EN DA
standards

Hantera sårbarheter effektivt ISO/IEC 29147 och 30111 förklarat

11 minuters läsning
Hantera sårbarheter effektivt ISO/IEC 29147 och 30111 förklarat

ISO-standarder för sårbarhetshantering. Upptäck hur ISO/IEC 29147 och ISO/IEC 30111 kan förbättra cybersäkerheten för dina produkter.

Det är här de internationella standarderna ISO/IEC 29147 ("Vulnerability disclosure") och ISO/IEC 30111 ("Vulnerability handling processes") kommer in. Dessa två standarder från International Organization for Standardization (ISO) och International Electrotechnical Commission (IEC) tillhandahåller leverantörer av produkter och tjänster omfattande vägledning och bästa praxis för hela sårbarhetshanterings-livscykeln.

ISO/IEC 29147 fokuserar på gränssnittet mellan leverantörer och de personer som rapporterar säkerhetssårbarheter. Den definierar krav för hur leverantörer ska ta emot rapporter, kommunicera med rapportörer och publicera information om sårbarheter och begränsningar. ISO/IEC 30111 kompletterar denna standard genom att beskriva de interna processerna för att verifiera, analysera och åtgärda rapporterade sårbarheter.

Tillsammans bildar de två standarderna ett ramverk för effektiv sårbarhetshantering. De uppmuntrar konstruktivt samarbete mellan leverantörer, säkerhetsforskare och användare med det gemensamma målet att snabbt identifiera och korrigera sårbarheter och kontinuerligt förbättra systemsäkerheten.

Att tillämpa ISO/IEC 29147 och ISO/IEC 30111 erbjuder leverantörer många fördelar. Tydligt definierade processer och ansvar möjliggör att sårbarheter hanteras effektivt och koordinerat. Transparent kommunikation bygger förtroende hos användare och forskare. Samtidigt ger strukturerad registrering och analys av sårbarheter värdefulla insikter som hjälper leverantörer att proaktivt förbättra säkerheten för deras produkter och tjänster.

Nedan presenterar vi kort innehållet och kraven i ISO/IEC 29147 och ISO/IEC 30111. Vi tittar på rollerna och ansvaret för de inblandade parterna, faserna i sårbarhetshantering och bästa praxis för effektiv implementering.

Samspel mellan ISO/IEC 29147 och ISO/IEC 30111

ISO/IEC 29147 och ISO/IEC 30111 är två närbesläktade informationssäkerhetsstandarder som handlar om hantering av sårbarheter i produkter och tjänster.

ISO/IEC 29147 ("Vulnerability disclosure") ger leverantörer vägledning om hur de ska acceptera rapporter om potentiella sårbarheter från externa individer eller organisationer och hur de ska tillhandahålla information om begränsningar till berörda användare. Standarden beskriver bästa praxis för kommunikation mellan leverantörer och personer som rapporterar sårbarheter.

ISO/IEC 30111 ("Vulnerability handling processes") kompletterar ISO/IEC 29147 genom att föreskriva en process som leverantörer ska följa för att undersöka, bedöma och åtgärda rapporterade sårbarheter internt. Den täcker de steg som äger rum efter att en sårbarhet har rapporterats av en extern rapportör eller upptäckts internt.

Medan ISO/IEC 29147 fokuserar på gränssnittet mellan leverantörer och rapportörer handlar ISO/IEC 30111 om leverantörens interna processer för verifiering, prioritering och åtgärd av sårbarheter.

Samspelet fungerar enligt följande: ISO/IEC 29147 definierar krav för hur leverantörer tar emot sårbarhetsrapporter och kommunicerar om dem. När en rapport tas emot tillämpas processerna från ISO/IEC 30111 för att analysera och åtgärda sårbarheten. I slutet av den processen publiceras information om sårbarheten och tillgängliga patchar eller tillfälliga lösningar igen, vilket täcks av ISO/IEC 29147.

Förhållande mellan ISO/IEC 29147 och ISO/IEC 30111

Båda standarderna tillsammans möjliggör en strukturerad sårbarhetshanteringsprocess för leverantörer från rapportering till åtgärd. De hjälper till att säkerställa att sårbarheter stängs snabbt och information kommuniceras på ett kontrollerat sätt för att minimera skada. Standarderna är viktiga byggstenar för att främja förtroende mellan leverantörer, säkerhetsforskare och användare och för att öka systemsäkerhet.

Förhållande mellan IEC 62443-4-1 och ISO/IEC 29147 / ISO/IEC 30111

IEC 62443-4-1 är en internationell standard som definierar krav för att utveckla säkra produkter för industriella automations- och kontrollsystem (IACS). Även om IEC 62443-4-1 fokuserar på det specifika sammanhanget IACS finns det kontaktpunkter och synergier med ISO/IEC 29147 och ISO/IEC 30111 angående sårbarhetshantering.

En central aspekt av IEC 62443-4-1 är kravet på en strukturerad process för att hantera sårbarheter i IACS-produkter. Att tillämpa bästa praxis från ISO/IEC 29147 och ISO/IEC 30111 kan hjälpa till att uppfylla kraven i IEC 62443-4-1 och etablera effektiv sårbarhetshantering.

Genom att kombinera de specifika kraven i IEC 62443-4-1 med de beprövade sårbarhetshanterings-metoderna från ISO/IEC 29147 och ISO/IEC 30111 kan tillverkare av IACS-produkter skapa en hög nivå av säkerhet och förtroende. Att tillämpa dessa standarder hjälper till att upptäcka potentiella sårbarheter tidigt, åtgärda dem effektivt och proaktivt förbättra produktsäkerhet.

ISO/IEC 29147 - vägledning för sårbarhetsavslöjande

ISO/IEC 29147 är en internationell standard som ger leverantörer av produkter och tjänster vägledning om hantering av sårbarhetsrapporter och avslöjande av säkerhetsbrister. Standarden beskriver bästa praxis för kommunikation mellan leverantörer och personer som rapporterar sårbarheter, såväl som för publicering av information om sårbarheter och tillgängliga begränsningar.

Termer i ISO/IEC 29147

Standarden definierar först viktiga termer och begrepp i sammanhanget sårbarhetsavslöjande. Dessa inkluderar bland andra:

  • Sårbarhet: en egenskap hos ett system eller produkt som bryter mot en säkerhetspolicy och kan utnyttjas av angripare.
  • Leverantör: organisationen eller personen som ansvarar för att åtgärda en sårbarhet, t.ex. tillverkaren eller tjänsteleverantören.
  • Rapportör: en person eller organisation som informerar leverantören om en potentiell sårbarhet. Detta kan vara en oberoende säkerhetsforskare, en användare eller en annan leverantör.
  • Koordinator: en oberoende part som förmedlar mellan rapportörer och leverantörer och stödjer avslöjandeprocessen.

Ta emot sårbarhetsrapporter

En stor del av ISO/IEC 29147 handlar om hur leverantörer ska ta emot rapporter om potentiella sårbarheter. Standarden kräver att leverantörer tillhandahåller tydliga och lättillgängliga mekanismer för att ta emot rapporter, till exempel dedikerade e-postadresser, webbformulär eller buggspårningssystem.

Leverantörer bör bekräfta mottagna rapporter snabbt och tilldela rapportörer ett spårningsnummer eller identifierare så att statusen kan följas. Kommunikation mellan leverantör och rapportör bör ske via säkra kanaler för att skydda informationens konfidentialitet.

Publicering av säkerhetsmeddelanden

När en rapporterad sårbarhet har verifierats och åtgärdats bör leverantörer publicera information om den i form av säkerhetsmeddelanden. ISO/IEC 29147 rekommenderar vad denna information bör innehålla, inklusive:

  • En beskrivning av sårbarheten och de berörda produkterna eller versionerna
  • En bedömning av risken och möjlig påverkan
  • Information om tillgängliga patchar, uppdateringar eller tillfälliga lösningar för att åtgärda eller begränsa sårbarheten
  • Unika identifierare som CVE-nummer för att referera till sårbarheten
  • Kontaktinformation för leverantören

Säkerhetsmeddelanden bör publiceras på leverantörens webbplats och genom andra etablerade kanaler för att säkerställa bred kommunikation till användare. Standarden rekommenderar också användning av standardiserade format som CVRF (Common Vulnerability Reporting Format) för att underlätta bearbetning av säkerhetsverktyg och databaser.

Koordination

I många fall påverkar en sårbarhet flera leverantörer eller produkter, till exempel när en brist upptäcks i ett allmänt använt mjukvarubibliotek eller protokoll. För sådana fall ger ISO/IEC 29147 rekommendationer för koordination mellan de inblandade parterna.

Leverantörer bör samarbeta med andra berörda leverantörer för att säkerställa en koordinerad strategi för åtgärd och avslöjande. Ofta förmedlar en koordinator mellan parterna. Målet är att ha patchar och meddelanden publicerade så samtidigt som möjligt så att angripare inte får en fördel.

Avslöjandepolicy

En central aspekt av ISO/IEC 29147 är kravet på leverantörer att formulera en offentlig sårbarhetsavslöjandepolicy. Detta dokument bör beskriva processen för rapportering och avslöjande av sårbarheter på ett transparent och begripligt sätt.

En sådan policy bör täcka åtminstone följande punkter:

  • Kontaktmöjligheter och föredragna kanaler för rapportering av sårbarheter
  • Förväntningar angående innehåll och form av sårbarhetsrapporter
  • Tidsramar inom vilka leverantören svarar på rapporter och åtgärdar sårbarheter
  • Kriterier för publicering av säkerhetsmeddelanden
  • Hantering av konfidentiell information och skydd av rapportörers anonymitet, om så önskas

En tydlig avslöjandepolicy bygger förtroende och uppmuntrar säkerhetsforskare och användare att rapportera sårbarheter ansvarsfullt. Det är en viktig signal om en leverantörs säkerhetskultur.

Slutsats

ISO/IEC 29147 tillhandahåller leverantörer omfattande vägledning för hantering av sårbarhetsrapporter och ansvarsfullt avslöjande av säkerhetsbrister. Genom att implementera standardens bästa praxis kan leverantörer förbättra samarbetet med säkerhetsforskare och användare, stänga sårbarheter effektivt och i slutändan öka säkerheten för deras produkter och tjänster.

Standarden betonar vikten av tydlig kommunikation, säkra rapporteringsprocesser och koordination mellan de inblandade parterna. En offentlig avslöjandepolicy är ett nyckelelement för att skapa transparens och förtroende.

Sammantaget hjälper ISO/IEC 29147 till att etablera en konstruktiv säkerhetskultur där sårbarheter ses inte bara som hot utan som möjligheter för kontinuerlig förbättring. Det är därför ett värdefullt verktyg för leverantörer av alla storlekar och branscher som tar säkerheten för sina produkter och tjänster på allvar.

ISO/IEC 30111 - processer för hantering av sårbarheter

Medan ISO/IEC 29147 definierar ramverket för rapportering och avslöjande av sårbarheter beskriver ISO/IEC 30111 de interna processerna som leverantörer bör etablera för att verifiera, analysera och åtgärda rapporterade säkerhetsbrister effektivt. Standarden ger rekommendationer för sårbarhetshantering från mottagandet av en rapport till tillhandahållandet av patchar och tillfälliga lösningar.

Principer och ansvar

Standarden betonar först vikten av stöd från toppledningen och etablering av tydliga policyer och ansvar för sårbarhetshantering. Hantering av säkerhetsbrister kräver samarbete mellan områden som utveckling, säkerhet (cybersäkerhet), support och kommunikation och bör integreras i leverantörens riskhanteringsprocess.

Ett centralt element är etablering av ett Product Security Incident Response Team (PSIRT) eller en jämförbar struktur som fungerar som den centrala kontaktpunkten för sårbarhetsrapporter och koordinerar processen.

Förberedelse

Innan sårbarheter kan hanteras effektivt anger ISO/IEC 30111 att vissa förberedelser är nödvändiga. Dessa inkluderar bland andra:

  • Utbildning och medvetenhetshöjning bland anställda om sårbarhetshantering
  • Tillhandahållande av säkra kommunikationskanaler och system för att registrera och spåra sårbarhetsrapporter
  • Etablering av samarbete med externa säkerhetsforskare, andra leverantörer och koordinatorer
  • Identifiering av produkter och komponenter som faller inom ramen för sårbarhetshanteringsprocessen

Mottagning och registrering

När en sårbarhetsrapport tas emot kräver ISO/IEC 30111 snabb dokumentation och bekräftelse till rapportören. Rapporten bör kontrolleras för fullständighet och tilldelas en unik identifierare för att göra hela processen spårbar. Från början bör rapporter behandlas konfidentiellt för att undvika oavsiktligt avslöjande av sårbarheten.

Verifiering och analys

Efter registrering av en rapport följer verifierings- och analysfasen. Detta innebär att reproducera den rapporterade sårbarheten, identifiera berörda produkter och versioner och bedöma potentiell påverkan och allvarlighetsgrad. PSIRT-personal arbetar ofta nära med utvecklingsteam under detta skede.

Del av analysen bör också vara en grundorsaksutredning för att förhindra liknande sårbarheter i framtiden. Baserat på analysresultaten fattas ett beslut om huruvida och med vilken prioritet sårbarheten bör åtgärdas. I vissa fall kan det visa sig att problemet inte är en säkerhetssårbarhet utan till exempel en funktionsbugg; rapportören bör informeras om resultatet i alla fall.

Utveckling och testning av patchar

Om en sårbarhet verifieras och åtgärd bedöms nödvändig börjar utvecklings- och testfasen för patchar eller uppdateringar. ISO/IEC 30111 betonar att denna process bör planeras och genomföras noggrant så att patchar inte bara stänger sårbarheten utan också testas grundligt för att undvika oavsiktliga sidoeffekter eller kompatibilitetsproblem.

I vissa fall kan det vara vettigt att tillhandahålla en tillfällig lösning eller partiell korrigering initialt, särskilt om utveckling av en fullständig patch kommer att ta längre tid.

Distribution av patchar och information

När en patch eller uppdatering har utvecklats och testats är nästa steg att distribuera den till berörda användare. Detta bör koordineras med publiceringen av information om sårbarheten som beskrivs i ISO/IEC 29147.

Aktiviteter efter lansering

Att publicera patchar och meddelanden avslutar inte sårbarhetshanteringsprocessen. ISO/IEC 30111 rekommenderar en uppsättning aktiviteter efter lansering:

  • Övervakning av framgångsrik patchinstallation
  • Kontinuerlig uppdatering av meddelanden och information vid behov
  • Granskning och förbättring av sårbarhetshanteringsprocessen baserat på lärdomar
  • Integrering av insikter i software development life cycle (SDLC) för att förbättra säkerheten för framtida produkter

Pågående kommunikation med säkerhetsforskare och användare efter åtgärd hjälper till att bygga förtroende och förbättrar effektiviteten i sårbarhetshantering.

Slutsats

ISO/IEC 30111 tillhandahåller leverantörer en strukturerad process för hantering av sårbarheter, från den första rapporten till tillhandahållandet av patchar och därefter. Standarden understryker vikten av tydligt ansvar, säkra kommunikationskanaler och noggrann analys och åtgärd av säkerhetsbrister.

Genom att tillämpa ISO/IEC 30111:s bästa praxis kan leverantörer inte bara svara effektivt på sårbarhetsrapporter utan också få värdefulla insikter för att proaktivt förbättra sina produkter och interna processer. Ett välfungerande sårbarhetshanteringssystem bidrar således hållbart till att stärka säkerheten.

Sammantaget bildar ISO/IEC 30111 tillsammans med ISO/IEC 29147 ett omfattande ramverk för professionell sårbarhetshantering. Leverantörer som förankrar dessa standarder i sin organisation visar sitt engagemang för produkt- och tjänstesäkerhet och tar ansvar gentemot sina användare och den bredare IT-gemenskapen.