如何判断您是否已准备好启动漏洞披露计划 (VDP)?在实现 VDP 之前,您应该进行一些重要的评估。这些评估有助于识别您的基础架构存在的不足,并让团队为收到的错误报告做好准备。正确实施的 VDP 会带来稳定的报告。如果您的团队还没有为额外的工作负载做好准备,那么新计划可能会产生负面影响,而不是增强安全性。评估您的安全计划以找出并弥补差距,这对您提升处理 VDP 吞吐量的能力大有裨益。及时应对报告的漏洞可以改善您与黑客社区的关系,从而打造更健康的计划。
基本安全状况
无论您的组织的安全成熟度或可用的资源如何,评估您当前的安全性是否有助于发现不足。下面我们将讨论确定通常被忽视的关键领域中的潜在差距,包括发现 bug、修复 bug、根本原因分析、检测和响应,以及安全文化。
查找 bug
在准备发布 VDP 时,请务必评估您的团队用来识别您环境中的漏洞的方法。在评估和准备启动 VDP 时,应先找出漏洞并进行修复。
否则,当 VDP 发布时,可能会导致出现漏洞报告数量激增的情况,从而可能导致您的团队不堪重负。设置基本的漏洞扫描和安全审核流程将使您的组织能够建立处理安全问题的可靠流程。启动 VDP 后,您将能更好地应对收到的漏洞报告。
修复 bug
除了发现漏洞之外,您还需要明确定义流程和资源,以确保及时修复漏洞。仅仅查找 bug 是不够的,只有在 bug 得到修复后,安全性才会得到提升。您是否有用于漏洞管理的流程和资源?在安全方面,贵组织的文化氛围如何?安全团队是否被视为反对者、阻碍者、工程方面的棘手?或者,您是否被视作合作伙伴合作伙伴?您如何优先安排漏洞修复措施?您对严重程度和修复时间表有没有通用的命名方式和理解?寻找所有者来修复已发现的漏洞的难易程度如何?你们会跟踪已发现的漏洞的相关指标(包括修复时间)吗?你的组织是否有资产清单?还是说遥远的未来?同样,如果您对此感觉很好,也很好地掌握了如何确保严重错误及时得到修复,与负责修复漏洞的团队和个人保持牢固关系,并拥有相应的资源来顺利处理传入的安全 bug 流,那您已经做得很好。如果没有,我们将在下一章中介绍如何实现成功的漏洞管理计划。无论是哪种情况,您都需要建立可靠的漏洞管理做法,以便能够处理将从 VDP 收到的新 bug 流,确保您能够及时应对和解决发现的漏洞。
根本原因分析
除了在一次性找出 bug 并予以修复之外,您是否还会执行问题的根本原因分析 (RCA),并找出在您的环境中引入漏洞的系统性原因?很高兴能够快速查找和修复错误。不过,在运行成功的 VDP 时,您一定希望能够确定这些 bug 最初的显示方式。具体表现形式如下:
- 确定应用安全漏洞的引入方式。
- 开发者是否使用通用库和框架来降低引入漏洞的风险?
- 分析数据并发现趋势。
- 您是否注意到某个团队管理的基础架构从未通过安全更新获得补丁程序?
- 安全事件或安全漏洞。
- 与所有相关方进行事后分析,以剖析发生的情况和原因,并从中学习,以免将来再犯相同的错误。
如果不执行 RCA,则处理 VDP 中的许多类似 bug 报告可能会浪费大量的工作。如果您在未来启动漏洞奖励计划,缺少 RCA 也会对您的组织产生财务影响。在下一章中,我们将介绍如何实施 RCA 流程和事后分析文化。
检测和响应
邀请外部研究人员入侵您的资产会影响您的检测和响应机制。如果您拥有入侵检测/预防系统,则需要考虑希望安全研究人员执行哪些类型的测试。你们是否会为这些漏洞创建例外,以发现这些自动防御系统“背后”的漏洞?如果 10 位研究人员在周六凌晨 2:00 开始针对您面向外部的资产运行漏洞扫描,那么闹钟是否会触发您的安全团队唤醒?您如何识别来自安全研究人员的合法测试流量与针对系统的潜在实际攻击?您知道如何利用安全研究人员对您的系统进行测试的数据吗?如果安全研究人员试图通过暴力猜测用户名和密码,他们是否会锁定真实用户?在发起 VDP 之前,您需要考虑以下所有方面。您需要确保您与安全研究人员针对哪些测试类型适合或不可以,设定明确的预期,并确定如何配置现有的检测和响应机制。后续章节将更详细地介绍如何处理这种情况。
安全文化
组织内的文化对您能否顺利启动并维持 VDP 能力有巨大影响。不妨后退一步,了解谁需要参与这项计划的主要利益相关方,以及他们目前与信息安全团队的关系。根据各种相关利益相关方以及您希望他们处理启动漏洞披露计划的提案的方式,您需要确定方法和材料以说服他们接受此概念。未涉及的关键利益相关方可能会阻止 VDP 启动。