如何判斷您是否準備好發起安全漏洞揭露計畫 (VDP)?在實作 VDP 之前,請務必先進行重要評估。這些評估作業可協助您找出基礎架構中的差距,並讓團隊為收到的錯誤報告串流做好準備。正確導入的 VDP 將帶來穩定的報表流程。如果您的團隊尚未準備好處理其他工作負載,新計畫可能會產生負面影響,而非提高安全性。評估安全性計畫來找出並解決缺口問題,可提升您處理 VDP 總處理量的能力。及時回應回報的安全漏洞可改善您與駭客社群的關係,進而打造更健康的計畫。
基本安全衛生
無論貴機構的安全成熟度或是可用的資源為何,評估目前的安全性措施是找出差異的最佳方法。以下將探討如何找出主要容易忽略的關鍵領域造成的潛在缺口,包括找出錯誤、修正錯誤、根本原因分析、偵測與回應,以及安全性文化。
正在尋找錯誤
準備推出 VDP 時,請務必評估您的團隊用於找出環境中安全漏洞的方法。評估及準備啟動 VDP 時,應盡早找出並修正安全漏洞。
否則可能會導致 VDP 啟動時,安全漏洞報告數量激增,可能使您的團隊不堪負荷。設定基本安全漏洞掃描和安全性審核程序,可讓貴機構建立完善的程序來處理安全性問題。當您啟動 VDP 時,可以更妥善處理收到的安全漏洞報表。
修正錯誤
除了找出安全漏洞外,您還需要定義明確的程序和資源,以確保能夠及時修復安全漏洞。只尋找錯誤是不夠的,這樣只有在修正錯誤時才會提升安全性。您是否有程序管理所需的程序與資源?在安全性方面,貴機構內部的文化是什麼?安全性團隊是否認為客家、封鎖人,或是工程層面的棘手?還是您是以協作夥伴的身分查看?您要如何安排安全漏洞修復?您對於常見的嚴重性和修復時程是否具有一般的術語和理解能力?找出擁有者修正已修復安全漏洞是否容易?您是否追蹤所發現安全漏洞的相關指標,包括修正時間?貴機構是否擁有資產庫,或未來是否保有遠大夢想?再次提醒,如果您願意這麼做,而且能夠妥善修正重大錯誤,與負責及修正安全漏洞的團隊和個人建立穩固關係,也擁有必要資源,就能順利處理即將發生的安全性錯誤,那麼請放心。我們會在下一章中說明如何實作成功的安全漏洞管理計畫。無論是哪一種情況,您都必須採取完善的安全漏洞管理做法,才能處理從 VDP 收到的新錯誤串流,並確保能夠及時回應並解決已識別的安全漏洞。
根本原因分析
除了以找出一次性錯誤為優先進行修正作業之外,您是否曾經針對問題的根本性分析 (RCA) 進行分析及找出造成安全漏洞的系統原因?能夠快速找出錯誤並加以修正然而,關於執行成功的 VDP,您應該要能確定這些錯誤在一開始是如何出現。此種為不同形式,例如:
- 識別應用程式安全漏洞的導入方式。
- 開發人員是否使用常見的程式庫和架構來降低安全漏洞的風險?
- 分析資料並識別趨勢。
- 您是否注意到特定團隊管理的基礎架構永遠不會安裝安全性更新?
- 安全性事件或違規事件。
- 進行所有相關各方的事後檢討工作,以瞭解事件的發生原因與原因,以及避免日後再次發生同樣的錯誤。
在沒有執行 RCA 的情況下,處理大量的 VDP 錯誤報告會浪費許多精力。如果您日後開始執行安全漏洞獎勵計畫,則缺少 RCA 也會對貴機構造成財務影響。在下一章中,我們會探討如何實作 RCA 程序和事後文化。
偵測及回應
邀請外部研究人員入侵您的資產,會影響您的偵測和回應機制。如果您已有入侵偵測/預防系統,建議您思考安全性研究人員要執行哪些類型的測試。您是否能替這些自動化防護系統「背後」找出安全漏洞,以找出這類漏洞?如果有 10 位研究人員在星期六凌晨 2:00 開始對外來資產進行安全漏洞掃描,鬧鐘會不會打響您的安全性團隊?如何找出安全性研究人員的潛在測試流量與系統的潛在攻擊行為?您是否知道如何利用安全性研究人員針對您的系統進行測試產生的資料?如果安全性研究人員試圖竊取使用者名稱和密碼,他們可能無法順利鎖定使用者,開始製作 VDP 之前,建議您考慮這些面向。您必須確保安全性研究人員對測試類型正確/不合,並且有明確的預期,並決定如何設定現有的偵測與回應機制。下一章將進一步說明 如何達成這個目標
安全性文化
貴組織的文化對啟動及維持成功 VDP 的能力有重大影響。建議您還是往前邁進,瞭解相關利害關係人必須購買這個計畫的相關人員,以及他們與資訊安全團隊目前的關係。根據各種相關利害關係人,以及您希望這些人如何處理啟動安全漏洞揭露計畫的提案,您必須找出方法和材料,說服他們採用這個概念。而尚未加入計畫的主要利害關係人可能會阻止 VDP 開始使用。