Clear
Lead Graphic Papers

ข่าวสั้น

NCSC UK ออกคู่มือการแจ้งรายงานช่องโหว่ ครอบคลุมการติดต่อสื่อสาร การกำหนดนโยบาย และการประกาศ security.txt

หน่วยงาน National Cyber Security Centre (NCSC) ของสหราชอาณาจักรได้เผยแพร่คู่มือการแจ้งรายงานช่องโหว่ในชื่อ Vulnerability Disclosure Toolkit โดยมีจุดประสงค์เพื่อใช้เป็นแนวปฏิบัติในการกำหนดกระบวนการรับแจ้งและประสานงานช่องโหว่ รวมถึงเพื่อให้เกิดความชัดเจนว่าผู้ที่ค้นพบช่องโหว่จะสามารถติดต่อกับผู้รับผิดชอบหรือผู้ที่เกี่ยวข้องได้ ในคู่มือดังกล่าวจะแบ่งแนวทางหลัก ๆ ออกเป็น 3 ส่วน คือ การติดต่อสื่อสาร การกำหนดนโยบาย และการประกาศ security.txt โดยสรุปรายละเอียดได้ดังนี้

การติดต่อสื่อสาร ควรประกาศช่องทางการรับแจ้งช่องโหว่ด้านความมั่นคงปลอดภัยที่ชัดเจน เช่น รับแจ้งผ่านอีเมล security@example.com หรือมีแบบฟอร์มให้กรอกผ่านหน้าเว็บไซต์โดยตรง ทั้งนี้ หลังจากที่ได้รับแจ้งช่องโหว่แล้ว ควรมีกระบวนการเพื่อนำข้อมูลที่ได้รับแจ้งไปส่งต่อให้กับผู้ที่เกี่ยวข้องโดยเร็วที่สุด ตอบกลับผู้แจ้งว่าได้รับทราบแล้วและอยู่ระหว่างดำเนินการ ไม่ควรเพิ่มขั้นตอนหรือกระบวนการที่ไม่จำเป็นเช่นการลงนามในสัญญาไม่เปิดเผยข้อมูล และหากการแก้ไขช่องโหว่นั้นใช้เวลานานควรอัปเดตความคืบหน้าให้ผู้แจ้งทราบเป็นระยะ ๆ

การกำหนดนโยบาย ควรกำหนดให้ชัดเจนว่าผู้ที่รายงานช่องโหว่เข้ามานั้นจะต้องแจ้งข้อมูลช่องโหว่มากน้อยเพียงใด หากไม่ได้รับรายละเอียดที่เพียงพอควรติดต่อกลับเพื่อขอข้อมูลเพิ่มเติมผ่านช่องทางที่มีความมั่นคงปลอดภัย รวมถึงควรกำหนดกระบวนการทำงานโดยอ้างอิงจากกรอบการทำงานหรือมาตรฐานสากล

การประกาศ security.txt ไว้ในเว็บไซต์เพื่อใช้ระบุช่องทางการติดต่อประสานงานด้านความมั่นคงปลอดภัย โดยควรระบุให้ชัดเจนทั้งในส่วนรายละเอียดการติดต่อสื่อสารและการประกาศนโยบายการรายงานช่องโหว่ ทั้งนี้ รายละเอียดเพิ่มเติมที่เกี่ยวข้องกับการกำหนด security.txt สามารถดูได้จาก https://www.thaicert.or.th/newsbite/2019-12-12-01.html

ในคู่มือมีตัวอย่างแผนการรับมือเมื่อได้รับแจ้งช่องโหว่ด้านความมั่นคงปลอดภัย รวมถึงตัวอย่างการประกาศนโยบายการแจ้งช่องโหว่ด้วย ผู้ที่สนใจสามารถดูเพิ่มเติมได้จาก https://www.ncsc.gov.uk/files/NCSC_Vulnerability_Toolkit.pdf

วันที่: 2020-09-16 | ที่มา: NCSC UK, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+

Clear