El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha elevado la tapa de un programa de Iniciativa de Investigación de Vulnerabilidad (VRI) diseñado para involucrar al sector privado en la investigación de vulnerabilidad y el descubrimiento en beneficio de la sociedad en general. El NCSC ya dirige un equipo de expertos en investigación interna que pasan sus días investigando una amplia gama de tecnologías y productos, desde tecnología de productos básicos ubicuos utilizados por los consumidores, hasta dispositivos operativos especializados utilizados en solo unos pocos lugares. Esta capacidad interna ha hecho que la agencia cibernética sea mucho mejor informada sobre la seguridad de la tecnología comúnmente implementada, y lo difícil que puede ser encontrar vulnerabilidades en los productos de software, y ayuda a informar asesoramiento, orientación y mitigaciones de riesgos de línea baja, así como respuestas a incidentes de divulgación importantes como Citrix Bleed o Log4shell. Sin embargo, este es un proceso largo e involucrado, y a medida que el ritmo del desarrollo de la tecnología continúa aumentando tanto en complejidad como en volumen, la demanda de investigación de vulnerabilidad se está alzando. Ingrese el VRI, un esquema a través del cual el NCSC trabajará con investigadores cibernéticos externos y piratas informáticos éticos para expandir el acceso a las herramientas y la artesanía disponibles para el descubrimiento de vulnerabilidad, y mejorar la comprensión de la seguridad de la tecnología de la que depende la vida diaria en el Reino Unido. Entre otras cosas, el VRI tiene como objetivo tratar de comprender mejor las vulnerabilidades presentes en una tecnología o producto, qué mitigaciones podrían ser necesarias para solucionarlos, cómo los investigadores realizan su investigación y las herramientas que usan para habilitarlo. El NCSC dijo que esto aumentaría su propia capacidad de investigación de vulnerabilidad y la experiencia en compartir la experiencia en el ecosistema más amplio. En última instancia, la producción del programa se utilizará para informar el asesoramiento y la orientación futuros entregados por el NCSC como la autoridad técnica nacional del Reino Unido en seguridad cibernética, para comprometerse mejor con la comunidad de proveedores para alentarlos a construir productos más seguros en primer lugar y arreglar errores en los existentes. El inmersivo director senior de investigación de amenazas cibernéticas, Kev Breen, dio la bienvenida a la decisión del NCSC de tratar de extender sus capacidades de investigación de vulnerabilidad: “Existe una gran capacidad en el dominio público, especialmente en más áreas de investigación de Nicho. forma de ampliar esa base de conocimiento «. Sin embargo, los investigadores incentivados Breen señalaron que la falta de recompensas de errores asociadas puede limitar el número de personas dispuestas a participar en el programa cuando podrían ser compensadas por realizar trabajos similares a través de esquemas existentes. Kevin Robertson, director de tecnología de Acumen Cyber, estuvo de acuerdo: «Cyber a menudo se describe como un deporte comunitario. Sin embargo, los investigadores independientes generalmente tienen pocos incentivos para colaborar con cuerpos como el NCSC, ya que tienen que obtener mucho más reconocimiento e impacto por sus hallazgos, en lugar de entregarlos a una agencia gubernamental. El NCSC dijo que estaba interesado en escuchar a los expertos en varios temas, particularmente la aplicación potencial de la inteligencia artificial (IA) a la investigación de vulnerabilidad, y los alienta a ponerse en contacto. Más detalles del programa, incluida la información sobre el proceso de renta variable general que rige cómo se manejan y revelan las vulnerabilidades recién encontradas, y por quién están disponibles aquí.