Arcane, program pengungkapan kerentanan yang kompleks menghambat keamanan
Sebagian besar kerentanan produk sekarang tidak ditemukan oleh vendor yang terpengaruh, tetapi oleh sumber luar seperti peneliti pihak ketiga, dan mereka ada di seluruh peta.
Kerentanan yang menciptakan potensi lubang keamanan di produk Internet of things (IoT) dan sistem kontrol industri (ICS) terus berkembang.
Lebih dari 600 diungkapkan pada paruh pertama tahun ini, menurut Laporan Risiko &Kerentanan ICS terbaru Claroty. Sebagian besar memiliki tingkat keparahan yang tinggi atau kritis, dapat dengan mudah dan dieksploitasi dari jarak jauh, dan membuat komponen yang terpengaruh sama sekali tidak dapat digunakan. Seperempat tidak memiliki perbaikan, atau hanya dapat diperbaiki sebagian.
Contoh potensi kehancuran yang dapat disebabkan oleh kerentanan yang tidak diketahui yang bersembunyi di rantai pasokan perangkat lunak adalah cluster BadAlloc yang baru-baru ini dinamai di RTOS dan perpustakaan pendukung dari beberapa pemasok. Ini dapat dieksploitasi untuk serangan penolakan layanan atau eksekusi kode jarak jauh.
klik untuk gambar ukuran penuh
(Sumber:Institut Standar dan Teknologi Nasional)
Jutaan perangkat IoT dan teknologi operasional (OT) — serta sistem konsumen seperti mobil, dan perangkat medis — berpotensi terpengaruh. Namun OEM dan pengguna pemilik aset sama-sama tidak mengetahui kekurangan ini sampai Microsoft mengungkapkannya pada bulan April.
Namun sebagian besar kerentanan produk sekarang tidak ditemukan oleh vendor yang terpengaruh, tetapi oleh sumber luar seperti peneliti pihak ketiga. Itu sebabnya program pengungkapan kerentanan (VDP) ada. Seperti yang dijelaskan oleh Bugcrowd's 2021 Ultimate Guide to Vulnerability Disclosure, VDP telah disiapkan untuk menyediakan “mekanisme untuk mengidentifikasi dan memulihkan kerentanan yang ditemukan di luar siklus pengembangan perangkat lunak biasa.” Mereka biasanya dijalankan oleh entitas federal, organisasi industri, dan beberapa vendor produk besar.
Tidak ada konsistensi di seluruh program
Menanggapi arahan operasional yang mengikat pada September 2020 dari Cybersecurity and Infrastructure Security Agency (CISA), lembaga federal memposting kebijakan pengungkapan kerentanan mereka — secara membingungkan, juga ditunjukkan dengan akronim “VDP.” Pada bulan Juli, CISA mengumumkan Platform VDP-nya. Disediakan oleh Bugcrowd dan EnDyna, situs ini akan melayani agen federal sipil sebagai situs yang dikelola secara terpusat tempat peneliti keamanan dan lainnya dapat melaporkan kerentanan di situs web agensi.
Ron Brash
Tetapi sebagian besar VDP mengatur kerentanan dalam produk, bukan proses atau konfigurasi. Sayangnya, ada sedikit konsistensi di antara mereka. “Program-program ini ada di mana-mana:bahkan agen federal AS melakukan hal mereka sendiri,” Ron Brash, direktur wawasan keamanan siber untuk Verve Industrial Protection, mengatakan kepada EE Times . "Tidak satu pun dari mereka diatur untuk efisiensi maksimum." Bahkan mereka yang memiliki mekanisme yang baik, seperti program NIST dan ISO/IEC, memiliki perbedaan antara mekanisme tersebut:apa yang dilaporkan dan bagaimana, penegakan, dan bagaimana perubahan yang diperlukan dibuat oleh kelompok tertentu.
Kurang ajar juga menyalahkan kurangnya transparansi dalam pelaporan. Pemerintah AS belum mengembangkan kode untuk produk jenis COTS yang biasanya dibeli, sehingga agen federal tidak memiliki kepemilikan nyata dan harus bertindak sebagai polisi lalu lintas, katanya. “Orang-orang yang seharusnya melakukan ‘pemolisian’ tidak memiliki pengetahuan untuk benar-benar memahami masalah yang dihadapi, atau dampaknya; tidak dapat memperbaiki kerentanan secara efektif karena anggaran, persetujuan, platform EOL yang tidak memadai, atau ketidakmampuan untuk memprovokasi vendor agar memberikan perbaikan; dan tidak memiliki sarana untuk menerapkan konsekuensi atau memaksakan perbaikan.”
Kepemilikan juga kurang untuk nasihat yang diberikan, dan untuk sinkronisasi apa yang telah dilakukan tentang hal itu di seluruh program pemerintah dan portal vendor. “Ini semua upaya terbaik,” kata Brash. “Vendor besar sering mengambil kepemilikan, tetapi beberapa unit bisnis mereka mungkin melakukannya secara berbeda. Karena setiap produk dapat menggabungkan beberapa produk, jumlah vendor semakin berlipat ganda.”
Sistem pelaporan CVE memiliki keterbatasan
CISA mensponsori dua VDP AS yang paling sentral:Database Kerentanan Nasional (NVD), yang diselenggarakan oleh Institut Nasional Standar dan Teknologi (NIST), dan program Common Vulnerabilities and Exposures (CVE) yang sedikit lebih tua, dijalankan oleh MITRE, yang merinci secara publik kerentanan yang diketahui. CISA juga menyelenggarakan penasehat ICS-CERT, yang mencakup eksploitasi dan masalah.
“Bahkan jika kita mengabaikan seluruh proses pengungkapan dan aspek penelitian, sistem [pelaporan CVE] misterius dan kompleks,” kata Brash. “Sebagian besar pemilik aset tidak memiliki pengetahuan yang diperlukan untuk memahami secara memadai nasihat keamanan OT/ICS, atau untuk menindaklanjutinya. Jadi, mereka menjadi lumpuh oleh banyaknya informasi.” Kompleksitas ini menjadi jelas saat menonton presentasi YouTube Brash, 101 untuk menguraikannya.
Sistem CVE tidak mencakup semuanya:semakin banyak kerentanan tidak muncul di sana. Menurut Keamanan Berbasis Risiko, 2.158 kerentanan dipublikasikan pada bulan Juli, 670 di antaranya tanpa ID CVE.
“CVE terbatas pada kerentanan yang memengaruhi beragam perangkat lunak yang mungkin digunakan banyak perusahaan,” peneliti keamanan independen John Jackson, pendiri kelompok peretasan etis Sakura Samurai, mengatakan kepada EE Times . “[Tetapi] kerentanan dapat spesifik pada logika dalam perangkat lunak atau pada server yang hanya dimiliki oleh satu perusahaan.”
VDP federal menargetkan sebagian besar agen federal, kata Brash. Sedikit yang tersedia untuk perusahaan komersial:beberapa industri memiliki regulator sendiri, seperti North American Electric Reliability Corporation (NERC) untuk utilitas listrik. Meskipun kebijakan dan prosedur badan federal dapat dicerminkan untuk digunakan dalam industri swasta, hal itu dapat berubah dengan setiap pemilihan presiden, katanya.
“Beberapa proyek komunitas open-source mengelola pengungkapan kerentanan dengan cukup baik,” kata Brash. “Misalnya, beberapa bagian dari kernel Linux dikelola dengan baik; yang lain tidak begitu banyak, dan itu bahkan tidak mempertimbangkan ekosistem Linux secara keseluruhan. Dan jika dibandingkan dengan proyek perangkat lunak bebas dan sumber terbuka lainnya, atau bahkan berbagai produk berpemilik, mereka juga memiliki praktik keamanan yang sangat bervariasi.”
Pelaporan, masalah pengungkapan
Kurangnya konsistensi di seluruh program, terutama dalam pelaporan, dapat mengikat peneliti pihak ketiga, belum lagi potensi masalah hukum yang disebabkan oleh Computer Fraud and Abuse Act (CFAA).
John Jackson
“Banyak VDP mengharuskan peretas untuk tidak mendiskusikan temuan mereka, namun program tidak membayar mereka, atau memberi mereka insentif untuk bahkan meretas,” kata Jackson. “Selain itu, mereka biasanya dikelola dengan buruk atau salah dikelola oleh personel non-keamanan, dan itu membuat kolaborasi menjadi sulit. VDP menggunakan Bugcrowd adalah awal yang baik karena memungkinkan peretas berkolaborasi secara efektif dan triage dapat melihat kerentanan terlebih dahulu untuk mengonfirmasinya. Namun, ini tidak mengurangi kebutuhan akan keamanan reguler.”
Sebuah laporan tahun 2016 dari NTIA Awareness and Adoption Group mengatakan, “Sebagian besar peneliti (92%) umumnya terlibat dalam beberapa bentuk pengungkapan kerentanan terkoordinasi. Ancaman tindakan hukum dikutip oleh 60% peneliti sebagai alasan mereka mungkin tidak bekerja sama dengan vendor untuk mengungkapkannya. Hanya 15% peneliti yang mengharapkan hadiah sebagai imbalan atas pengungkapannya, tetapi 70% mengharapkan komunikasi reguler tentang bug tersebut.”
Menurut Panduan Ultimate 2021 Bugcrowd, 87% organisasi dengan VDP mereka sendiri melaporkan mendapatkan kerentanan kritis darinya. Tetapi sementara 99% mengatakan mereka mempertimbangkan untuk bergabung dengan VDP mereka dengan program hadiah bug, hanya 79% yang mengatakan bahwa mereka benar-benar membayar peneliti untuk "penemuan yang berdampak".
Karena masalahnya menjadi sangat rumit dengan kerentanan dalam produk IoT yang disematkan, proses pengungkapan harus distandarisasi, kata Brash. Juga harus ada “tongkat untuk menegakkannya”, baik di pihak pemilik aset maupun pihak pengembang produk OEM. Dia membayangkan registri untuk produk IoT tertanam seperti yang untuk penarikan mobil. “Saya percaya itu harus ada di pelat vendor dan integrator sistem untuk memastikan pemilik aset setidaknya diberi tahu tentang kerentanan dalam aset mereka. Seperti halnya penarikan mobil, pemilik kemudian dapat memutuskan untuk menerima risiko, memperbaikinya, atau membeli produk lain.”
>> Artikel ini awalnya diterbitkan di situs saudara kami, EE Waktu.