Mulai dengan anggaran minimum
Meskipun hal ini telah disebutkan sebelumnya, namun perlu ditinjau kembali. Anda mungkin ingin meluncurkan program "secara publik" dengan mengumumkannya kepada dunia, dan dalam kasus program internal, membuat kebijakan program dan formulir pengiriman laporan Anda dapat diakses oleh publik. Hal ini dapat berisiko, karena tidak memberi Anda kesempatan untuk memulai dari skala kecil dan meningkatkan skala. Berapa pun persiapan Anda, akan selalu ada kejutan saat Anda meluncurkan VDP. Anda mungkin menerima kerentanan lebih banyak dari yang diharapkan dan tidak dapat mengimbanginya. Mungkin setengah dari tim Anda sakit dan tidak dapat membantu mengatasi bug. Mungkin Anda lupa untuk mencoba menjalankan pemindaian yang diautentikasi, dan ketika peneliti melakukannya, secara tidak sengaja hal itu membanjiri sistem Anda dengan membuat 100.000 akun baru. Apa pun kejutannya, lebih baik untuk memulai dengan skala kecil dan perlahan-lahan meningkatkan skala program Anda dari waktu ke waktu. Anda akan mengalami masalah yang sebenarnya normal, tetapi sebaiknya Anda memiliki bandwidth untuk menangani masalah ini satu per satu.
Jika telah memutuskan untuk membuat program secara internal, Anda tetap perlu mempertahankan kebijakan program dan formulir pengiriman laporan di situs, tetapi sebaiknya minta peretas untuk login sebelum dapat melihatnya. Jika Anda menggunakan platform pihak ketiga, platform tersebut akan otomatis mengundang sejumlah peneliti keamanan untuk Anda. Dalam kedua kasus tersebut, Anda dapat membuat template undangan yang akan digunakan untuk mengundang peretas ke VDP pribadi, seperti ini:
Pengguna yang terhormat, <Nama organisasi Anda> ingin mengundang Anda untuk berpartisipasi dalam VDP pribadi di organisasi ini. Prosesnya akan dimulai dari skala kecil dalam mode pribadi, sehingga kami dapat mengembangkan proses VDP untuk memberikan pengalaman terbaik bagi peneliti keamanan. Lihat kebijakan program kami untuk pedoman dan cakupan pengujian. Jika ada masukan pada tahap awal VDP, beri tahu kami.Setelah sekelompok peneliti pertama diundang dan diberi akses ke program Anda, laporan akan mulai masuk. Atau, Anda mungkin tidak menerima laporan apa pun, tapi itu bukan masalah. Katakanlah Anda mengundang lima peneliti keamanan. Mungkin dua dari mereka terlalu sibuk dan memutuskan untuk tidak melihat program Anda sama sekali. Satu lagi mungkin sedang berlibur dan benar-benar melewatkan pesan undangan Anda. Peretas keempat dan kelima mungkin melihat dan melakukan pengujian selama satu atau dua hari, tetapi tidak menemukan kerentanan apa pun. Mereka mungkin membukanya kembali beberapa minggu kemudian dan melaporkan sesuatu, tetapi masih mungkin mengejutkan untuk menyelesaikan semua pekerjaan ini, mengirim undangan, dan tidak menerima laporan apa pun. Jika ini terjadi, jangan khawatir. Hal ini sangat normal, jadi Anda perlu memulai dari skala kecil dan meningkatkan skalanya. Jika Anda mengirim lima undangan dan tidak melihat banyak volume laporan, kirim lima undangan lagi, lalu lima, atau sepuluh undangan, atau bahkan dua puluh. Jika Anda menggunakan platform pihak ketiga, mereka memiliki mekanisme otomatis yang akan mengundang peretas secara perlahan dari waktu ke waktu berdasarkan volume laporan yang diinginkan. Di sisi lain, jika Anda mendapatkan laporan kerentanan dalam jumlah besar setelah hanya mengundang lima peneliti keamanan, sebaiknya tunda pengajuan lebih banyak hingga volume laporan Anda melambat.
Triase dan iterasi
Untuk satu atau dua minggu pertama setelah meluncurkan VDP, Anda mungkin perlu menugaskan dua orang atau lebih secara bersamaan untuk membantu mengatasi laporan kerentanan yang masuk, melaporkan bug, dan berkomunikasi dengan peneliti. Biasanya ada lonjakan laporan yang besar saat peluncuran program, lalu masalah ini tidak akan berubah seiring waktu. Saat menyusun triase laporan kerentanan yang masuk, Anda mungkin menerima masukan dari peretas dan mengidentifikasi kesenjangan atau kesalahpahaman dalam kebijakan program. Anda mungkin juga menemukan masalah dalam proses dan alat Anda. Saat Anda memulai dari hal kecil dan mendapatkan banyak perhatian serta energi dari tim dalam beberapa minggu pertama ini, gunakan waktu ini untuk melakukan iterasi dan meningkatkan program dengan cepat. Setelah satu atau dua bulan, berbagai hal akan berhenti, dan menjalankan program dengan lancar akan menjadi kebiasaan.
Tingkatkan skala, luncurkan ke publik
Saat tim Anda terbiasa menjalankan program, Anda akan mengundang lebih banyak peretas untuk berpartisipasi. Anda telah memperluas cakupan untuk menyertakan semua yang Anda ketahui (dan bahkan aset yang mungkin tidak Anda sadari). Pada akhirnya, Anda mungkin telah mengundang seratus atau bahkan beberapa ratus peretas, tetapi volume laporan tampaknya berkurang. Laporan yang dikirim tampaknya memiliki tingkat keparahan rendah atau sedang. Rotasi tugas tampaknya cukup ringan, dan tim Anda sudah berpengalaman dalam memilah laporan kerentanan, mendorongnya untuk menyelesaikan masalah, dan berkomunikasi dengan peretas. Pada tahap ini, Anda mungkin siap untuk meluncurkan program Anda ke publik. Sebelum melakukannya, hubungkan kembali dengan semua pemangku kepentingan untuk memastikan mereka mengetahui dan membeli untuk peluncuran publik Anda. Mirip dengan peluncuran awal pribadi Anda, siapkan tim Anda untuk potensi lonjakan volume laporan untuk peluncuran publik Anda. Satu perbedaan utama saat peluncuran ke publik adalah siapa saja dapat mengirimkan laporan kerentanan kepada Anda. Perlu diingat bahwa ini dapat menghasilkan banyak derau. Misalnya, pengguna yang bingung dengan cara login ke akun mereka, atau bahkan bot spam yang mengisi formulir dan mengirim email secara otomatis mungkin akan mengirimkan laporan ke VDP Anda. Sangat penting untuk memiliki template guna menutup laporan umum yang tidak terkait dengan keamanan secara cepat, atau bahkan mencegahnya terlebih dahulu dengan menyesuaikan formulir Anda untuk mengalihkan pengguna ke tempat yang tepat (misalnya, staf dukungan Anda untuk hal-hal seperti sandi yang terlupakan). Sisi baiknya, dengan membuka program Anda kepada publik, peretas terampil yang sebelumnya tidak pernah dapat menghubungi Anda akan dapat melakukannya. Hal ini dapat membantu Anda mengungkap kerentanan tingkat keparahan tinggi atau kritis yang tidak Anda ketahui. Panduan ini juga memiliki semua manfaat yang disebutkan sebelumnya dalam panduan ini, termasuk memiliki saluran standar bagi komunitas peretasan global untuk mengungkapkan kerentanan langsung kepada Anda, sehingga mengurangi risiko pelanggaran dan siaran pers negatif.
Meriahkan
Selamat, Anda telah melangkah jauh, dan sekarang Anda memiliki VDP publik. Jangan lupa untuk merayakan bersama tim Anda dan semua pemangku kepentingan yang telah membantu Anda selama ini. Penting untuk mengungkapkan rasa terima kasih Anda dan menemukan cara untuk merayakan kesuksesan bersama. Selain merayakan peluncuran publik VDP, jangan lupa merayakan pencapaian selama prosesnya, seperti perayaan tahun peluncuran publik Anda, atau dengan menyoroti bug yang sangat menarik dan kritis yang ditemukan dan diperbaiki melalui VDP. Mengumpulkan metrik dalam prosesnya dapat membantu mendemonstrasikan keberhasilan program dan menyoroti pencapaian Anda dan tim.