מדיניות התוכנית חיונית לכל VDP וצריך לבנות אותה בקפידה. מדיניות התוכנית היא הדבר הראשון שחוקרים האבטחה רואים כשהם משתתפים ב-VDP. היא קובעת את הטון של התוכנית, מגדירה את הציפיות ומגדירה את המחויבות שלך לחוקרים שבוחרים להשתתף.
איך יוצרים ומארחים את מדיניות התוכנית
מומלץ לפעול לפי ההנחיות שבהמשך כדי לגבש את תקנון התוכנית של ה-VDP שלך. מדיניות התוכנית היא בדרך כלל רק דף אחד עד שלושה דפים, ובדרך כלל כוללת את הנושאים הבאים:
- חוקרים
- הנחיות לבדיקה
- היקף התוכנית
מדיניות התוכנית צריכה להיות זמינה לכל החוקרים הפוטנציאליים. אם אתם מתכננים להפעיל את ה-VDP באופן פרטי רק למספר קטן של חוקרים, מדיניות התוכנית צריכה אמצעי בקרה מסוימים כדי שהיא תהיה זמינה לכל החוקרים שהזמנתם, אבל היא מוגבלת לכל השאר. החוקרים צריכים גם דרך לשלוח דוחות, כמו טופס אינטרנט או כתובת אימייל חלופית המחוברת למערכת ניהול הכרטיסים לצורך מעקב אחר הדוחות. כדאי לקחת את זה בחשבון כשמגדירים את המשאבים באינטרנט של VDP.
בדרך כלל, בפלטפורמות של צדדים שלישיים לגילוי נקודות חולשה ולגילוי באגים יש יכולות, למשל:
- דרך ליצור, לערוך ולפרסם מדיניות
- גישה לפקדים ליצירת תוכנית פרטית
- הזמנת האקרים באופן אוטומטי בקצב נוח
- פונקציונליות של תיבת הדואר הנכנס שמאפשרת לעבד דוחות נכנסים
פלטפורמות של צד שלישי מציעות גם מגוון שירותי ייעוץ שעוזרים לפשט את תהליך היצירה וההשקה של VDP. לרוב, פלטפורמות ושירותי ייעוץ של צד שלישי כרוכים בתשלום. נסו לחשוב על העלויות והיתרונות של השימוש בשירותי צד שלישי לעומת פיתוח וניהול תוכניות פנימיות, כדי להחליט מהו המסלול הטוב ביותר לארגון שלכם.
לקבלת מידע נוסף על הפרטים שיש לכלול במדיניות התוכנית, אפשר לקרוא את "מסגרת העבודה לגילוי נקודות חולשה במערכות אונליין" של משרד המשפטים בארה"ב.
בעלי עניין במדיניות התוכנית
תוך כדי ניסוח מדיניות התוכנית, כדאי לשקול איך לעבוד עם בעלי העניין שלכם. צוותים שונים עשויים להביא בחשבון את השיקולים שנחוצים כדי לפתח את המדיניות שלכם.
| בעל עניין | שיקולים |
|---|---|
| משפטי |
|
| IT |
|
| הנדסה |
|
| PR |
|
| אבטחה |
|
הבטחת חוקרים
הבטחת החוקרים מסבירה את ההתחייבויות של הארגון לחוקרים המשתתפים, שפועלים בתום לב לפי ההנחיות לבדיקה שמפורטות במדיניות. לדוגמה, מחויבות להגיב לכל דוחות האבטחה הנכנסים במסגרת זמן ספציפית, וכן להודיע על החלטות שקשורות לדיווח על פרצות אבטחה ולתקן אותם.
דוגמה:
<שם הארגון שלכם> פועל בשיתוף פעולה עם חוקרי אבטחה כדי לזהות ולתקן נקודות חולשה במערכות ובשירותים שלנו. כל עוד תפעל בתום לב ובהתאם להנחיות המפורטות במדיניות הזו, נעשה כמיטב יכולתנו להתחייב לתנאים הבאים:- תגובה ראשונית לדוח נקודת החולשה בתוך שלושה ימי עסקים
- צריך לקבוע אם נקבל (אנחנו מתכוונים לתקן) או נדחה (מזהים את הדוח כסיכון חיובי או שקרי) לדוח נקודת החולשה בתוך 10 ימי עסקים .
- כדי לעדכן אתכם לגבי תיקון הדוחות שאנחנו מקבלים מכם
שימוש בנמל מבטחים במדיניות התוכנית שלכם מבטיח לחוקרים שלא תינקט פעולה משפטית נגדם כדי לבדוק את המערכות שלכם, כל עוד הם פועלים בתום לב ומצייתים לכל ההנחיות המפורטות במדיניות.
הנחיות לבדיקה
הנחיות הבדיקה מתארות את בדיקות האבטחה שעומדות בדרישות של ה-VDP, ואת הבדיקות שלא מקיפות עם החוקרים. אם אתם מעוניינים לחקור סוגי נקודות חולשה ספציפיות, תוכלו להיעזר בקטע הזה כדי להדגיש אותן.
דוגמה:
כשמבצעים בדיקות אבטחה, חשוב לפעול בהתאם להנחיות הבאות:
- בודקים רק בין החשבונות והנתונים שלכם (למשל, חשבונות בדיקה). אם זיהיתם נקודת חולשה שעלולה להוביל לגישה אל נתונים של משתמשים אחרים, תצטרכו לבדוק איתנו לפני שאתם ממשיכים לבדוק.
- אם ניגשתם בטעות לנתונים של משתמשים אחרים בבדיקות שלכם, עליכם להודיע לנו על כך ולא לאחסן נתונים של משתמשים כאלה.
- לא לבצע בדיקות שגורמות להתקפת מניעת שירות (DoS) או לפגיעה בשירותי הייצור שלנו.
- התוכנית הזו לא עוסקת בהנדסה חברתית. אל תנסו לבצע הנדסה חברתית של הארגון או של המשתמשים שלנו.
אנחנו מעוניינים במיוחד בסוגים הבאים של נקודות חולשה והשפעות:
- ביצוע קוד מרחוק
- XSS שמוביל לגישה למידע רגיש (למשל, מידע על סשנים)
- החדרת SQL שמובילה לגישה למידע רגיש או לפונקציונליות
- פגמים לוגיים עסקיים שמאפשרים גישה למידע רגיש או לפונקציונליות רגישה
אנחנו פחות מעוניינים בסוגים הבאים של נקודות חולשה, שיש יותר סיכוי שהם
ייפסלו כחיוביות שקריות או כסיכונים קבילים:
- היעדר כותרת X-Frame-Option בדפים ללא פונקציונליות של שינוי מדינה
- תוצאות של סורק אוטומטי לא מאומת
- בעיות שככל הנראה לא יהיו מנוצלות ו/או שאין להן השפעה בפועל על האבטחה
היקף
ההיקף מגדיר את הנכסים שהחוקרים יכולים לבדוק, כמו גם הנכסים שלא נחשבים לחלק מה-VDP. צריך לשקול היטב את כל היקף השימוש, ולהרחיב את ההיקף שלו ככל האפשר בלי להעמיס על הצוות. ככל שתהיו מוכנים להרחיב את ההיקף, כך תעלה הסבירות שתקבלו חוקרים לאבטחת מידע. עם זאת, אין ליצור היקף רחב מדי כדי שהצוות לא יוכל לעמוד בקצב של הדוחות הנכנסים. נתחיל עם כמה נכסים בהיקף היקף. הרחיבו את היקף החשיפה ככל שתבינו מה נפח הדוחות שתקבלו. לפני שתפתחו את ה-VDP לציבור הרחב, שואפים לכלול את כל מה שצריך.
כדי להבין איך להגדיר את ההיקף במדיניות התוכנית, הוספת פרטים על כל נכס או תחום יכולה לעזור לחוקרים ב-Google לדעת מה חשוב לכם ולהיכן למקד את המאמצים שלהם. תוכלו גם לכלול טיפים לבדיקה בטוחה של הנכסים שלכם. לדוגמה:
| נכס | mail.example.com |
|---|---|
| תיאור | הדומיין הראשי שבו משתמשים יכולים לגשת לאימייל שלהם. |
| נקודות חולשה והשפעות מעניינות |
|
| בעיות שככל הנראה יידחו |
|
| הנחיות בדיקה | ניתן לבצע בדיקה רק כנגד חשבונות שבבעלותך או שיש לך הסכמה מפורשת לבצע בדיקה כנגדם. כשאתם יוצרים חשבונות בדיקה, כדאי לכלול את המילה vdptest במקום כלשהו בשם המשתמש. אפשר ליצור חשבונות בדיקה בכתובת mail.example.com/new. |
זה פירוט מפורט למדי. לחלופין, אפשר לכלול רשימה פשוטה של נכסי היקף והיקף שלא נכללים:
בהיקף ההרשאות
- mail.example.com
- example.com
מחוץ לטווח
- blog.example.com
מקורות ה-VDP שלך
תצטרך משאבים מסוימים לפני השקת VDP. תצטרכו משאבים:
- בדיקה של דוחות על פרצת אבטחה
- תקשורת עם האקרים
- איתור בעלי נכסים ושליחת באגים
- תיקון באגים
- ניהול נקודות חולשה / טיפול בבעיה
חזרה לבעלי עניין מרכזיים
אם עוד לא עשיתם זאת, כדאי לחזור לשיחה עם בעלי עניין מרכזיים ששוחחתם איתם על ה-VDP בשלב מוקדם יותר, כדי לוודא שהם תואמים לציר הזמן של ההשקה של ה-VDP, ולהציב את המשאבים הנחוצים להשקה. לדוגמה, תוכלו לעבוד עם מהנדסי תוכנה כדי לוודא שהצוותים שלהם יהיו מוכנים לזרם של באגי אבטחה פוטנציאליים בשבועות הראשונים שלאחר ההשקה. בצוות האבטחה, כדאי לוודא שההתראות שמתווספות למערכות הזיהוי והתגובה מבוססות על תאריך ההשקה של VDP, ולשקול להקצות עוד זמן ומשאבים לתחילת הבדיקה. תצטרכו גם ליצור צוות שיתמוך בתפעול היומי של ה-VDP שלכם.
בונים את הצוות
כדי להשתמש ב-VDP נדרשת עבודה הגיונית שלא גורמת לשיבושים. אם אתם מנסים לבדוק, לאמת באופן טכני ולהגיב לכל דוח נקודות חולשה שמגיע, וגם לדווח על כל באג, לעקוב אחרי הסטטוסים ולשלוח הודעות לחוקרים בעצמכם, אתם עלולים לשרוף. גם אם אין לכם צוות אבטחה גדול, תוכלו להיעזר במתנדבים שמתמקדים באבטחה כדי ליצור צוות שיעזור להפעיל ולהפעיל את ה-VDP. עדיין תצטרכו להגדיר 'בעלים' או 'מנהיג' מוגדר של VDP שבסופו של דבר יהיו האחראים להצלחת ה-VDP, אבל תצטרכו גם צוות שיתמוך במנהיג הזה.
יצירת לוח זמנים פעיל
אחרי שיהיו לכם משאבים ותהיו מוכנים לעזור עם ה-VDP, הגדירו לוח זמנים מאחורי הקלעים על ידי הגדרת לוח זמנים לתפקיד. אתם יכולים ליצור את האוסף הזה מתי שתרצו, אבל סיבוב שבועי הוא שיטה נפוצה למדי. כשאתם בתור השבוע, באחריותכם:
- Triage – בדיקת דוחות על נקודות חולשה נכנסות
- ניהול נקודות חולשה – קידום נקודות חולשה קיימות
- כדאי לבדוק את הבאגים שנשלחו מהשבועות האחרונים, כדי לוודא שתיקוני הטיפול מתנהלים בהתאם לתקני החומרה וללוחות הזמנים לתיקון הבעיות.
- מומלץ להיעזר בטיפים למציאת בעלים כדי לשכנע בעלים לעבוד על הבאגים האלה
- תקשורת – מתן עדכונים לחוקרי אבטחה לגבי דוחות קיימים
- חוקרים עשויים לבקש עדכונים מראש על דוחות קיימים, לבדוק אותם ולהשיב בהתאם
- אם פרצת האבטחה תוקנה, יש לדווח על כך לחוקר כדי שהוא ידע שהעבודה הקשה שלו הובילה לשינוי חיובי בארגון. אפשר אפילו לכלול שפת תבנית שמבקשת מהחוקר להודיע לכם אם פספסתם משהו בתיקון, או אם ניתן לעקוף את התיקון בדרך כלשהי.
בהתאם למספר הדוחות שתקבלו, למידת המורכבות של הדוחות האלה והיכולות והידע הנדרשים מהם. כמה טיפים לניסוח מנצח:
- חשוב שהצוות יהיה מוכן לסייע ולתמוך בתפקיד שלכם במהלך שבועות כבדים במיוחד.
- חשוב להכין מראש תהליך מסירה מתאים. אם יש בעיות שמחייבות את תשומת הלב של האדם הבא בתפקיד, תוכלו לכתוב הערות אישיות או לנהל שיחה פעילה בסוף השבוע.
- תוכלו ליצור תזמון אוטומטי כדי לוודא שכולם יודעים מתי הם פנויים. זה יכול להיות פשוט כמו ליצור רשומות חוזרות ביומן לכל אחד מהם.
- כדאי לבדוק את החלק של ה-VDP לפני שמתחילים, כדי לבדוק אם מישהו זוכר שהוא עבר באותו שבוע ולברר אם הוא צריך עזרה. אם יש לכם משאבים צעירים יותר לסבב, כדאי שתשתפו איתם משאבים נוספים כדי לוודא שאתם מרגישים בנוח ושיוכלו לשאול שאלות ככל שיצטברו יותר נתונים.
- שיהיה לכם תהליך גמיש להחלפת שבועות. באופן בלתי נמנע, לפעמים יהיה מדובר במקרה חירום ויהיה צורך לצאת להפסקה במהלך השבוע. לחלופין, מישהו יצטרך לצאת לחופשה וכו'. במצב כזה, מומלץ לעודד את הצוות להחליף שבועות לפי הצורך כדי להתאים ללוחות הזמנים של כולם.
- כדאי ליצור 'חובת הגשה' שמציינת את המחויבויות שצריך לכלול, כולל תיעוד לגבי הדרך שבה מבצעים את המשימות.
קביעה בתוך החברה לעומת צד שלישי
מרבית ההנחיות עד עכשיו מבוססות על הבנייה וההפעלה של VDP בתוך הארגון. יש מגוון של שירותי ייעוץ ופלטפורמות שיכולים לעזור לכם ליצור ולהפעיל VDP. הצדדים השלישיים האלה בדרך כלל עולים בתשלום, אבל הם יכולים לעזור לכם בתהליך היצירה, ההפעלה וההפעלה של ה-VDP. חלקם גם מציעים שירותי מיון כדי לעזור לכם לבדוק דוחות על פרצות אבטחה, לשפר את התקשורת עם האקרים ולהסלים רק דוחות תקינים לצוות שלכם. ההחלטה אם אתם בונים את התהליך הזה בתוך הארגון או אם אתם משתמשים בפלטפורמה של צד שלישי תלויה בדרישות ובמשאבים הזמינים שלכם. אם יש לכם תקציב גדול אבל לא קשה מדי, המינוף של צד שלישי כדי לעזור בהפעלת התוכנית יכול להיות הגיוני. אם אתם פונים בכיוון השני, ייתכן שכדאי להשקיע את הזמן כדי לבנות את התוכנית בעצמכם.
קבלת דוחות
אם תחליטו להשתמש בפלטפורמה של צד שלישי, צריכה להיות להאקרים אפשרות לשלוח דוחות ישירות אליכם. אם אתם בונים את התוכנית באופן עצמאי, תצטרכו לבנות אותה בעצמכם. זו יכולה להיות כתובת אימייל שיוצרת באופן אוטומטי כרטיס או באג בכלי המעקב אחר בעיות (לדוגמה, security@example.com), או טופס אינטרנט עם שדות טופס נדרשים, שמקושרים לאותו דף של מדיניות התוכנית או מגיעים אליו. לא משנה באיזה טופס מדובר, זו ההזדמנות שלך להודיע להאקרים על הפורמט שבו ברצונך לקבל את הדוחות. חשוב לזכור: בקשה מהאקרים לשלוח דוחות בפורמט מסוים לא תמיד מבטיחה שהם ישלחו, אבל לא צריך לבקש. הנה דוגמה למידע שאפשר לבקש בטופס של שליחת דוח:
Title: [יש להוסיף תיאור של הבעיה בשורה אחת, למשל "XSS ב-mail.example.com
תוצאות בגניבת הפעלה"]
1.
2.
3.
תרחיש התקפה והשפעה: [איך אפשר לנצל את ההזדמנות הזו? איזו השפעה יש לאבטחה הזו?
מה הבעיה?]
הצעה לתיקון: [אופציונלי, אם יש לכם עצות לגבי האופן שבו אפשר לתקן את הבעיה או לתקן אותה, הוסיפו אותה כאן.]