評估

如何確認自己是否已準備好展開安全漏洞揭露計畫 (VDP)？在實作 VDP 前，您應先完成重要評估。這些評估有助於找出基礎架構中的缺口，並讓團隊為收到的錯誤報告串流做好準備。VDP 正確導入後，報表就能穩定提供。如果您的團隊尚未準備好進行額外的工作負載，新計畫可能會產生負面影響，而非改善安全性。藉由評估安全性計畫找出及解決落差，可以有效提升處理 VDP 的處理量。及時回應回報的安全漏洞，可以改善您與入侵社群之間的關係，讓計畫更加健全。

基本安全衛生

無論貴機構的安全性成熟度或可用資源為何，評估目前的安全健全度是找出差距的最佳方式。以下我們將探討在經常難以預知的關鍵領域，找出潛在的落差，包括找出錯誤、修正錯誤、根本原因分析、偵測與應變，以及安全性文化。

找出錯誤

在準備發布 VDP 時，請務必評估團隊用來找出環境中安全漏洞的方法。為啟動 VDP 的評估及準備工作時，您應迅速找出安全漏洞並加以修正。

否則您的 VDP 發布時可能會導致「安全漏洞」報告激增，而這可能會使您的團隊感到不堪負荷。設定基本的安全漏洞掃描和安全性審查程序，可讓貴機構建立可靠的處理程序來處理安全性問題。啟動 VDP 後，您會做好更充分的準備，來處理收到的安全漏洞報告。

修正錯誤

除了尋找安全漏洞外，您還需要定義明確的程序和資源，以確保能及時修正安全漏洞。只發現錯誤是不夠的，只有在錯誤修正後，安全性才會有所改善。您是否有進行安全漏洞管理的程序和資源？就安全性層面而言，貴機構成員具有什麼文化？安全性團隊是否被認為是假想、阻斷者或工程那一角？還是您是否為合作合作夥伴？Google 會如何優先進行安全漏洞修復？針對嚴重程度和修復時程，您是否有通用的命名和瞭解？找到擁有者修正已發現的安全漏洞的難易度為何？您是否會追蹤已發現的安全漏洞相關指標，包括修正時間？您的機構是否有資產庫存？還是未來的夢想呢？再次強調，如果您相當滿意這個情況，並有充分地確保迅速修正重大錯誤、與負責修正安全漏洞的團隊和人員建立穩固的關係，並擁有可順利處理遭受安全性錯誤串流的資源，那就大功告成了！否則，我們會在下一節提供如何成功實作安全漏洞管理計畫的指南。無論是哪種情況，您都需要建立穩固的安全漏洞管理做法，以便處理從 VDP 收到的新錯誤串流，確保能及時回覆並解決已發現的安全漏洞。

根本原因分析

除了反覆找出及修正錯誤之外，您是否還會執行問題的根本原因分析 (RCA)，並找出環境中造成安全漏洞的系統性原因？能夠迅速找出錯誤並修正錯誤 是很棒的事然而，在執行成功的 VDP 時，建議您先瞭解這些錯誤如何從一開始加以呈現。這類政策可能會以不同形式表示，例如：

• 找出應用程式安全漏洞的產生方式。
  • 開發人員是否使用通用的程式庫和架構，藉此降低出現安全漏洞的風險？
• 分析資料並找出趨勢。
  • 您是否有發現由特定團隊管理的基礎架構，絕對不會收到安全性更新？
• 安全性事件或資料侵害事件。
  • 對所有相關方進行事後檢討，探討問題發生、原因及從中學習，避免日後發生相同的錯誤。

在不執行 RCA 的情況下，您會耗費大量心力處理 VDP 中的許多類似錯誤報告。如果您日後啟動了安全漏洞獎勵計畫，缺乏 RCA 也會對貴機構造成財務影響。我們會在下一節中深入探討如何實作 RCA 程序及檢討報告文化。

偵測與回應

邀請外部研究人員入侵您的資產將會影響您的偵測和回應機制。如果您設置了入侵偵測/預防系統，不妨考慮您想讓安全性研究人員執行的測試類型。您會持續為這類金鑰建立例外狀況，以便找出這些自動化防禦系統「背後」的安全漏洞嗎？如果十位研究人員都開始在週六凌晨 2:00 開始對外部資產執行安全漏洞掃描，該警示會導致安全性團隊醒來嗎？要如何識別來自安全性研究人員的正當測試流量，以及可能實際遭受系統攻擊？您是否知道如何將安全性研究人員測試產生的資料用於您的系統？如果安全性研究人員嘗試不實地猜測使用者名稱和密碼，能否將他們鎖定為真正的使用者？開始實施 VDP 前，您需要考量下列所有面向。您必須確實向安全性研究人員設定明確及禁止的測試類型，並確定如何設定現有的偵測與回應機制。下一章將詳細說明如何解決這個問題。

安全文化

貴機構的文化對於貴機構能否順利啟動並維持 VDP 有極大影響。建議您退一步，瞭解需購買這項計畫的主要利害關係人，以及資訊安全性團隊目前與誰之間的關係。依據各種相關利害關係人，以及您預期他們如何處理安全漏洞揭露計畫的啟動提案，您必須找出能說服他們認同這個概念的方法和素材。其中一個未上車的利害關係人可能會阻礙 VDP 展開作業。