หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

วัลตรอน

Vultron เป็นโครงการวิจัยเพื่อสำรวจการสร้างโปรโตคอลแบบรวมศูนย์ กระจายอำนาจ และโอเพ่นซอร์สสำหรับการเปิดเผยช่องโหว่ที่มีการประสานงาน (CVD) พัฒนาขึ้นจากประสบการณ์หลายทศวรรษของ CERT/CC ในการประสานงานระดับโลกต่อช่องโหว่ของซอฟต์แวร์ เป้าหมายคือการสร้างโปรโตคอลที่องค์กรใดๆ สามารถนำมาใช้เพื่อประสานงานการเปิดเผยช่องโหว่ในระบบประมวลผลข้อมูล (ซอฟต์แวร์ ฮาร์ดแวร์ บริการ ฯลฯ) และเพื่อสร้างชุมชนของการทำงานร่วมกันระหว่างกระบวนการและนโยบายขององค์กรอิสระที่สามารถทำได้ ทำงานร่วมกันเพื่อประสานงานการตอบสนองที่เหมาะสมต่อจุดอ่อน

Vultron คือคอลเลกชันของแนวคิด แบบจำลอง โค้ด และงานที่กำลังดำเนินการ และยังไม่พร้อมสำหรับการใช้งานจริง

ความเป็นมาและงานที่เกี่ยวข้อง

Vultron เป็นการสานต่องานของ CERT/CC ในการปรับปรุงการประสานงานการเปิดเผยและการตอบสนองต่อช่องโหว่ งานก่อนหน้าของเราในด้านนี้ประกอบด้วย:

  • คู่มือ CERT เพื่อการเปิดเผยช่องโหว่ที่มีการประสานงาน (เวอร์ชัน 1.0, เวอร์ชัน 2.0)

  • การจัดลำดับความสำคัญของการตอบสนองต่อช่องโหว่: A Stakeholder-Specific Vulnerability Categorization (SSVC) (เวอร์ชัน 1.0, เวอร์ชัน 2.0, github)

  • ข้อมูลช่องโหว่และสภาพแวดล้อมการประสานงาน (VINCE) (บล็อกโพสต์, GitHub)

  • งานวิจัยที่เกี่ยวข้องหลากหลายอันได้แก่

    • การแบ่งปันข้อมูลความปลอดภัยทางไซเบอร์: การวิเคราะห์คลังอีเมลของการเปิดเผยช่องโหว่ที่ประสานงานกัน
    • การวิเคราะห์เชิงประวัติของไทม์ไลน์ความพร้อมใช้งานของการหาประโยชน์

เมื่อเร็วๆ นี้ CERT/CC กำลังทำงานเพื่อนำความรู้นี้มาจัดเป็นโปรโตคอลสำหรับ CVD งานนี้เริ่มต้นด้วยแบบจำลองตามรัฐสำหรับการเปิดเผยช่องโหว่ที่มีการประสานงานหลายฝ่าย (MPCVD) ซึ่งปรากฏในรูปแบบย่อว่า Are We Skillful or Just Lucky? การตีความประวัติที่เป็นไปได้ของการเปิดเผยช่องโหว่ใน ACM Journal Digital Threats: Research and Practice ในปี 2022 เราได้เผยแพร่คอลเลกชันเรื่องราวของผู้ใช้การเปิดเผยช่องโหว่แบบประสานงานที่ได้มาจากทั้งงานการสร้างแบบจำลองกระบวนการของเราและจากประสบการณ์ในการสร้าง VINCE ในปีเดียวกันนั้นเอง เราได้เผยแพร่ Designing Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure (MPCVD) ซึ่งทำหน้าที่เป็นพื้นฐานสำหรับงานที่มีอยู่ในพื้นที่เก็บข้อมูลนี้

แล้ววัลตรอน คือ อะไร?

วัลตรอนคือ:

  • ชุดของกระบวนการระดับสูงที่แสดงถึงขั้นตอนที่เกี่ยวข้องกับการเปิดเผยช่องโหว่ที่มีการประสานงาน
  • โปรโตคอลอย่างเป็นทางการที่อธิบายการโต้ตอบของกระบวนการเหล่านั้น
  • ชุดตรรกะพฤติกรรมที่สามารถนำไปใช้เป็นขั้นตอนเพื่อให้มนุษย์ปฏิบัติตามหรือ (ในหลายกรณี) โค้ดที่สามารถดำเนินการเพื่อตอบสนองต่อการเปลี่ยนแปลงสถานะในกรณีที่มีการป้อนข้อมูลของมนุษย์น้อยที่สุด
  • แบบจำลองข้อมูลขั้นต่ำสำหรับข้อมูลที่จำเป็นในการติดตามสถานะของผู้เข้าร่วมและสถานะเคสโดยรวมผ่านขั้นตอนการจัดการเคส CVD

ข้อมูลข้างต้นทั้งหมดได้รับการอธิบายไว้เบื้องต้นในรายงาน Designing Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure (MPCVD)

ในพื้นที่เก็บข้อมูลนี้ เรากำลังดำเนินการขั้นตอนแรกสู่การนำโปรโตคอลและตรรกะพฤติกรรมที่อธิบายไว้ในรายงานนั้นไปใช้ ปัจจุบันงานมุ่งเน้นไปที่การแมปโปรโตคอลที่เป็นทางการไปยังไวยากรณ์และความหมายของโปรโตคอล ActivityPub ตัวอย่างของขั้นตอนแรกของเราในทิศทางนั้นสามารถพบได้ใน doc/examples

Vultron ไม่ใช่ อะไร?

Vultron ไม่ใช่ การทดแทนแบบดรอปอินสำหรับสิ่งใดสิ่งหนึ่งโดยเฉพาะ

  • ระบบติดตาม เช่น Bugzilla, Jira
  • CVD หรือเครื่องมือประสานงานภัย คุกคาม เช่น VINCE, MISP
  • โปรแกรมการเปิดเผยช่องโหว่ —เช่น DC3 VDP
  • แพลตฟอร์มหรือบริการเปิดเผยช่องโหว่ เช่น HackerOne, Bugcrowd, Synack

แต่เราหวังว่า Vultron จะทำหน้าที่เป็น ภาษากลาง สำหรับการแลกเปลี่ยนข้อมูลการประสานงานกรณีช่องโหว่ระหว่างระบบและบริการเหล่านั้น

Vultron ไม่ใช่เครื่องมือจัดลำดับความสำคัญของช่องโหว่ แม้ว่าจะมีจุดมุ่งหมายให้เข้ากันได้กับแผนการจัดลำดับความสำคัญทั่วไป เช่น SSVC และ CVSS ก็ตาม

Vultron ไม่ได้ตั้งใจให้เป็นผลิตภัณฑ์ แต่ตั้งใจให้เป็นชุดคุณลักษณะที่สามารถนำไปใช้กับผลิตภัณฑ์และบริการต่างๆ ที่เกี่ยวข้องกับ CVD เพื่อให้สามารถทำงานร่วมกันได้

แหล่งข้อมูล CERT CVD อื่นๆ

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับงานของเราในการสร้างแบบจำลอง การทำให้เป็นทางการ และการอธิบายกระบวนการ CVD โปรดดู:

  • การออกแบบ Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure (MPCVD) (2022) เป็นรายงานเริ่มต้นของ Vultron
    • โพสต์ในบล็อก SEI เกี่ยวกับ Vultron (2022-09-26)
    • SEI Podcast บน Vultron (2023-02-24)
  • คู่มือ CERT สำหรับการเปิดเผยช่องโหว่ที่มีการประสานงาน (2017, 2019)
  • โมเดลตามรัฐสำหรับการเปิดเผยช่องโหว่ที่มีการประสานงานหลายฝ่าย (MPCVD) (2021)
    • (ย่อว่า) เราเก่งหรือแค่โชคดี? การตีความประวัติที่เป็นไปได้ของการเปิดเผยช่องโหว่ (2022)
  • เรื่องราวของผู้ใช้การเปิดเผยช่องโหว่ที่มีการประสานงาน (2022)
  • การสร้างแบบจำลองและการวิเคราะห์แบบหลายวิธีของระบบนิเวศการจัดการช่องโหว่ด้านความปลอดภัยทางไซเบอร์ (2019) เป็นภาพรวมของ System Dynamics และการสร้างแบบจำลองตามเอเจนต์ที่เกี่ยวข้องบางส่วนที่เราทำกับ CVD และกระบวนการที่เกี่ยวข้อง
  • การเปิดเผยช่องโหว่แบบประสานงานเป็นกระบวนการที่เกิดขึ้นพร้อมๆ กัน (2015) เป็นการพูดคุยเก่าๆ ที่จะกล่าวถึงโมเดลก่อนหน้าของกระบวนการ CVD หลายรูปแบบ และแสดงให้เห็นถึงความพยายามในช่วงแรกๆ ของเราในการอธิบายลักษณะการทำงานพร้อมกันของกระบวนการ CVD อย่างเป็นทางการ

ใบอนุญาตและลิขสิทธิ์

เรายังคงพัฒนารูปแบบสิทธิ์การใช้งานที่ถูกต้องสำหรับความพยายามนี้ แต่สำหรับตอนนี้ พื้นที่เก็บข้อมูลนี้อยู่ภายใต้คำชี้แจงลิขสิทธิ์ที่รวมอยู่ด้วย

หากคุณมีคำติชมเกี่ยวกับหัวข้อนี้ (รวมถึงลิขสิทธิ์/ใบอนุญาตทำให้คุณลำบากในการร่วมงานกับเราในโครงการนี้หรือไม่) โปรดแจ้งให้เราทราบในประเด็น

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด