Vultron

Vultron — это исследовательский проект, целью которого является создание федеративного, децентрализованного протокола с открытым исходным кодом для скоординированного раскрытия уязвимостей (CVD). Он вырос из многолетнего опыта CERT/CC в координации глобального реагирования на уязвимости программного обеспечения. Цель состоит в том, чтобы создать протокол, который может использоваться любой организацией для координации раскрытия уязвимостей в системах обработки информации (программном обеспечении, оборудовании, службах и т. д.), а также создать сообщество функциональной совместимости между процессами и политиками независимых организаций, которые могут работать вместе для координации соответствующих мер реагирования на уязвимости.

Vultron — это набор идей, моделей, кода и незавершенных работ, который еще не готов к промышленному использованию.

Vultron является продолжением работы CERT/CC по улучшению координации раскрытия уязвимостей и реагирования на них. Наша предыдущая работа в этой области включает в себя:

• Руководство CERT по скоординированному раскрытию уязвимостей (версия 1.0, версия 2.0)

• Приоритизация реагирования на уязвимости: категоризация уязвимостей для конкретных заинтересованных сторон (SSVC) (версия 1.0, версия 2.0, github)

• Среда информации и координации уязвимостей (VINCE) (сообщение в блоге, github)

• Различные сопутствующие исследования, в том числе

  • Обмен информацией о кибербезопасности: анализ электронной почты для скоординированного раскрытия уязвимостей
  • Исторический анализ сроков доступности эксплойтов

Совсем недавно CERT/CC работал над формализацией этих знаний в протоколе по сердечно-сосудистым заболеваниям. Эта работа началась с «Государственной модели многостороннего скоординированного раскрытия уязвимостей» (MPCVD), которая также появилась в сокращенной форме под названием «Мы умелы или просто удачливы?» Интерпретация возможных историй раскрытия уязвимостей в журнале ACM «Цифровые угрозы: исследования и практика» . В 2022 году мы опубликовали сборник пользовательских историй о скоординированном раскрытии уязвимостей, основанный как на нашей работе по моделированию процессов, так и на основе опыта создания VINCE. В том же году мы опубликовали «Проектирование Vultron: протокол многостороннего скоординированного раскрытия уязвимостей» (MPCVD), который служит основой для работы, содержащейся в этом репозитории.

Вультрон – это:

• Набор процессов высокого уровня, представляющих шаги, необходимые для скоординированного раскрытия уязвимостей.
• Формальный протокол, описывающий взаимодействие этих процессов.
• Набор логики поведения, который может быть реализован либо в виде процедур, которым должны следовать люди, либо (во многих случаях) в виде кода, который может выполнять действия в ответ на изменения состояния в случае с минимальным вмешательством человека.
• Минимальная модель данных о том, какая информация необходима для отслеживания статуса участника и общего статуса случая в ходе лечения случая ССЗ.

Все вышеперечисленное первоначально было описано в отчете «Проектирование Vultron: протокол многостороннего скоординированного раскрытия уязвимостей» (MPCVD).

В этом репозитории мы делаем первые шаги по реализации протокола и логики поведения, описанных в этом отчете. В настоящее время работа сосредоточена на сопоставлении формального протокола с синтаксисом и семантикой протокола ActivityPub. Примеры наших первых шагов в этом направлении можно найти в документе doc/examples.

Vultron не является полной заменой какого-либо конкретного

• система отслеживания — например, Bugzilla, Jira
• CVD или инструмент координации угроз — например, VINCE, MISP
• Программа раскрытия уязвимостей — например, DC3 VDP.
• Платформа или служба раскрытия уязвимостей , например HackerOne, Bugcrowd, Synack.

Вместо этого мы надеемся, что Vultron сможет служить лингва-франка для обмена информацией о координации случаев уязвимости между этими системами и службами.

Vultron не является инструментом определения приоритетов уязвимостей, хотя он предназначен для совместимости с распространенными схемами определения приоритетов, такими как SSVC и CVSS.

Vultron не задуман как продукт, а скорее как набор функций, который можно реализовать в различных продуктах и ​​услугах, связанных с сердечно-сосудистыми заболеваниями, чтобы обеспечить взаимодействие между ними.

Дополнительную информацию о нашей работе по моделированию, формализации и описанию процесса сердечно-сосудистых заболеваний см.:

• «Проектирование Vultron: протокол многостороннего скоординированного раскрытия уязвимостей» (MPCVD) (2022 г.) — это первоначальный отчет Vultron.
  • Сообщение в блоге SEI о Vultron (26 сентября 2022 г.)
  • Подкаст SEI на Vultron (24 февраля 2023 г.)
• Руководство CERT по скоординированному раскрытию уязвимостей (2017, 2019)
• Государственная модель многостороннего скоординированного раскрытия уязвимостей (MPCVD) (2021 г.)
  • (сокращенно) Мы умелые или просто удачливые? Интерпретация возможных историй раскрытия уязвимостей (2022 г.)
• Истории пользователей скоординированного раскрытия уязвимостей (2022 г.)
• Многометодное моделирование и анализ экосистемы управления уязвимостями кибербезопасности (2019) представляет собой снимок некоторых связанных системной динамики и агентного моделирования, которое мы выполнили для CVD и связанных с ней процессов.
• Скоординированное раскрытие уязвимостей — это параллельный процесс (2015 г.) — это старый доклад, в котором рассматривается ряд предыдущих моделей процесса CVD и показаны некоторые из наших ранних попыток формально описать аспекты параллелизма процесса CVD.

Мы все еще разрабатываем правильную модель лицензирования для этой работы, но на данный момент на этот репозиторий распространяется прилагаемое заявление об авторских правах.

Если у вас есть отзывы по этой теме (в том числе о том, мешает ли вам авторское право/лицензия сотрудничать с нами в этом проекте), сообщите нам об этом в сообщении.