المملكة المتحدة المركز الوطني للأمن السيبراني (NCSC) رفعت الغطاء على برنامج مبادرة أبحاث الضعف (VRI) المصمم لإشراك القطاع الخاص في أبحاث الضعف والاكتشاف لصالح المجتمع الأوسع.
تدير NCSC بالفعل فريقًا من خبراء الأبحاث الداخلية الذين يقضون أيامهم في البحث عن مجموعة واسعة من التقنيات والمنتجات – أي شيء من تقنية السلع الأساسية في كل مكان يستخدمه المستهلكون ، إلى الأجهزة التشغيلية المتخصصة المستخدمة في أماكن قليلة فقط.
جعلت هذه القدرة الداخلية الوكالة السيبرانية على علم بشكل أفضل بأمان التكنولوجيا التي تم نشرها بشكل شائع-ومدى صعوبة العثور على نقاط الضعف في منتجات البرمجيات-وتساعد Citrix تنزف أو log4shell.
ومع ذلك ، هذه عملية طويلة ومشاركة ، ومع استمرار وتيرة تطوير التكنولوجيا في زيادة التعقيد والحجم ، فإن الطلب على أبحاث الضعف يزداد.
أدخل VRI ، وهو مخطط سيعمل من خلاله NCSC مع الباحثين الخارجيين في الإنترنت والمتسللين الأخلاقيين لتوسيع نطاق الوصول إلى الأدوات والتجارة المتاحة لاكتشاف الضعف ، ويعزز فهم أمن التكنولوجيا التي تعتمد الحياة اليومية في المملكة المتحدة.
من بين أشياء أخرى ، تهدف VRI إلى محاولة فهم نقاط الضعف الموجودة في التكنولوجيا أو المنتج بشكل أفضل ، وما هي التخفيفات اللازمة لإصلاحها ، وكيف يقوم الباحثون بإجراء أبحاثهم ، والأدوات التي يستخدمونها لتمكينها. وقالت NCSC إن هذا سيزيد من قدرتها على أبحاث الضعف وتبادل الخبرة عبر النظام البيئي الأوسع.
في نهاية المطاف ، سيتم استخدام ناتج البرنامج لإبلاغ المشورة والتوجيه المستقبليين التي تقدمها NCSC كسلطة فنية وطنية في المملكة المتحدة حول الأمن السيبراني ، للانخراط بشكل أفضل مع مجتمع الموردين لتشجيعهم على بناء منتجات أكثر أمانًا في المقام الأول وإصلاح الأخطاء في القائمة الحالية.
غامرة رحب مدير أبحاث التهديدات الإلكترونية ، كيف برين ، بقرار NCSC بمحاولة توسيع قدراتها على الضعف: “هناك قدر كبير من القدرة في المجال العام ، وخاصة في مجالات البحث المتخصصة أكثر. إنه ليس من العملي أن يتشمل NCSC الممتازات الممتازة ، في تجميعها الممتلكات ، في متابعة المؤسسة المميزة ، في ذلك المجال الممتاز. لتوسيع قاعدة المعرفة هذه. “
تحفيز الباحثين
ومع ذلك ، أشار برين إلى أن عدم وجود أي مكافآت أخطاء مرتبطة قد يحد من عدد الأفراد المستعدين للمشاركة في البرنامج عندما يمكن تعويضهم عن إجراء عمل مماثل من خلال المخططات الحالية.
كيفن روبرتسون ، كبير مسؤولي التكنولوجيا في فطنة الإنترنت، وافق: “غالبًا ما يتم وصف الإنترنت على أنه رياضة مجتمعية. ومع ذلك ، فإن الباحثين المستقلين عادة ما يكونون حافزًا ضئيلًا للتعاون مع هيئات مثل NCSC ، لأنهم سيحصلون على مزيد من الاعتراف والتأثير من خلال نشر نتائجهم بأنفسهم ، بدلاً من تسليمها إلى وكالة حكومية. من الضروري أن يصبح هذا مثالًا آخر على الإمكانات الضائعة في مجال إن الإجراء المستقل غالبًا ما يثير أكثر معنى”.
قال NCSC إنه كان حريصًا على سماع الخبراء في العديد من الموضوعات – لا سيما التطبيق المحتمل للذكاء الاصطناعي (AI) إلى أبحاث الضعف – ويشجعهم على الاتصال. مزيد من تفاصيل البرنامج ، بما في ذلك المعلومات حول عملية الأسهم الشاملة التي تحكم كيف يتم التعامل مع نقاط الضعف التي تم العثور عليها حديثًا والكشف عنها ، ومن قبل من ، من قبل من قبل من قبل من قبل ، من ، متوفرة هنا.
