRT
- investigadores de seguridad
- CSIRT y otros coordinadores de terceros
- proveedores de plataformas de divulgación de vulnerabilidades y recompensas por errores
Si bien puede esperar escuchar más de nosotros sobre el protocolo Vultron en el futuro, estamos interesados en sus comentarios sobre el protocolo que hemos propuesto en el informe. Algunas preguntas a considerar en sus comentarios incluyen las siguientes:
- con la condición de que todos los modelos son incorrectos pero algunos son útiles¿cómo podemos hacer que el protocolo Vultron sea más útil para su práctica de ECV?
- ¿Qué nos perdimos?
- ¿Qué podría ser más claro?
- ¿Tiene casos extremos importantes que cree que deberíamos considerar?
- ¿Qué suposiciones hicimos con las que no está de acuerdo o las encuentra cuestionables o extrañas en el contexto de su propio entorno y experiencia?
Además, debido a que Vultron toca tanto el proceso humano como el trabajo técnico de CVD, esperamos que se necesite trabajo futuro para integrar Vultron en procesos de proveedores de nivel superior, como los descritos en el PRIMERO. Marco de servicios PSIRT.
Finalmente, reconocemos que el esfuerzo del protocolo Vultron eventualmente deberá abordar sintáctico interoperabilidad, como formatos de intercambio de mensajes y datos. Anticipamos que esta actividad tomará algún tipo de compromiso con esfuerzos relevantes, tales como el Marco común de asesoramiento sobre seguridad (CSAF), Formato de vulnerabilidad de código abiertoY varios grupos de trabajo CVE como el Grupo de Trabajo de Automatización (AWG).
No es nuestra intención suplantar el trabajo de formato existente. De hecho, nuestra preferencia es que Vultron eventualmente se adapte a una variedad de formatos de intercambio de datos de vulnerabilidad. Si bien apreciamos que existen formatos de intercambio de datos de incidentes y malware y que están relacionados con el intercambio de datos de vulnerabilidades, por ahora estamos interesados principalmente en formatos específicos de vulnerabilidades. Si está al tanto de los esfuerzos de formato de intercambio de datos de vulnerabilidad activa que no hemos mencionado aquí, háganoslo saber.
