Блоги ICANN

Читайте блоги ICANN, чтобы получать новости о деятельности в области формирования политики, региональных мероприятиях и других событиях.

Транспарентность в обеспечении безопасности в ICANN

14 ноября 2017
Автор Terry Manderson

В дополнение к языкам, использующимся в ООН, этот материал также доступен на

Уязвимость систем безопасности – суровая правда жизни. Инженерная и информационно технологическая группа ICANN усердно трудится во многих направлениях над защитой и повышением безопасности наших систем. Иногда некоторые события приводят к конкретным, сосредоточенным на безопасности мероприятиям, которые могут затронуть организацию ICANN и/или сообщество. В рамках своих обязательств по открытости и транспарентности мы раскрываем сообществу информацию о двух описанных ниже событиях. Насколько нам известно, в результате этих инцидентов данные ICANN не пострадали.

Проблема со службой электронной почты Intermedia

Организация ICANN передала исполнение услуг, связанных с электронной почтой, поставщику облачных услуг – Intermedia. 21 августа 2017 года отдел информационных технологий организации ICANN (ICANN IT) обнаружил проблему с консолью административного управления клиента для служб электронной почты, размещенных на ресурсах Intermedia. Отдел ИТ ICANN сразу же поставил в известность Intermedia, тщательно изучил проблему и пришел к выводу о том, что проблема не привела к утечке данных Правления ICANN, организации или сообщества. 22 августа 2017 года компания Intermedia (в рамках собственной процедуры быстрого реагирования на инциденты) устранила данную проблему.

Уязвимость компонента Jakarta Multipart Parser в Apache Struts

18 сентября 2017 года организация ICANN провела анализ внутренне управляемых услуг ICANN и, после предварительной оценки, не обнаружила воздействия уязвимости Apache Struts (CVE-2017-5638). Мы также инициировали процесс, в рамках которого связались с поставщиками внешне управляемых услуг, чтобы получить их оценку воздействия данной проблемы. На данный момент мы получили 16 сообщений о том, что услуги не были затронуты, и теперь ожидаем ответа от своих поставщиков в отношении оставшихся услуг.

В свете раскрытой здесь информации мы обнаружили потребность в официальном оформлении своих процедур для надлежащего раскрытия информации о подобных событиях в будущем. Мы начали работу над определением содержания данной процедуры. По завершении этой работы мы предоставим информацию о новых указаниях по транспарентности.

Вопросы и обратная связь принимаются по адресу: terry.manderson@icann.org

Authors

Terry Manderson

VP, Information Security and Network Engineering