計畫政策對任何 VDP 至關重要,請務必審慎制定。 安全性政策是研究人員參與 VDP 時最先看見的內容。不僅要為計劃定調、定義期望,還定義了參與研究的研究人員的承諾。
如何建立及代管計畫政策
請根據以下的指南擬定 VDP 計畫政策。計畫政策通常只有 1 到 3 頁,而且通常包含下列主題:
- 研究人員承諾:
- 檢測指引
- 計劃範圍
所有潛在研究人員都必須取得計畫政策。如果您計劃私下將 VDP 公開發布給少數受邀的研究人員,則計畫政策必須採用某種存取權控管機制,才能向受邀的研究人員提供這項權限,但僅限其他人使用。此外,研究人員也需要提交報告,例如用於連結票證系統的網路表單或電子郵件別名。設定 VDP 的線上資源時,請考慮這一點。
第三方安全漏洞揭露和錯誤散播平台通常具有下列功能:
- 建立、編輯和發布政策的方法
- 建立私人計畫所需的控制選項
- 自動以安全的方式邀請駭客
- 可協助處理傳入報表的收件匣功能
第三方平台也提供多種諮詢服務,協助簡化建立及推出 VDP 的程序。一般來說,第三方平台和諮詢服務需要付費。考慮使用第三方,以及自行在內部管理和管理計劃,以決定貴機構最佳路徑的成本與好處。
關於如何納入計劃政策的其他靈感,請查閱美國司法部的《網路系統安全架構揭露計劃架構》。
計畫政策相關人員
擬定計畫政策時,請考慮如何與相關人員合作。不同的團隊可能會針對政策制定的考量提供意見回饋。
| 利害關係人 | 注意事項 |
|---|---|
| Legal |
|
| IT |
|
| 工程 |
|
| PR |
|
| 安全性 |
|
研究人員承諾
研究人員承諾會說明機構對於遵守政策所述的測試規範,參與善意良善的研究人員所承諾的承諾。例如,承諾在特定時間範圍內回應所有收到的安全性報告,以及傳達可接受和修正安全漏洞報告的決策。
例子:
<貴機構名稱> 致力於與安全性研究人員合作,協助找出並修正系統和服務中的安全漏洞。只要你秉持善意,並且遵守本政策所列規範,我們就能盡可能達成下列事項:- 在三個工作天內針對安全漏洞報告提供初步回應
- 在 10 個工作天內,判斷我們是否接受 (要修正) 或拒絕 (將您的報告判定為誤判或可接受的風險) 安全漏洞報表
- 請密切關注我們為您處理的最新報告
只要在計畫政策中採用安全港語言,就能確保研究人員不會採取任何法律行動來測試您的系統,只要這些行為符合良善原則,並遵守政策中規定的所有規範即可。
檢測指引
測試指南說明 VV 範圍內的安全性測試,以及不在範圍內且應由研究人員避免的測試。如果您希望將焦點放在特定類型的漏洞上 請特別留意這部分的安全漏洞
範例:
執行安全性測試時,請遵守下列規範:
- 只以您自己的帳戶和資料進行測試 (例如建立測試帳戶)。如果您發現可能會讓其他使用者存取資料,請事先與我們聯絡,然後再進一步進行測試。
- 如果您不小心在測試中存取其他使用者的資料,請通知我們,不要儲存任何這類使用者資料。
- 請勿進行測試,以致拒絕服務條件或對我們的實際工作環境服務造成負面影響。
- 社交工程不在本計畫範圍內;請勿試圖以社交手法對我們的機構或使用者進行社交工程。
特別針對下列類型的安全漏洞和影響特別感興趣:
- 遠端程式碼執行
- 導致存取機密資料 (例如工作階段資訊) 的 XSS
- 可插入機密資料或功能的 SQL 植入功能
- 導致機密資料或功能遭到存取的商業邏輯瑕疵
我們對以下類型的安全漏洞較不感興趣,這比較有可能
被判定為偽陽性或可接受的風險:
- 沒有狀態變更功能的網頁中缺少 X-Frame-Options 標頭
- 未經驗證的自動掃描結果
- 不太可能被剝削和/或沒有實際安全性影響的問題
範圍
這個範圍定義了研究人員可測試的資產,以及不被視為 VDP 的部分資產。請務必仔細考慮此範圍,而且要盡可能避免過度負載。您願意納入範圍內的可能性越高,安全性研究人員就有提高參與度的機會。然而,請勿擴大範圍,以免團隊無法掌握收到的報告。先使用範圍內的幾個素材資源。當您進一步瞭解報表量時,請擴大範圍。日後將您的 VDP 公開發布前,請盡量將一切都納入範圍內。
關於在計畫政策中定義範圍的方式,對於每個資產或區域新增詳細資訊,可讓安全性研究人員瞭解您重視的層面,以及這些工作的重點。您也可以加入提示,瞭解如何安全地測試素材資源。範例如下:
| Asset | mail.example.com |
|---|---|
| 說明 | 供使用者存取電子郵件的主要網域。 |
| 有趣的安全漏洞與影響 |
|
| 可能遭拒的問題 |
|
| 測試規範 | 您只能針對自己擁有或明確同意進行測試的帳戶進行測試。 建立測試帳戶時,請在使用者名稱的任何位置加上「vdptest」。您可以前往 mail.example.com/new 建立測試帳戶。 |
這是相當精細的細目。或者,您可以加入簡單的範圍清單和範圍外資產:
範圍內
- mail.example.com
- example.com
超出服務範圍
- blog.example.com
收回 VDP
您必須先備妥特定資源,才能啟動 VDP。您需要以下資源:
- 審查收到的安全漏洞報表
- 與駭客溝通
- 尋找資產擁有者和回報錯誤
- 修正錯誤
- 安全漏洞管理 / 後續補救措施
回顧主要相關人員
如果您尚未回到之前討論過的主要利害關係人,請重新檢視對話內容,以確保和您推出 VDP 的時程保持一致,並準備推出必要的更新資源。舉例來說,您可能希望與工程部門主管合作,確保團隊能在資料發布後前幾週,可能出現大量的安全防護錯誤。請為您的安全性團隊確認偵測與回應系統中收到快訊的快訊是否知道 VDP 推出日期,並考慮為測試開始分配更多時間和資源。您也必須建立團隊,協助支援 VDP 的每日作業。
組成您的團隊
執行 VDP 需要處理大量業務中斷工作。如果您嘗試查看、技術性驗證,並在發現每個安全漏洞報告後做出回應、回報所有錯誤、追蹤狀態,並自行向研究人員傳達最新消息,那麼處理過程可能會引發疲乏。就算您沒有大型安全性團隊,也不妨尋找由安全性為志的志工,協助成立團隊協助營運和執行 VDP。您仍需要定義 VDP 的「擁有者」或「領導者」,而這些最終的最終目標是讓 VDP 成功,但還需要一個團隊來支援該主管。
建立輪值時間表
當您擁有各種資源,而且願意協助管理 VDP 時,請設定職責時間表,藉此在背後設置一些架構。您可以視需要建立這類內容,但每週輪播是相當常見的做法。當您本週要執行任務時,您有責任:
- 分類 - 查看收到的安全漏洞報告
- 安全漏洞管理 - 推動現有安全漏洞
- 查看過去十年過去提交的錯誤,以確保您能依據嚴重性標準和修復時間表來完成修復作業。
- 參考尋找擁有者的提示,協助說服擁有者處理這些錯誤
- 通訊 - 為安全性研究人員提供現有報告的最新消息
- 研究人員可能會主動詢問現有報表的最新資訊;請查看相關資訊,並視需要做出回應
- 修復安全漏洞後,請將相關資訊告知研究人員,讓他們知道自己的努力會對貴機構帶來正面影響。您甚至可以加入範本語言,要求研究人員告知您是否錯過任何修正內容,或您的解決方法是否可能遭到規避。
視收到的報表數量、這類報告的複雜程度,以及個別職責的技能和知識而定,工作時間可能從數小時到整週都不等。成功的輪轉成功秘訣包括:
- 確保您的團隊已準備好採取行動,在更繁重的星期下支援執行作業。
- 設有合適的接管程序;如果有問題需要立即處理下任員工處理,請撰寫幾份接字附註,或在週末進行即時對話。
- 建立自動排程功能,確保所有人都知道何時有空。 這可以為每個人建立週期性日曆項目就一樣簡單。
- 尤其是在執行 VDP 時,請仔細向職員確認,確保他們能記錄自身的週次,看看對方是否需要任何協助。如果輪流資源有較多的人力資源,較有資源能配合這些資源,確保他們能感到舒適自在,並在他們逐步提高時提問。
- 可靈活調整每週的替換流程。難免會有人遇到緊急情況,且需要在下班時間休息,或者有人要休假 等等。此時,請鼓勵該團隊視需要切換週次,以因應每個人的行程。
- 建立任務任務「一覽表」,以概述應涵蓋的任務,包括如何完成工作的說明文件。
選擇內部或第三方
到目前為止,大部分的指引都是由您自行在內部建構及執行 VDP。我們提供許多諮詢服務和平台,可協助您建立及執行 VDP。這些第三方通常會有費用,但對於建立、啟用及執行 VDP 的指引會有所幫助。有些公司還會提供分類服務,協助您檢閱收到的安全漏洞報告、協助與駭客溝通,以及只將有效的報表提報給您的團隊。請依自身需求和可用資源,決定要在內部建構此程序或使用第三方平台。如果您的預算很大,但是員工人數並不多,那麼運用第三方協助您執行程式可能很合理。反過來,或許值得您花時間自己打造計劃。
接收報告
如果您決定使用第三方平台,駭客應能直接向您直接將報告提交給您。如果您是在內部建構程式,則必須自行建構。這可能是電子郵件地址自動在 Issue Tracker 中自動建立票證或錯誤 (例如 security@example.com),也可能是包含必填表單欄位的表單表單,該表單連結與政策頁面相同或位在同一頁面。無論採用哪種形式,您都有機會告知駭客您想接收哪些格式的報表。 提醒您,要求駭客提交特定格式的報表並不見得能保證,但也無害。以下舉例說明您在提交申請表單中可能要求的資訊:
標題:[Please add a line line of the issue, e.g. "XSS in
mail.example.com
results in session Theft"]
1.
2.
3.
攻擊情境和影響:[這會如何利用?
問題有哪方面的安全影響?]
修復建議:[選填,如果您對於如何修正或補救這個問題有任何建議,請在此新增;]