Computerworld spørger:Hvad er vigtigt hos en it-leverandør - og hvem gør det rigtigt? Deltag og vind B&O-udstyr.

Artikel top billede

Sådan rapporterer du sårbarheder fremover

Brancheforeningen ICASI er nu klar med en standard til rapportering af sårbarheder og har således lagt sidste hånd på et større standardiseringstiltag på området.

Computerworld News Service: Tre år efter oprettelsen af Industry Consortium for Advancement of Security on the Internet begynder brancheforeningen at bære frugt med lanceringen af første version af et rammeværktøj, der gør det lettere for it-leverandører at dele oplysninger om sårbarheder i software.

Rapporterings-standarden Common Vulnerability Reporting Framework er gratis at anvende og er baseret på XML. Håbet er, at der hermed vil blive ryddet op i de mange forskellige måder, virksomheder dokumenterer, refererer til og rapporterer om opdagede software-sårbarheder i mængden af produkttyper.

It-sikkerhedsbranchen havde i forvejen udviklet systemet Common Vulnerabilities and Exposures til identificering af sikkerhedsfejl uafhængigt af hver leverandørs særlige terminologi samt Common Vulnerability Scoring System til kategorisering af sårbarheders alvorsgrad. CVRF udgør det sidste større standardiserende skridt i denne overhaling.

Ideen er, at leverandørerne i steder for at bruge deres egne rapporteringsdesign i fremtiden vil anvende CVRF, hvilket fjerner behovet for det tidskrævende og potentielt usikre arbejdet med at oversætte begreberne mellem inkompatible rapporter igen og igen.

Den nye standard er ikke kun til it-virksomheder og software-leverandører men også til enhver med interesser i sikkerhedsbranchen heriblandt analytikere, computer emergency response teams, store virksomheder og regeringer. Også forbrugerne vil indirekte høste fordele af standarden.

Bedre overblik - større tillid

"Med brugen af CVRF vil producenterne af sårbarhedsrapporter drage nytte af hurtigere og mere standardiseret rapportering," siger Linda Betz, der er formand for ICASI og chef for it-politik og informations-sikkerhed hos IBM.

"Slutbrugerne vil være i stand til at finde, håndtere og handle på relevante informationer hurtigere og lettere og med en højere grad af tillid til, at informationerne er nøjagtige og fyldestgørende. Forbrugerne vil i sidste ende drage fordel af mere sikre systemer og applikationer," forklarer hun.

ICASI's medlemmer inkluderer virksomheder såsom Microsoft, Cisco, Juniper Networks, Nokia, Amazon, IBM og Intel, men det ville være en fejl at tro, at dette blot er endnu en højt ragende standard, der er designet til at gøre livet lettere for de store leverandører.

Et uudtalt håb er, at CVRF på længere sigt vil gøre det lettere for uafhængige analytikere at indsende sårbarhedsdata til virksomheder højere oppe i fødekæden, hvilket hidtil har været en kompliceret proces.

Muligheden for at indsende data via et systemet baseret på XML, der kan behandles maskinelt, bør betyde, at sikkerhedsinformationerne vil cirkulere hurtigere og mindre ekskluderende, end det før har været tilfældet.

ICASI har offentliggjort et forklarende white paper (pdf) på sit website, der beskriver rammeværktøjet i detaljer.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere


Cyberthreat Day, Horsens: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

10. april 2025 | Læs mere