bug bounty github pagou us$ 1 milhão em 2019

Maior programa de bug bounty critica qualidade de patches

Zero Day Initiative chama atenção para o fato de as correções de baixa qualidade feitas por fornecedores de software estarem expondo as organizações a riscos graves
Da Redação
21/08/2022

O maior programa de recompensas de bugs independente do mundo emitiu alerta chamando atenção para o fato de as correções de baixa qualidade feita por fornecedores de software estarem expondo as organizações a riscos graves desnecessários, que podem custar mais de US$ 400 mil.

A Zero Day Initiative (ZDI) da Trend Micro foi responsável por quase 64% de todas as vulnerabilidades divulgadas em 2021. No entanto, a empresa de soluções de cibersegurança alertou para um declínio significativo na qualidade dos patches e na comunicação dos fornecedores com os clientes.

“A ZDI divulgou mais de 10 mil vulnerabilidades para fornecedores desde 2005, mas nunca estivemos tão preocupados com o estado dos patches de segurança em todo o setor”, disse o chefe da ZDI, Brian Gorenc. “Os fornecedores que lançam patches inadequados com avisos confusos estão custando a seus clientes tempo e dinheiro significativos e adicionando riscos comerciais desnecessários.”

Ao não apresentar aos clientes informações confiáveis ​​em linguagem simples, os fornecedores estão deixando os defensores da rede incapazes de avaliar com precisão sua exposição ao risco, afirmou a ZDI. Além disso, ao liberar patches defeituosos ou incompletos, as organizações podem pensar que estão protegidas quando não estão. “Elas também provavelmente terão que aplicar um patch adicional para corrigir problemas no primeiro, custando tempo e dinheiro extras que estão em oferta limitada”, disse a ZDI.

Veja isso
Invasão de satélite leva a Star Link a abrir bug bounty
Grupo Lockbit abre o primeiro bug bounty do cibercrime

Em decorrência do agravamento da situação, a ZDI anunciou mudanças em sua política de divulgação. “Nosso cronograma padrão de divulgação de 120 dias para a maioria das vulnerabilidades permanece, mas para relatórios de bugs resultantes de patches defeituosos ou incompletos, usaremos um cronograma mais curto”, afirmou em uma postagem no blog da empresa.

A ZDI também disse que adotará uma abordagem em camadas com base na gravidade do bug e na eficácia da correção original. Isso pode significar que bugs críticos de gravidade, onde a exploração é esperada e os patches podem ser facilmente contornados, serão divulgados pela ZDI em apenas 30 dias.A Trend Micro recomendou que as organizações desenvolvam programas rigorosos de descoberta e gerenciamento de ativos, usem apenas fornecedores confiáveis ​​e conduzam avaliações de risco contínuas para mitigar esses desafios.

Compartilhar:

Últimas Notícias