Vultron

Vultron adalah proyek penelitian untuk mengeksplorasi pembuatan protokol sumber terfederasi, terdesentralisasi, dan terbuka untuk pengungkapan kerentanan terkoordinasi (CVD). Hal ini berkembang dari pengalaman CERT/CC selama puluhan tahun dalam mengoordinasikan respons global terhadap kerentanan perangkat lunak. Tujuannya adalah untuk menciptakan protokol yang dapat digunakan oleh organisasi mana pun untuk mengoordinasikan pengungkapan kerentanan dalam sistem pemrosesan informasi (perangkat lunak, perangkat keras, layanan, dll.), dan untuk membangun komunitas interoperabilitas di seluruh proses dan kebijakan organisasi independen yang dapat bekerja sama untuk mengoordinasikan respons yang tepat terhadap kerentanan.

Vultron adalah kumpulan ide, model, kode, dan pekerjaan yang sedang berjalan, dan belum siap untuk digunakan produksi.

Vultron merupakan kelanjutan dari pekerjaan CERT/CC dalam meningkatkan koordinasi pengungkapan dan respons kerentanan. Pekerjaan kami sebelumnya di bidang ini meliputi:

• Panduan CERT untuk Pengungkapan Kerentanan Terkoordinasi (Versi 1.0, Versi 2.0)

• Memprioritaskan Respons Kerentanan: Kategorisasi Kerentanan Khusus Pemangku Kepentingan (SSVC) (Versi 1.0, Versi 2.0, github)

• Lingkungan Informasi dan Koordinasi Kerentanan (VINCE) (entri blog, github)

• Berbagai penelitian terkait, diantaranya

  • Berbagi Informasi Keamanan Siber: Menganalisis Kumpulan Email Pengungkapan Kerentanan Terkoordinasi
  • Analisis Historis Garis Waktu Ketersediaan Eksploitasi

Baru-baru ini, CERT/CC telah berupaya memformalkan pengetahuan ini ke dalam protokol untuk CVD. Pekerjaan ini dimulai dengan Model Berbasis Negara untuk Pengungkapan Kerentanan Terkoordinasi Multi-Partai (MPCVD), yang juga muncul dalam bentuk ringkasan berjudul Apakah Kita Terampil atau Hanya Beruntung? Menafsirkan Kemungkinan Sejarah Pengungkapan Kerentanan dalam Jurnal ACM Ancaman Digital: Penelitian dan Praktek . Pada tahun 2022, kami menerbitkan kumpulan Kisah Pengguna Pengungkapan Kerentanan Terkoordinasi yang diperoleh dari pekerjaan pemodelan proses kami dan dari pengalaman membangun VINCE. Pada tahun yang sama, kami menerbitkan Designing Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure (MPCVD), yang berfungsi sebagai dasar untuk pekerjaan yang terdapat dalam repositori ini.

Vultron adalah:

• Serangkaian proses tingkat tinggi yang mewakili langkah-langkah yang terlibat dalam pengungkapan kerentanan terkoordinasi
• Protokol formal yang menjelaskan interaksi proses-proses tersebut
• Seperangkat logika perilaku yang dapat diimplementasikan sebagai prosedur yang harus diikuti manusia atau (dalam banyak kasus) kode yang dapat melakukan tindakan sebagai respons terhadap perubahan keadaan dalam suatu kasus dengan masukan manusia yang minimal
• Model data minimal mengenai informasi apa saja yang diperlukan untuk melacak status peserta dan status kasus secara keseluruhan selama penanganan kasus CVD

Semua hal di atas pada awalnya dijelaskan dalam laporan Merancang Vultron: Sebuah Protokol untuk Pengungkapan Kerentanan Terkoordinasi Multi-Pihak (MPCVD).

Dalam repositori ini, kami mengambil langkah pertama menuju penerapan protokol dan logika perilaku yang dijelaskan dalam laporan tersebut. Saat ini, pekerjaan difokuskan pada pemetaan protokol formal ke dalam sintaksis dan semantik protokol ActivityPub. Contoh langkah pertama kami ke arah tersebut dapat ditemukan di dokumen/contoh

Vultron bukanlah pengganti drop-in untuk hal tertentu

• sistem pelacakan —misalnya, Bugzilla, Jira
• CVD atau alat koordinasi ancaman —misalnya, VINCE, MISP
• Program pengungkapan kerentanan —misalnya, DC3 VDP
• Platform atau layanan pengungkapan kerentanan —misalnya, HackerOne, Bugcrowd, Synack

Sebaliknya, kami berharap Vultron dapat berfungsi sebagai lingua franca untuk pertukaran informasi koordinasi kasus kerentanan antara sistem dan layanan tersebut.

Vultron bukanlah alat penentuan prioritas kerentanan, meskipun alat ini dimaksudkan agar kompatibel dengan skema penentuan prioritas umum seperti SSVC dan CVSS.

Vultron tidak dimaksudkan sebagai sebuah produk, melainkan dimaksudkan sebagai serangkaian fitur yang dapat diimplementasikan dalam berbagai produk dan layanan terkait CVD untuk memungkinkan interoperabilitas di antara keduanya.

Untuk informasi lebih lanjut tentang pekerjaan kami dalam pemodelan, formalisasi, dan penjelasan proses CVD, lihat:

• Merancang Vultron: Protokol untuk Pengungkapan Kerentanan Terkoordinasi Multi-Pihak (MPCVD) (2022) adalah laporan awal Vultron.
  • Postingan Blog SEI di Vultron (26-09-2022)
  • Podcast SEI di Vultron (24-02-2023)
• Panduan CERT untuk Pengungkapan Kerentanan Terkoordinasi (2017, 2019)
• Model Pengungkapan Kerentanan Terkoordinasi Multi-Pihak (MPCVD) Berbasis Negara (2021)
  • (disingkat) Apakah Kita Terampil atau Hanya Beruntung? Menafsirkan Kemungkinan Sejarah Pengungkapan Kerentanan (2022)
• Kisah Pengguna Pengungkapan Kerentanan Terkoordinasi (2022)
• Pemodelan Multi-Metode dan Analisis Ekosistem Manajemen Kerentanan Keamanan Siber (2019) adalah cuplikan dari beberapa pemodelan Dinamika Sistem dan berbasis Agen terkait yang kami lakukan terhadap CVD dan proses terkait.
• Pengungkapan Kerentanan Terkoordinasi adalah Proses Bersamaan (2015) adalah pembahasan lama yang membahas sejumlah model proses CVD sebelumnya, dan menunjukkan beberapa upaya awal kami untuk menjelaskan secara formal aspek konkurensi proses CVD.

Kami masih menyusun model lisensi yang tepat untuk upaya ini, namun untuk saat ini, repositori ini tercakup dalam pernyataan hak cipta yang disertakan.

Jika Anda memiliki masukan mengenai topik ini (termasuk apakah hak cipta/lisensi menyebabkan kesulitan bagi Anda untuk berkolaborasi dengan kami dalam proyek ini), harap beri tahu kami dalam suatu masalah.