Vultron

Vultron هو مشروع بحثي لاستكشاف إنشاء بروتوكول اتحادي ولا مركزي ومفتوح المصدر للكشف المنسق عن الثغرات الأمنية (CVD). لقد تطور هذا الأمر نتيجة لعقود من الخبرة التي يتمتع بها فريق CERT/CC في تنسيق الاستجابة العالمية لنقاط الضعف في البرامج. الهدف هو إنشاء بروتوكول يمكن استخدامه من قبل أي منظمة لتنسيق الكشف عن نقاط الضعف في أنظمة معالجة المعلومات (البرامج والأجهزة والخدمات وما إلى ذلك)، وبناء مجتمع من قابلية التشغيل البيني عبر عمليات وسياسات المنظمات المستقلة التي يمكنها العمل معًا لتنسيق الاستجابات المناسبة لنقاط الضعف.

Vultron عبارة عن مجموعة من الأفكار والنماذج والتعليمات البرمجية والعمل الجاري، وهي ليست جاهزة بعد للاستخدام الإنتاجي.

يعد Vultron استمرارًا لعمل CERT/CC على تحسين تنسيق الكشف عن الثغرات الأمنية والاستجابة لها. أعمالنا السابقة في هذا المجال تشمل:

• دليل CERT للكشف المنسق عن الثغرات الأمنية (الإصدار 1.0، الإصدار 2.0)

• تحديد أولويات الاستجابة للثغرات الأمنية: تصنيف الثغرات الأمنية الخاصة بأصحاب المصلحة (SSVC) (الإصدار 1.0، الإصدار 2.0، جيثب)

• بيئة معلومات الثغرات الأمنية والتنسيق (VINCE) (منشور مدونة، github )

• مجموعة متنوعة من البحوث ذات الصلة، بما في ذلك

  • مشاركة معلومات الأمن السيبراني: تحليل مجموعة البريد الإلكتروني للكشف المنسق عن الثغرات الأمنية
  • التحليل التاريخي للجداول الزمنية لتوفر الثغرات

وفي الآونة الأخيرة، عمل فريق CERT/CC على إضفاء الطابع الرسمي على هذه المعرفة في بروتوكول خاص بأمراض القلب والأوعية الدموية. بدأ هذا العمل بنموذج قائم على الدولة للإفصاح المنسق عن نقاط الضعف المتعددة الأطراف (MPCVD)، والذي ظهر أيضًا في شكل مختصر تحت عنوان هل نحن ماهرون أم محظوظون فحسب؟ تفسير التواريخ المحتملة للكشف عن الثغرات الأمنية في التهديدات الرقمية لمجلة ACM: البحث والممارسة . في عام 2022، نشرنا مجموعة من قصص المستخدمين المنسقة للكشف عن الثغرات الأمنية المستمدة من عملنا في نمذجة العمليات ومن تجربة بناء VINCE. في نفس العام، قمنا بنشر تصميم Vultron: بروتوكول للكشف عن نقاط الضعف المنسقة متعددة الأطراف (MPCVD)، والذي يعمل كأساس للعمل الوارد في هذا المستودع.

فولترون هو:

• مجموعة من العمليات عالية المستوى تمثل الخطوات المتضمنة في الكشف المنسق عن الثغرات الأمنية
• بروتوكول رسمي يصف تفاعلات تلك العمليات
• مجموعة من منطق السلوك التي يمكن تنفيذها إما كإجراءات يتبعها البشر أو (في كثير من الحالات) كود يمكنه تنفيذ إجراءات استجابة لتغيرات الحالة في حالة ذات الحد الأدنى من المدخلات البشرية
• نموذج بيانات بسيط لتحديد المعلومات الضرورية لتتبع حالة المشارك وحالة الحالة العامة من خلال مسار التعامل مع حالة الأمراض القلبية الوعائية

تم وصف كل ما سبق في البداية في تقرير تصميم Vultron: بروتوكول للكشف عن الثغرات الأمنية المنسقة متعددة الأطراف (MPCVD).

في هذا المستودع، نتخذ الخطوات الأولى نحو تنفيذ البروتوكول ومنطق السلوك الموضح في هذا التقرير. حاليًا، يركز العمل على تعيين البروتوكول الرسمي على بناء الجملة ودلالات بروتوكول ActivityPub. يمكن العثور على أمثلة لخطواتنا الأولى في هذا الاتجاه في doc/examples

Vultron ليس بديلاً مباشرًا لأي شيء محدد

• نظام التتبع - على سبيل المثال، Bugzilla، Jira
• أداة تنسيق الأمراض القلبية الوعائية أو التهديدات — على سبيل المثال، VINCE، MISP
• برنامج الكشف عن الثغرات الأمنية — على سبيل المثال، DC3 VDP
• منصة أو خدمة الكشف عن الثغرات الأمنية — على سبيل المثال، HackerOne، وBugcrowd، وSynack

وبدلاً من ذلك، نأمل أن تكون Vultron بمثابة لغة مشتركة لتبادل معلومات تنسيق حالات الضعف بين تلك الأنظمة والخدمات.

Vultron ليست أداة لتحديد أولويات الثغرات الأمنية، على الرغم من أنها تهدف إلى أن تكون متوافقة مع أنظمة تحديد الأولويات الشائعة مثل SSVC وCVSS.

ليس المقصود من Vultron أن يكون منتجًا، بل من المفترض أن يكون مجموعة ميزات يمكن تنفيذها في مجموعة متنوعة من المنتجات والخدمات المتعلقة بالأمراض القلبية الوعائية لتمكين إمكانية التشغيل البيني فيما بينها.

لمزيد من المعلومات حول عملنا في النمذجة، وإضفاء الطابع الرسمي، ووصف عملية الأمراض القلبية الوعائية، راجع:

• تصميم Vultron: بروتوكول للكشف عن الثغرات الأمنية المنسقة متعددة الأطراف (MPCVD) (2022) هو تقرير Vultron الأولي.
  • منشور مدونة SEI على Vultron (26/09/2022)
  • بودكاست SEI على فولترون (24/02/2023)
• دليل CERT للكشف المنسق عن الثغرات الأمنية (2017، 2019)
• نموذج قائم على الدولة للإفصاح المنسق عن نقاط الضعف المتعددة الأطراف (MPCVD) (2021)
  • (مختصر كـ) هل نحن ماهرون أم محظوظون فقط؟ تفسير التواريخ المحتملة للكشف عن الثغرات الأمنية (2022)
• قصص المستخدمين المنسقة للكشف عن الثغرات الأمنية (2022)
• تعد النمذجة والتحليل متعدد الأساليب للنظام البيئي لإدارة ثغرات الأمن السيبراني (2019) بمثابة لقطة لبعض ديناميكيات النظام ذات الصلة والنمذجة القائمة على الوكيل التي قمنا بها بشأن الأمراض القلبية الوعائية والعمليات ذات الصلة.
• يعد الكشف المنسق عن الثغرات الأمنية بمثابة عملية متزامنة (2015) عبارة عن حديث قديم يتناول عددًا من النماذج السابقة لعملية CVD، ويظهر بعض محاولاتنا المبكرة لوصف جوانب التزامن في عملية CVD رسميًا.

ما زلنا نعمل على نموذج الترخيص الصحيح لهذا الجهد، ولكن في الوقت الحالي، هذا المستودع مشمول ببيان حقوق الطبع والنشر المضمن.

إذا كانت لديك تعليقات حول هذا الموضوع (بما في ذلك ما إذا كانت حقوق الطبع والنشر/الترخيص تسبب لك صعوبة في التعاون معنا في هذا المشروع)، فيرجى إبلاغنا بأي مشكلة.