การเปิดตัว VDP

เริ่มจากน้อย

แม้ว่าจะมีการพูดถึงเรื่องนี้ไปก่อนหน้านี้ แต่เราขอแนะนำให้คุณกลับไปทบทวน คุณอาจจะอยากเปิดตัวโปรแกรม "ต่อสาธารณะ" โดยการประกาศให้ทั่วโลก ทราบ และในกรณีที่เป็นโปรแกรมภายในองค์กร เปิดให้บุคคลทั่วไปเข้าถึงนโยบายโปรแกรมและฟอร์มการส่งรายงานได้ วิธีนี้อาจมีความเสี่ยง เนื่องจากคุณ ไม่ได้เริ่มสร้างจากจุดเล็กๆ และเพิ่มทรัพยากร ไม่ว่าคุณจะเตรียมตัวไว้มากน้อยแค่ไหน ก็มีเรื่องให้ประหลาดใจเสมอเมื่อคุณเปิดตัว VDP คุณอาจได้รับช่องโหว่มากกว่าที่คาดไว้ และไม่สามารถตามให้ทัน ครึ่งหนึ่งของทีมของคุณอาจลาป่วยและไม่สามารถช่วยคัดแยกข้อบกพร่องได้ คุณอาจลืมลองใช้การสแกนที่มีการตรวจสอบสิทธิ์ และเมื่อนักวิจัยทำ ก็อาจทำให้ระบบของคุณท่วมท่วมระบบโดยสร้างบัญชีใหม่ 100,000 บัญชี! ไม่ว่าอะไรจะเป็นเรื่องน่าประหลาดใจ การค่อยๆ เริ่มต้นทีละน้อยและค่อยๆ ขยายโปรแกรมออกไปนั้นย่อมดีกว่า คุณจะพบกับปัญหาซึ่งเป็นเรื่องปกติมาก แต่คุณควรใช้แบนด์วิดท์เพื่อจัดการกับปัญหาเหล่านี้ทีละรายการ

หากคุณได้ตัดสินใจที่จะสร้างโปรแกรมภายในองค์กร คุณยังคงต้องแสดงนโยบายโปรแกรมและแบบฟอร์มการส่งรายงานบนเว็บไซต์ของตัวเอง แต่อาจต้องการให้แฮ็กเกอร์ลงชื่อเข้าใช้ก่อนจึงจะสามารถดูโปรแกรมได้ หากคุณใช้แพลตฟอร์มของบุคคลที่สาม แพลตฟอร์มนั้นจะจัดการการเชิญนักวิจัยด้านความปลอดภัยกลุ่มเล็กๆ ให้คุณโดยอัตโนมัติ ไม่ว่าจะเป็นกรณีใด คุณสามารถสร้างเทมเพลตคำเชิญ เพื่อใช้ในการเชิญแฮ็กเกอร์มายัง VDP ส่วนตัวของคุณ เช่น

สวัสดี <ชื่อองค์กรของคุณ> ขอเชิญคุณเข้าร่วม VDP ส่วนตัวของเรา เราจะเริ่มต้นจากโหมดส่วนตัวทีละนิดเพื่อต่อยอดกระบวนการ VDP และมอบประสบการณ์ที่ดีที่สุดแก่นักวิจัยด้านความปลอดภัย โปรดดูนโยบายโปรแกรมของเราสำหรับหลักเกณฑ์และขอบเขตการทดสอบ หากมีความคิดเห็นเกี่ยวกับ VDP ในช่วงแรก โปรดแจ้งให้เราทราบ

หลังจากที่นักวิจัยชุดแรกได้รับเชิญและให้สิทธิ์เข้าถึงโปรแกรมแล้ว รายงานก็จะเริ่มส่งเข้ามา หรือคุณอาจไม่ได้รับรายงานใดๆ ก็ไม่เป็นไร สมมติว่าคุณเชิญนักวิจัยด้านความปลอดภัย 5 คน เป็นไปได้ว่าพวกเขา 2 คนกำลังยุ่งเกินไป และตัดสินใจที่จะไม่ดูโปรแกรมของคุณเลย ผู้ใช้อีกคนหนึ่งอาจลาพักร้อนและพลาดข้อความคำเชิญไปเลย แฮ็กเกอร์รายที่ 4 และ 5 อาจตรวจดูและทำการทดสอบเป็นเวลา 1-2 วัน แต่ไม่พบช่องโหว่ พวกเขาอาจกลับมาอีก 2-3 สัปดาห์ถัดมาและรายงานบางอย่างหลังจากนั้น แต่ก็เป็นเรื่องน่าตกใจที่ต้องทำทุกอย่างให้เสร็จ ส่งคำเชิญออกไป และไม่ได้รับรายงานใดๆ หากเหตุการณ์นี้เกิดขึ้น ไม่ต้องกังวล ซึ่งเป็นเรื่องปกติ และทำไมคุณจึงต้องการเริ่มต้นด้วยจำนวนน้อยๆ และเพิ่มทรัพยากรให้มากขึ้น หากคุณส่งคำเชิญไป 5 รายการและไม่เห็นจำนวนรายงานมากนัก ให้ส่งอีก 5 รายการ และส่งคำเชิญอีก 5 หรือ 10 หรือ 20 รายการ หากคุณใช้แพลตฟอร์มของบุคคลที่สาม แพลตฟอร์มเหล่านี้มีกลไกอัตโนมัติที่จะเชิญแฮ็กเกอร์อย่างช้าๆ เมื่อเวลาผ่านไป โดยพิจารณาจากปริมาณรายงานที่ต้องการ ในทางกลับกัน หากคุณได้รับรายงานช่องโหว่เป็นจำนวนมากหลังจากเชิญนักวิจัยด้านความปลอดภัยไปเพียง 5 คน คุณก็อาจลองเชิญเพิ่มจนกว่าจำนวนรายงานจะลดลง

คัดแยกและทำซ้ำ

ในช่วงสัปดาห์แรกหรือ 2 หลังจากเปิดตัว VDP คุณอาจต้องการให้มีคนทำหน้าที่พร้อมกัน 2 คนขึ้นไปเพื่อช่วยตรวจสอบรายงานช่องโหว่ขาเข้า การส่งข้อบกพร่อง และสื่อสารกับนักวิจัย โดยปกติแล้ว จะมีรายงานเพิ่มขึ้นเป็นจำนวนมากเมื่อโปรแกรมเปิดตัว จากนั้นก็จะลดลงเมื่อเวลาผ่านไป ขณะตรวจสอบรายงานช่องโหว่ที่เข้ามาใหม่ คุณอาจได้รับความคิดเห็นจากแฮ็กเกอร์และระบุช่องว่างหรือความเข้าใจผิดในนโยบายโปรแกรม คุณอาจพบปัญหาระหว่างกระบวนการและเครื่องมือด้วย เมื่อคุณเริ่มต้นจากจุดเล็กๆ และได้รับความสนใจและพลังงานจากทีมงานเป็นอย่างมากในช่วง 2-3 สัปดาห์แรก คุณควรใช้เวลานี้ในการปรับปรุงและพัฒนาโปรแกรมอย่างรวดเร็ว หลังผ่านไป 1-2 เดือน สิ่งต่างๆ จะหายไป และการใช้งานโปรแกรมอย่างราบรื่น จะกลายเป็นวิธีที่ 2

ขยายธุรกิจ เปิดตัวแบบสาธารณะ

เมื่อทีมเริ่มคุ้นเคยกับการใช้โปรแกรม คุณก็จะเชิญแฮ็กเกอร์ให้มาเข้าร่วมมากขึ้นเรื่อยๆ คุณได้ขยายขอบเขตให้ครอบคลุมทุกเรื่องที่คุณรู้ (และแม้แต่เนื้อหาที่คุณอาจไม่ทราบว่ามีอยู่) ในที่สุด คุณอาจไปถึงจุดที่คุณได้เชิญแฮ็กเกอร์มาแล้ว 100-200 คน แต่จำนวนรายงานดูจะน้อยลง รายงานที่ส่งทั้งหมด จะมีความรุนแรงในระดับต่ำหรือปานกลาง การหมุนเวียนหน้าที่ดูค่อนข้างเบาและทีมของคุณเชี่ยวชาญในการคัดกรองรายงานช่องโหว่ ผลักดันให้แก้ปัญหา และสื่อสารกับแฮ็กเกอร์ ตอนนี้คุณพร้อมแล้วที่ จะเปิดตัวโปรแกรมของคุณต่อสาธารณะ ก่อนดำเนินการดังกล่าว ให้แจ้งผู้มีส่วนเกี่ยวข้องทั้งหมดอีกครั้งเพื่อให้พวกเขารับทราบและซื้อผลิตภัณฑ์แล้วในการเปิดตัวสู่สาธารณะ เช่นเดียวกับการเปิดตัวแบบส่วนตัวครั้งแรก เตรียมทีมของคุณให้พร้อมสำหรับจำนวนรายงานที่อาจเพิ่มขึ้นสำหรับการเปิดตัวสู่สาธารณะ ความแตกต่างที่สำคัญอย่างหนึ่งเมื่อเปิดตัวแบบสาธารณะคือทุกคนจะส่งรายงานช่องโหว่ให้คุณได้ โปรดทราบว่าอาจสร้างเสียงรบกวนได้เป็นอย่างมาก ตัวอย่างเช่น ผู้ใช้ที่สับสนเกี่ยวกับวิธีเข้าสู่ระบบบัญชีของตน หรือแม้กระทั่งสแปมบ็อตที่กรอกแบบฟอร์มและส่งอีเมลโดยอัตโนมัติอาจส่งรายงานไปยัง VDP ของคุณ การมีเทมเพลตเตรียมไว้เพื่อให้ปิดรายงานทั่วไปที่ไม่เกี่ยวข้องกับความปลอดภัยได้อย่างรวดเร็ว หรือแม้กระทั่งแก้ไขล่วงหน้าได้โดยการปรับแบบฟอร์มเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังตำแหน่งที่ถูกต้อง (เช่น เจ้าหน้าที่ฝ่ายสนับสนุนอาจดำเนินการบางอย่าง เช่น ลืมรหัสผ่าน) ในอีกด้านหนึ่งคือ การเปิดโปรแกรมให้สาธารณชนได้รับรู้ เหล่าแฮ็กเกอร์ที่มีทักษะซึ่งไม่สามารถติดต่อคุณมาก่อนหน้านี้จะสามารถทำเช่นนั้นได้ วิธีนี้อาจช่วยให้คุณค้นพบช่องโหว่ที่มีความรุนแรงสูงหรือร้ายแรงซึ่งคุณไม่เคยรู้ว่ามีอยู่ นอกจากนี้ยังมาพร้อมกับสิทธิประโยชน์ทั้งหมดที่พูดถึงก่อนหน้านี้ในคู่มือนี้ ซึ่งรวมถึงการมีช่องทางที่ได้มาตรฐานสำหรับชุมชนการแฮ็กทั่วโลกเพื่อเปิดเผยช่องโหว่ให้คุณทราบโดยตรง ซึ่งจะช่วยลดความเสี่ยงในการละเมิดและการประชาสัมพันธ์ในเชิงลบ

ฉลองความสำเร็จ

ยินดีด้วย คุณเดินทางมาไกลมาก และตอนนี้คุณมี VDP สาธารณะแล้ว อย่าลืมเฉลิมฉลองร่วมกับทีมของคุณและผู้มีส่วนเกี่ยวข้องที่คอยช่วยเหลือคุณตลอดเส้นทางนี้ การแสดงความรู้สึกขอบคุณและหาหนทางฉลองความสำเร็จไปด้วยกันนั้นเป็นสิ่งสำคัญ นอกจากการเฉลิมฉลองการเปิดตัว VDP ต่อสาธารณะแล้ว อย่าลืมฉลองเหตุการณ์สำคัญต่างๆ ไปด้วย เช่น วันครบรอบการเปิดตัวสู่สาธารณะ หรือไฮไลต์ข้อบกพร่องที่น่าสนใจและสำคัญเป็นพิเศษที่พบและแก้ไขผ่าน VDP ของคุณด้วย การรวบรวมเมตริกไปพร้อมกันจะช่วยแสดงความสำเร็จของโปรแกรมและเน้นย้ำความสำเร็จของคุณและทีมของคุณ