คุณจะรู้ได้อย่างไรว่าพร้อมจะเริ่มต้นโปรแกรมการเปิดเผยช่องโหว่ (VDP) แล้ว มีการประเมินสำคัญที่คุณควรทำ ก่อนที่จะนำ VDP มาใช้ การประเมินเหล่านี้จะช่วยระบุช่องว่างในโครงสร้างพื้นฐานและเตรียมทีมให้พร้อมสำหรับสตรีมรายงานข้อบกพร่องที่เข้ามาใหม่ VDP ที่ติดตั้งอย่างถูกต้องจะช่วยให้ได้รับรายงานอย่างต่อเนื่อง หากทีมของคุณยังไม่พร้อมสำหรับภาระงานเพิ่มเติม โปรแกรมใหม่อาจส่งผลเสียต่อการปรับปรุงความปลอดภัย การประเมินโปรแกรมความปลอดภัยเพื่อระบุและแก้ไขช่องว่างอาจมีประโยชน์อย่างมากต่อการเพิ่มความสามารถในการจัดการอัตราการส่งข้อมูลของ VDP การตอบสนองต่อช่องโหว่ที่มีการรายงานอย่างทันท่วงทีจะช่วยปรับปรุงความสัมพันธ์ของคุณกับชุมชนการแฮ็กได้ ซึ่งส่งผลให้โปรแกรมมีสุขภาพดีขึ้น
การรักษาความปลอดภัยขั้นพื้นฐาน
ไม่ว่าองค์กรของคุณจะมีวุฒิภาวะด้านความปลอดภัยมากน้อยแค่ไหน หรือทรัพยากรที่มีก็เพียงพอ การประเมินความปลอดภัยในปัจจุบันเป็นวิธีที่ดีที่สุดที่จะระบุช่องโหว่ ด้านล่างนี้เราจะพูดถึงการระบุช่องโหว่ที่อาจเกิดขึ้นในส่วนหลักๆ ที่มักถูกมองข้าม เช่น การค้นหาข้อบกพร่อง การแก้ไขข้อบกพร่อง การวิเคราะห์สาเหตุที่แท้จริง การตรวจหาและการตอบสนอง และวัฒนธรรมการรักษาความปลอดภัย
การค้นหาข้อบกพร่อง
เมื่อเตรียมพร้อมเปิดตัว VDP คุณควรประเมินวิธีที่ทีมของคุณใช้เพื่อระบุช่องโหว่ในสภาพแวดล้อมของคุณ ในการประเมินและเตรียมพร้อมสำหรับการเริ่มใช้ VDP จะต้องมีการดำเนินการเบื้องต้นเพื่อค้นหาและแก้ไขช่องโหว่
การไม่ทำเช่นนั้นอาจส่งผลให้มีรายงานช่องโหว่เพิ่มขึ้นมากเมื่อมีการเปิดตัว VDP ซึ่งอาจทำให้ทีมของคุณทำงานหนักเกินไป การตั้งค่าการสแกนช่องโหว่พื้นฐานและกระบวนการตรวจสอบความปลอดภัยจะช่วยให้องค์กรสร้างกระบวนการที่แข็งแกร่งเพื่อจัดการกับปัญหาด้านความปลอดภัยได้ เมื่อคุณเริ่ม VDP คุณจะเตรียมตัวรับมือกับรายงานช่องโหว่ที่เข้ามาใหม่ได้ดีขึ้น
การแก้ไขข้อบกพร่อง
นอกเหนือจากการค้นหาช่องโหว่แล้ว คุณจะต้องมีกระบวนการและทรัพยากรที่กำหนดไว้เป็นอย่างดีเพื่อให้แน่ใจว่าช่องโหว่ได้รับการแก้ไขอย่างทันท่วงที การค้นหาข้อบกพร่องเพียงอย่างเดียวนั้นไม่เพียงพอ การรักษาความปลอดภัยจะปรับปรุงก็ต่อเมื่อมีการแก้ไขข้อบกพร่องแล้วเท่านั้น คุณมีกระบวนการและทรัพยากร สำหรับการจัดการช่องโหว่แล้วหรือยัง วัฒนธรรมภายในองค์กรของคุณเป็นอย่างไร เมื่อพูดถึงความปลอดภัย ทีมรักษาความปลอดภัย ถูกมองว่าเป็นคนเย้ยหยัน ตัวบล็อก อุปสรรคด้านวิศวกรรมหรือไม่ หรือคุณมองเป็นพาร์ทเนอร์ที่ทำงานร่วมกัน คุณจะให้ความสำคัญกับ การแก้ไขช่องโหว่อย่างไร คุณมีชื่อทั่วไปและเข้าใจเรื่องความรุนแรง และลำดับเวลาการแก้ไขไหม การหาเจ้าของ ในการแก้ไขช่องโหว่ที่ระบุนั้นง่ายหรือยากเพียงใด คุณติดตามเมตริกต่างๆ เกี่ยวกับ ช่องโหว่ที่ระบุ รวมถึงเวลาที่ต้องแก้ไขไหม องค์กรของคุณมีคลังเนื้อหา หรือเป็นความฝันในอนาคตอันไกลโพ้น ขอย้ำอีกครั้ง หากคุณรู้สึกดีกับเรื่องนี้และเข้าใจเป็นอย่างดีในการตรวจสอบว่าข้อบกพร่องร้ายแรงได้รับการแก้ไขโดยเร็ว มีความสัมพันธ์ที่เหนียวแน่นกับทีมและแต่ละคนที่รับผิดชอบในการแก้ไขช่องโหว่ และมีทรัพยากรที่พร้อมสำหรับดำเนินการข้อบกพร่องด้านความปลอดภัยต่างๆ ที่เข้ามาอย่างราบรื่น ทุกอย่างก็ดำเนินไปอย่างราบรื่น แต่หากไม่มี เราจะให้คำแนะนำเกี่ยวกับวิธีใช้โปรแกรมการจัดการช่องโหว่ให้ประสบความสำเร็จในบทถัดไป ในทั้ง 2 กรณี คุณจะต้องมีการจัดการช่องโหว่ที่แข็งแกร่งเพื่อให้สามารถจัดการกับข้อบกพร่องใหม่ๆ ที่คุณจะได้รับจาก VDP ได้ โดยมั่นใจได้ว่าคุณจะสามารถตอบสนองต่อและแก้ไขช่องโหว่ที่ระบุได้ทันท่วงที
การวิเคราะห์สาเหตุของปัญหา
นอกเหนือจากการปฏิบัติงานในการค้นหาและแก้ไขข้อบกพร่องแบบครั้งเดียวแล้ว คุณยังวิเคราะห์สาเหตุที่แท้จริง (RCA) ของปัญหาและระบุสาเหตุเชิงระบบของการนำช่องโหว่มาใช้ในสภาพแวดล้อมของคุณไหม เป็นเรื่องดีที่สามารถ ค้นหาและแก้ไขข้อบกพร่องได้อย่างรวดเร็ว อย่างไรก็ตาม ในการเรียกใช้ VDP ให้ประสบความสำเร็จ คุณจะต้องพิจารณาก่อนว่าข้อบกพร่องเหล่านี้มีลักษณะอย่างไร ซึ่งอาจมีได้หลายรูปแบบ เช่น
- การระบุวิธีทำให้เกิดช่องโหว่ด้านความปลอดภัยของแอปพลิเคชัน
- นักพัฒนาซอฟต์แวร์ใช้ไลบรารีและเฟรมเวิร์กทั่วไปที่ลดความเสี่ยงจากช่องโหว่ที่เกิดขึ้นไหม
- การวิเคราะห์ข้อมูลและระบุแนวโน้ม
- คุณสังเกตเห็นว่าโครงสร้างพื้นฐานที่จัดการโดยทีมใดทีมหนึ่งไม่เคยมีแพตช์การอัปเดตความปลอดภัยใช่ไหม
- เหตุการณ์ด้านความปลอดภัยหรือการละเมิด
- ทำการทดสอบภายหลังร่วมกับฝ่ายที่เกี่ยวข้องทั้งหมดเพื่อวิเคราะห์สิ่งที่เกิดขึ้น สาเหตุ และเรียนรู้จากเหตุการณ์นั้น เพื่อไม่ให้เกิดข้อผิดพลาดเช่นนี้อีกในอนาคต
หากไม่ดำเนินการ RCA คุณก็อาจเสียเวลามากไปกับการประมวลผลรายงานข้อบกพร่องที่คล้ายกันจำนวนมากจาก VDP หากในอนาคตเริ่มมีโปรแกรมสะสมคะแนนสำหรับช่องโหว่ การขาด RCA จะส่งผลทางการเงินต่อองค์กรของคุณด้วย เราจะพูดถึงคำแนะนำที่เฉพาะเจาะจงมากขึ้นเกี่ยวกับวิธีใช้กระบวนการ RCA และวัฒนธรรมหลังจบการทำงานในบทถัดไป
การตรวจจับและการตอบสนอง
การเชิญนักวิจัยภายนอกให้แฮ็กเนื้อหาของคุณจะส่งผลต่อกลไกการตรวจสอบและการตอบสนองของคุณ หากมีระบบตรวจจับการบุกรุก/การป้องกันการบุกรุก คุณจะต้องพิจารณาประเภทการทดสอบที่ต้องการให้นักวิจัยด้านความปลอดภัยดำเนินการ คุณจะสร้างข้อยกเว้นให้นักเรียนหาช่องโหว่ ที่ "อยู่เบื้องหลัง" ระบบป้องกันอัตโนมัติเหล่านี้ไหม หากนักวิจัย 10 คนเริ่มสแกนช่องโหว่บนเนื้อหาที่เผยแพร่ภายนอกเวลาตี 2 ในวันเสาร์ จะมีการปลุกให้ทีมรักษาความปลอดภัยของคุณตื่นไหม คุณจะระบุปริมาณการใช้งานทดสอบที่ถูกต้องจากนักวิจัยด้านความปลอดภัยกับการโจมตีจริงที่อาจเกิดขึ้นกับระบบของคุณอย่างไร คุณรู้วิธีใช้ประโยชน์ข้อมูลที่นักวิจัยความปลอดภัย สร้างขึ้นกับระบบของคุณไหม ถ้านักวิจัยด้านความปลอดภัยพยายามคาดเดาชื่อผู้ใช้และรหัสผ่าน แบบ Brute Force จะล็อกผู้ใช้จริงได้ไหม ก่อนที่จะเริ่ม VDP คุณจะต้องพิจารณาปัจจัยเหล่านี้ทั้งหมด คุณต้องตรวจสอบว่าได้กำหนดความคาดหวังที่ชัดเจนกับนักวิจัยด้านความปลอดภัยเกี่ยวกับประเภทการทดสอบที่เหมาะสมและไม่ยอมรับ รวมทั้งกำหนดวิธีกำหนดค่ากลไกการตรวจจับและการตอบสนองที่มีอยู่ บทต่อไปจะอธิบายรายละเอียดเพิ่มเติม เกี่ยวกับวิธีจัดการเรื่องนี้
วัฒนธรรมความปลอดภัย
วัฒนธรรมภายในองค์กรมีผลอย่างมากต่อความสามารถในการเริ่มต้นและรักษา VDP ที่ประสบความสำเร็จ เป็นเรื่องดีที่จะถอยหลังกลับไปและทำความเข้าใจว่าผู้มีส่วนเกี่ยวข้องหลักคือใครที่จะต้องซื้อโครงการริเริ่มนี้ และความสัมพันธ์ที่มีอยู่ของเขากับทีมรักษาความปลอดภัยข้อมูลคืออะไร คุณจะต้องระบุวิธีการและเนื้อหาเพื่อโน้มน้าวให้ร่วมทำข้อตกลงกับแนวคิดนี้โดยพิจารณาจากผู้มีส่วนเกี่ยวข้องต่างๆ ที่เกี่ยวข้องและวิธีที่คุณคาดหวังให้บุคคลเหล่านั้นจัดการข้อเสนอในการเริ่มโปรแกรมการเปิดเผยช่องโหว่ ผู้มีส่วนเกี่ยวข้องหลักรายหนึ่งที่ไม่ได้เข้าร่วมอาจทำให้ VDP เริ่มต้นไม่ได้