Küçük adımlarla başlayın
Bu konudan daha önce bahsedilmiş olsa da bu konuyu tekrar etmek faydalı olacaktır. Programınızı "herkese açık" olarak tüm dünyaya duyurmak ve şirket içi bir program kullanıyorsanız program politikanızı ve rapor gönderim formunuzu herkesin erişimine sunmak cazip gelebilir. Bu durum, size küçük adımlarla başlayıp ölçeği büyütme fırsatı sunmadığı için riskli olabilir. Ne kadar hazır olursanız olun bir VDP başlattığınızda her zaman sürprizlerle karşılaşabilirsiniz. Beklenenden daha fazla güvenlik açığıyla karşılaşabilirsiniz ve bu duruma ayak uyduramayabilirsiniz. Belki ekibinizin yarısı hastalanmış ve hataların önceliklerini belirlemeye yardımcı olamıyordur. Belki kimliği doğrulanmış taramalar çalıştırmayı unutmuşsunuzdur ve bir araştırmacı bunu yaptığında yanlışlıkla 100.000 yeni hesap oluşturarak sisteminize baskınlar! Sürprizler ne olursa olsun, küçük adımlarla başlayıp programınızı zaman içinde yavaş yavaş büyütmek en iyisidir. Sorunlarla karşılaşacaksınız. Bu tamamen normaldir ancak bu sorunları teker teker ele alacak bant genişliğine sahip olmak en iyisidir.
Programınızı şirket içinde oluşturmaya karar verdiyseniz, web sitenizde program politikanızı ve rapor gönderim formunuzu karşılaştırmayı da düşünebilirsiniz. Ancak bilgisayar korsanlarının, programı görebilmeleri için giriş yapmalarını zorunlu tutmak isteyebilirsiniz. Üçüncü taraf platformu kullanıyorsanız platform, küçük bir güvenlik araştırmacı grubunu davet etme işini sizin için otomatik olarak halleder. Her iki durumda da bilgisayar korsanlarını özel VDP'nize davet etmek için kullanmak üzere aşağıdaki gibi bir davetiye şablonu oluşturabilirsiniz:
Merhaba, <Kuruluşunuzun adı> sizi özel VDP'mize katılmaya davet etmek istiyor. Özel modda küçük bir grupla başlıyoruz. Böylece, VDP süreçlerimizi güvenlik araştırmacılarına mümkün olan en iyi deneyimi sağlayacak şekilde geliştirebiliriz. Test yönergeleri ve kapsamı için lütfen program politikamıza göz atın. VDP'mizin ilk aşamalarında bize sunacak geri bildirimleriniz varsa lütfen bize bildirin.İlk araştırmacı grubunuz davet edildikten ve programınıza erişim izni verildikten sonra raporlar gelmeye başlar. Hiç rapor almayabilirsiniz ama sorun değil. Beş güvenlik araştırmacısını davet ettiğinizi varsayalım. Muhtemelen ikisi çok meşgul olup programınıza hiç bakmamaya karar verirler. Başka bir kullanıcı tatilde ve davet mesajınızı hiç kaçırıyor olabilir. Dördüncü ve beşinci saldırganlar ise göz atıp bir iki gün testler yapabilirler ama herhangi bir güvenlik açığı bulamazlar. Belki birkaç hafta sonra tekrar gelip bir şeyler raporlayabilirler. Ancak tüm bu çalışmaları yürütmek, davet göndermek ve hiç rapor almamak yine de şok edici olabilir. Bu durumda endişelenmeyin. Bu tamamen normaldir ve neden küçük adımlarla başlayıp ölçeği artırmak istersiniz. Beş davet gönderdiğiniz halde fazla rapor hacmi görmüyorsanız beş tane daha, ardından beş, on, hatta yirmi tane daha gönderin. Üçüncü taraf platformu kullanıyorsanız bu platformların, istenen rapor hacmine göre bilgisayar korsanlarını zaman içinde yavaş yavaş davet edecek otomatik mekanizmaları vardır. Diğer yandan, yalnızca beş güvenlik araştırmacısını davet ettikten sonra çok sayıda güvenlik açığı raporu alırsanız rapor hacminiz düşene kadar daha fazla güvenlik araştırmacı davet etmemeyi düşünebilirsiniz.
Önceliklendirme ve yineleme
VDP'nizi başlattıktan sonraki ilk veya iki haftanızda, gelen güvenlik açığı raporlarının önceliğinin belirlenmesine, hataların iletilmesine ve araştırmacılarla iletişim kurulmasına yardımcı olmak için aynı anda iki veya daha fazla kişinin görevde olmasını isteyebilirsiniz. Bir programın kullanıma sunulmasında genellikle büyük bir rapor artışı olur, ardından program zaman içinde düzelir. Gelen güvenlik açığı raporlarını öncelik sırasına koyarken bilgisayar korsanlarından geri bildirim alabilir ve program politikanızdaki boşlukları veya yanlış anlamaları tespit edebilirsiniz. Süreçleriniz ve araçlarınızda da sorunlarla karşılaşabilirsiniz. İlk birkaç hafta boyunca ekibinizden çok fazla ilgi ve enerji alıp küçük adımlarla başladığınızda, bu zamanı programınızı hızla yinelemek ve daha iyi hale getirmek için kullanın. Bir veya iki ay sonra işler biter ve programınızı sorunsuz şekilde yürütmek artık doğal bir deneyim haline gelir.
Ölçeği artırma, herkese açık olarak başlatma
Ekibiniz programınızı yürütmeye alıştıkça daha da fazla bilgisayar korsanını katılmaya davet edeceksiniz. Kapsamınızı, bilgi sahibi olduğunuz her şeyi (ve hatta varlığından haberdar olmadığınız öğeleri bile) içerecek şekilde genişlettiniz. Sonunda yüz, hatta birkaç yüz bilgisayar korsanını davet ettiğiniz bir noktaya kadar gelebilirsiniz. Ama görünüşe göre rapor hacmi azalıyor. Gönderilen raporlar düşük veya orta önem düzeyine sahiptir. Görev rotasyonu oldukça basit bir yöntem gibi görünüyor. Ekibiniz de güvenlik açığı raporlarının öncelik sırasını belirleme, bunları çözüme ulaştırma ve bilgisayar korsanlarıyla iletişim kurma konularında oldukça tecrübeli. Bu noktada büyük olasılıkla programınızın lansmanı yapmaya hazırsınızdır. Bunu yapmadan önce, tüm paydaşlarınızla tekrar iletişim kurun ve bunları herkese açık lansmanınız hakkında bilgilendirdiklerinden emin olun. İlk özel lansmanınıza benzer şekilde, herkese açık lansmanınızın rapor hacminde başka bir potansiyel sıçrama için ekibinizi de hazırlayın. Herkese açık lansmanın temel farklarından biri, herkesin size güvenlik açığı raporu gönderebilmesidir. Bu yöntemin çok fazla sese neden olabileceğini unutmayın. Örneğin, hesaplarına nasıl giriş yapılacağı konusunda kafa karışıklığı olan kullanıcılar, hatta form doldurup otomatik olarak e-posta gönderen spam botları VDP'nize rapor gönderebilir. Güvenlikle ilgili olmayan sık karşılaşılan raporları hızlı bir şekilde kapatmak veya kullanıcıları doğru yere yönlendirecek şekilde formunuzu ayarlayarak (örneğin, unutulan şifreler gibi konularda destek personelinizi) bunu önceden ayırmak için şablonlara sahip olmak değerlidir. İyi tarafından bakarsak, programınızı herkesin erişimine açarak, size daha önce hiçbir yolu olmayan yetenekli bilgisayar korsanları artık bunu yapabilecektir. Bu, varlığından haberdar olmadığınız yüksek veya kritik önemdeki güvenlik açıklarını ortaya çıkarmanıza yardımcı olabilir. Ayrıca, bu kılavuzda daha önce bahsedilen tüm avantajları da içerir. Örneğin, küresel bilgisayar korsanlığı topluluğunun güvenlik açıklarını doğrudan size açıklaması için standartlaştırılmış bir kanala sahip olmak, ihlal ve olumsuz PR riskini azaltmak.
Kutlama
Tebrikler, büyük yol kat ettiniz ve artık herkese açık bir VDP'niz var. Ekibinizle ve süreç boyunca size yardımcı olan tüm paydaşlarla kutlama yapmayı unutmayın. Şükranlarınızı ifade etmeniz ve başarınızı birlikte kutlamanın bir yolunu bulmanız önemlidir. VDP'nizin herkese açık lansmanını kutlamanın ötesinde, bu süreçte herkese açık lansmanınızın yıl dönümü gibi dönüm noktalarını kutlamayı veya VDP'niz aracılığıyla bulunan ve düzeltilen özellikle ilginç ve kritik hataları öne çıkarmayı unutmayın. Süreç boyunca metrikleri toplamak, programınızın başarısını göstermenize ve ekibinizle birlikte elde ettiğiniz başarıları öne çıkarmanıza yardımcı olabilir.