דף זה תורגם על ידי Cloud Translation API.

השקת VDP

התחלה בַּקטנה

אמנם כבר הוזכר בעבר, אך כדאי לבקר שם שוב. ייתכן שמפתה להשיק את התוכנית באופן ציבורי על ידי הפצתה לציבור, ובמקרה של תוכנית פנימית, הפיכת מדיניות התוכנית וטופס הגשת המועמדות לנגישים באופן ציבורי. זה עלול להיות מסוכן, כי הוא לא נותן לכם הזדמנות להתחיל בקטן. לא משנה כמה אתם מתכוננים, תמיד יהיו הפתעות כשתפעילו VDP. ייתכן שתקבלו נקודות חולשה רבות יותר מהצפוי ולא תוכלו לעמוד בדרישות. אולי מחצית מהצוות שלכם חולה בגללו ולא מצליח לטפל בבאגים. אולי שכחתם לנסות להפעיל סריקות מאומתות, וכאשר חוקר עושה זאת, הוא מצית בטעות את המערכת שלכם על ידי יצירת 100,000 חשבונות חדשים! לא משנה מה ההפתעות, עדיף להתחיל בקטן ולהקטין את התוכנית בהדרגה לאורך זמן. תקלעו לבעיות, וזה לגמרי נורמלי, אבל מומלץ שיהיה רוחב פס כדי לטפל בבעיות האלה.

אם החלטת לבנות את התוכנית שלך באופן פנימי, עדיין מומלץ לשמור על מדיניות התוכנית ולדווח על טופס שליחה באתר, אבל ייתכן שיהיה עליך לבקש מהאקרים להתחבר לפני שתוכל לראות אותה. אם אתם משתמשים בפלטפורמה של צד שלישי, הוא יטפל באופן אוטומטי בהזמנתם של מספר קטן של חוקרי אבטחה. בכל מקרה, תוכלו ליצור תבנית הזמנה שתשמש להזמנת האקרים ל-VDP הפרטי שלכם, באופן הבא:

שלום, <השם של הארגון שלך> רוצה להזמין אותך להשתתף ב-VDP הפרטי שלנו. אנחנו מתחילים בקטן במצב פרטי, כדי שנוכל להסתמך על תהליכי VDP כדי להעניק את חוקרי האבטחה בצורה הטובה ביותר. קראו את תקנון התוכנית שלנו ואת ההנחיות ואת ההיקף שלהן. אם יש לך משוב לשלוח לנו משוב בשלבים הראשונים של ה-VDP, נשמח לדעת.

לאחר שצוות החוקרים הראשון שלכם יוזמן ויקבל גישה לתוכנית שלכם, הדוחות יתחילו להגיע. או שלא תקבלו דוחות, אבל זה בסדר. נניח שאתם מזמינים חמישה חוקרי אבטחה. ייתכן ששתיים מהן עמוסות מדי ומחליטות לא לבחון את התוכנית. יכול להיות שהודעת חופשה אחרת לא מופיעה בחופשה.. ההאקרים הרביעיים והחמישיים עשויים לבחון את הנושא ולבצע בו בדיקות במשך יום או יומיים, אבל הוא לא יזהה נקודות חולשה. יכול להיות שהם יחזרו אליו כמה שבועות מאוחר יותר וידווחו על משהו, אבל זה עדיין יכול להיות מזעזע לעשות את כל העבודה הזאת, לשלוח הזמנות ולא לקבל דוחות. אם זה קורה, אל דאגה. זהו מצב רגיל לחלוטין, ולכן מומלץ להתחיל בקטן ולהתרחב. אם שלחתם חמש הזמנות ואתם לא רואים נפח גדול של דוחות, שלחו עוד חמש, ואז עוד חמש, או עשר, או אפילו עשרים. אם אתם משתמשים בפלטפורמה של צד שלישי, הם כוללים מנגנונים אוטומטיים שיזמינו האקרים בהדרגה לאורך זמן בהתאם לנפח הדוח הרצוי. מצד שני, אם תקבלו כמות עצומה של דוחות על נקודות חולשה לאחר הזמנתם רק חמישה חוקרי אבטחה, מומלץ להמתין עם הזמנת הזמנות נוספות עד שנפח הדוח יאט.

שמירה על טריגר ואיטרציה

במשך השבוע או השבועיים הראשונים לאחר השקת VDP, ייתכן ותבקשו משני אנשים או יותר לעבוד במקביל כדי לטפל בדוחות נקודות חולשה נכנסים, לדווח על באגים ולתקשר עם החוקרים. בדרך כלל יש עלייה משמעותית בדוחות בעת השקת התוכנית, והם מתאזנים לאורך זמן. כשאתם מבצעים פעולות שוטפות על דוחות על נקודות חולשה, יכול להיות שתקבלו משוב מהאקרים ותוכלו לזהות פערים או אי-הבנה במדיניות התוכנית. יכול להיות שתגלו גם בעיות בתהליכים ובכלים שלכם. כשאתם מתחילים לעבוד בקטנה ויש לכם הרבה תשומת לב ואנרגיה מהצוות בשבועות הראשונים, כדאי לנצל את הזמן הזה כדי לחזור על התוכנית ולהתקדם במהירות. אחרי חודש או חודשיים המצב יתאפס, והפעלת התוכנית בצורה חלקה תהפוך לטבעית שנייה.

הגדלת קנה המידה, השקה ציבורית

לאחר שהצוות יתרגל להפעיל את התוכנית שלכם, תזמינו יותר ויותר האקרים להשתתף. הרחיבו את ההיקף וכעת יש לכם את כל מה שאתם יודעים (ואפילו נכסים שאולי לא ידעתם על קיומם). יכול להיות שבשלב מסוים תגיעו לרמה של מאה או אפילו כמה מאות האקרים, אבל נראה שהנפח של הדוחות הולך ופוחת. רמת החומרה של הדוחות שנשלחים היא נמוכה או בינונית. במשחקי המשמרות קל ופשוט, והצוות יודע להתמצא בדוחות על נקודות חולשה, לדחוף אותם לפתרון ולפתור תקשורת עם האקרים. סביר להניח שאתם מוכנים להשיק את התוכנית באופן ציבורי. לפני בדומה להשקה הראשונית והפרטית שלכם, כדאי להכין את הצוות לעלייה פוטנציאלית נוספת בנפח הדוחות עבור ההשקה הציבורית. אחד ההבדלים העיקריים בהשקה הציבורית הוא שכל אחד יכול לשלוח לכם דוח על נקודות החולשה. חשוב לזכור שהמצב הזה עלול לגרום לרעש רב. לדוגמה, משתמשים שמתלבטים איך להתחבר לחשבון שלהם, או אפילו בוטים ספאמיים שממלאים טפסים ושולחים הודעות אימייל באופן אוטומטי, יכולים לשלוח דוחות למכשיר VDP. כדאי להכין תבניות כדי לסגור במהירות דוחות נפוצים שאינם קשורים לאבטחה, או אפילו למלא אותם מראש על ידי התאמת הטופס מחדש להפניית המשתמשים למקום הנכון (לדוגמה, לצוות התמיכה שלכם עם משימות כגון סיסמאות שנשכחו). מצד שני, אם פותחים את התוכנית להאקרים ציבוריים ומסוגלים שאין להם דרך ליצור איתכם קשר לפני כן, הם יוכלו לראות מה קרה. יכול להיות שזה יחשוף נקודות חולשה חמורות או קריטיות שלא ידעתם שהן קיימות. הוא כולל גם את כל היתרונות שמוזכרים למעלה במדריך הזה, כולל יצירת ערוץ סטנדרטי לקהילת הפריצה הגלובלית במטרה לחשוף את פרצות האבטחה ישירות אליכם, תוך הפחתת הסיכון לפרצות וליחסי ציבור שליליים.

חגיגה

ברכות, עשית דרך ארוכה, ויש לך עכשיו VDP ציבורי. אל תשכחו לחגוג עם הצוות ועם כל בעלי העניין שעזרו לכם לאורך הדרך. חשוב להביע את תודתם ולמצוא דרך לחגוג את ההצלחה שלכם ביחד. מעבר לציון החגיגה הציבורית של ה-VDP, חשוב לציין את ציוני הדרך לאורך השנה, כמו יום השנה להשקה הציבורית, או להדגיש באגים קריטיים ומעניינים במיוחד שנמצאו ב-VDP. חשוב לאסוף מדדים לאורך הדרך כדי להמחיש את הצלחת התוכנית ולהדגיש את ההישגים שלכם ושל הצוות שלכם.

יצירת ה-VDP שלך

Play Academy