ar

Transparência das iniciativas de segurança na ICANN

14 نوفمبر 2017
بقلم Terry Manderson

Infelizmente, todo sistema tem vulnerabilidades. A equipe de engenharia e tecnologia da informação da ICANN está com várias linhas de trabalho para proteger e aumentar a segurança dos nossos sistemas. De vez em quando, acontecem incidentes que resultam em atividades específicas relacionadas à segurança que podem afetar a organização da ICANN e/ou a comunidade. Devido ao nosso compromisso com a abertura e a transparência, estamos divulgando os seguintes incidentes à comunidade. Pelo que sabemos, nenhum dos dois resultou em comprometimento de dados da ICANN.

Problema com os serviços de e-mail da Intermedia

A organização da ICANN utiliza um provedor de serviços de e-mail em nuvem terceirizado, a Intermedia. Em 21 de agosto de 2017, o departamento de tecnologia da informação da organização da ICANN (ICANN IT) descobriu um problema com o console de controle administrativo dos serviços de e-mail hospedados pela Intermedia. O ICANN IT notificou imediatamente a Intermedia, realizou uma investigação detalhada do problema e definiu que não houve vazamento de dados da organização, da comunidade nem da Diretoria da ICANN como resultado do problema. Em 22 de agosto de 2017, a Intermedia seguiu um processo de resposta rápida a incidentes e aplicou a remediação.

Vulnerabilidade do Apache Struts Jakarta Multipart Parser

Em 18 de setembro de 2017, a organização da ICANN fez uma análise dos serviços gerenciados internamente e, depois de uma avaliação preliminar, concluiu que nenhum deles foi afetado pela vulnerabilidade do Apache Struts (CVE-2017-5638). Também iniciamos um processo para entrar em contato com nossos provedores de serviços gerenciados externamente para pedir avaliações do impacto desse problema. Recebemos informações de que 16 serviços não foram afetados e estamos aguardando respostas dos nossos fornecedores em relação aos serviços restantes.

Diante dessas duas notícias, identificamos a necessidade de formalizar nossos procedimentos para divulgar incidentes como esse de forma apropriada no futuro. Iniciamos o trabalho de definição desse processo. Quando esse trabalho for concluído, vamos comunicar as novas orientações de transparência à comunidade.

Se tiverem dúvidas ou comentários, enviem um e-mail para mim: terry.manderson@icann.org

Authors

Terry Manderson

Sr. Director, Security and Network Engineering