Vultron

Vultron é um projeto de pesquisa para explorar a criação de um protocolo federado, descentralizado e de código aberto para divulgação coordenada de vulnerabilidades (CVD). Ela surgiu de décadas de experiência do CERT/CC na coordenação da resposta global a vulnerabilidades de software. O objetivo é criar um protocolo que possa ser usado por qualquer organização para coordenar a divulgação de vulnerabilidades em sistemas de processamento de informações (software, hardware, serviços, etc.) e para construir uma comunidade de interoperabilidade entre processos e políticas de organizações independentes que possam trabalhar em conjunto para coordenar respostas apropriadas às vulnerabilidades.

Vultron é uma coleção de ideias, modelos, códigos e trabalhos em andamento e ainda não está pronto para uso em produção.

Vultron é uma continuação do trabalho do CERT/CC para melhorar a coordenação da divulgação e resposta a vulnerabilidades. Nosso trabalho anterior nesta área inclui:

• O Guia CERT para divulgação coordenada de vulnerabilidades (versão 1.0, versão 2.0)

• Priorizando a resposta à vulnerabilidade: uma categorização de vulnerabilidade específica das partes interessadas (SSVC) (versão 1.0, versão 2.0, github)

• O Ambiente de Informação e Coordenação de Vulnerabilidade (VINCE) (postagem no blog, github)

• Uma variedade de pesquisas relacionadas, incluindo

  • Compartilhamento de informações de segurança cibernética: analisando um corpus de e-mail de divulgação coordenada de vulnerabilidades
  • Análise histórica dos cronogramas de disponibilidade de exploração

Mais recentemente, o CERT/CC tem trabalhado no sentido de formalizar este conhecimento num protocolo para DCV. Este trabalho começou com Um modelo baseado no estado para divulgação coordenada de vulnerabilidades multipartidárias (MPCVD), que também apareceu de forma abreviada como Are We Skillful or Just Lucky? Interpretando as possíveis histórias de divulgação de vulnerabilidades no ACM Journal Digital Threats: Research and Practice . Em 2022, publicamos uma coleção de histórias de usuários de divulgação coordenada de vulnerabilidades derivadas de nosso trabalho de modelagem de processos e da experiência de construção do VINCE. Nesse mesmo ano, publicamos Designing Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure (MPCVD), que serve de base para o trabalho contido neste repositório.

Vultron é:

• Um conjunto de processos de alto nível que representam as etapas envolvidas na divulgação coordenada de vulnerabilidades
• Um protocolo formal que descreve as interações desses processos
• Um conjunto de lógica de comportamento que pode ser implementado como procedimentos a serem seguidos por humanos ou (em muitos casos) código que pode executar ações em resposta a mudanças de estado em um caso com mínima intervenção humana.
• Um modelo de dados mínimo para quais informações são necessárias para rastrear o status do participante e o status geral do caso durante o tratamento de um caso de DCV

Os itens acima foram todos descritos inicialmente no relatório Projetando Vultron: Um Protocolo para Divulgação de Vulnerabilidade Coordenada Multipartidária (MPCVD).

Neste repositório, estamos dando os primeiros passos para implementar o protocolo e a lógica de comportamento descritos naquele relatório. Atualmente, o trabalho está focado no mapeamento do protocolo formal na sintaxe e semântica do protocolo ActivityPub. Exemplos de nossos primeiros passos nessa direção podem ser encontrados em doc/examples

Vultron não é um substituto imediato para qualquer

• sistema de rastreamento - por exemplo, Bugzilla, Jira
• CVD ou ferramenta de coordenação de ameaças — por exemplo, VINCE, MISP
• Programa de divulgação de vulnerabilidades — por exemplo, DC3 VDP
• Plataforma ou serviço de divulgação de vulnerabilidades — por exemplo, HackerOne, Bugcrowd, Synack

Em vez disso, esperamos que o Vultron possa servir como língua franca para a troca de informações de coordenação de casos de vulnerabilidade entre esses sistemas e serviços.

Vultron não é uma ferramenta de priorização de vulnerabilidades, embora pretenda ser compatível com esquemas comuns de priorização como SSVC e CVSS.

O Vultron não pretende ser um produto, mas sim um conjunto de recursos que pode ser implementado em uma variedade de produtos e serviços relacionados a DCV para permitir a interoperabilidade entre eles.

Para mais informações sobre nosso trabalho de modelagem, formalização e descrição do processo de DCV, consulte:

• Projetando o Vultron: um protocolo para divulgação coordenada de vulnerabilidades multipartidárias (MPCVD) (2022) é o relatório inicial do Vultron.
  • Postagem do blog SEI no Vultron (26/09/2022)
  • Podcast SEI no Vultron (24/02/2023)
• Guia CERT para divulgação coordenada de vulnerabilidades (2017, 2019)
• Um modelo baseado no estado para divulgação coordenada de vulnerabilidades multipartidárias (MPCVD) (2021)
  • (abreviado como) Somos habilidosos ou apenas sortudos? Interpretando as possíveis histórias de divulgações de vulnerabilidades (2022)
• Histórias de usuários de divulgação coordenada de vulnerabilidades (2022)
• Modelagem e análise multimétodos do ecossistema de gerenciamento de vulnerabilidades de segurança cibernética (2019) é um instantâneo de algumas dinâmicas de sistemas relacionadas e modelagem baseada em agentes que fizemos de CVD e processos relacionados.
• A Divulgação Coordenada de Vulnerabilidade é um Processo Concorrente (2015) é uma palestra mais antiga que analisa uma série de modelos anteriores do processo de DCV e mostra algumas de nossas primeiras tentativas de descrever formalmente os aspectos de simultaneidade do processo de DCV.

Ainda estamos trabalhando no modelo de licenciamento correto para este esforço, mas por enquanto, este repositório está coberto pela declaração de direitos autorais incluída.

Se você tiver comentários sobre este tópico (incluindo se os direitos autorais/licença estão causando dificuldade para você colaborar conosco neste projeto), informe-nos em um problema.