Bắt đầu với ngân sách thấp
Mặc dù điều này đã được đề cập trước đó, nhưng bạn nên xem lại. Bạn có thể muốn ra mắt chương trình "công khai" bằng cách thông báo chương trình với mọi người và trong trường hợp là chương trình nội bộ, khiến chính sách chương trình và biểu mẫu gửi báo cáo có thể truy cập công khai. Điều này có thể tiềm ẩn rủi ro vì bạn không có cơ hội bắt đầu ở quy mô nhỏ và mở rộng quy mô. Bất kể bạn chuẩn bị như thế nào thì sẽ luôn có bất ngờ khi bạn triển khai VDP. Bạn có thể gặp phải nhiều lỗ hổng hơn dự kiến và không thể bắt kịp. Có thể một nửa số nhân viên của bạn phải làm việc cùng nhau và không thể giúp phân loại lỗi. Có thể bạn đã quên thử chạy quét đã xác thực và khi một nhà nghiên cứu làm vậy, hệ thống của bạn sẽ vô tình làm ngập hệ thống của bạn bằng cách tạo 100.000 tài khoản mới! Bất kể điều gì có thể gây ngạc nhiên, bạn nên bắt đầu với quy mô nhỏ và từ từ mở rộng chương trình theo thời gian. Bạn sẽ gặp sự cố. Điều này là hoàn toàn bình thường, nhưng tốt nhất là bạn nên có băng thông để xử lý từng sự cố một.
Nếu đã quyết định xây dựng chương trình nội bộ, bạn vẫn cần duy trì chính sách chương trình và biểu mẫu gửi báo cáo trên trang web. Tuy nhiên, bạn nên yêu cầu tin tặc đăng nhập thì mới có thể xem được. Nếu bạn đang sử dụng nền tảng của bên thứ ba, thì họ sẽ tự động mời một nhóm nhỏ các nhà nghiên cứu bảo mật cho bạn. Trong cả hai trường hợp, bạn có thể tạo mẫu lời mời để mời tin tặc vào VDP riêng tư của mình, như sau:
Chào bạn! <Tên tổ chức của bạn> muốn mời bạn tham gia Chương trình thông báo lỗ hổng (VDP) riêng tư của chúng tôi. Chúng tôi bắt đầu từ quy mô nhỏ ở chế độ riêng tư để có thể xây dựng dựa trên các quy trình VDP nhằm cung cấp trải nghiệm tốt nhất có thể cho các nhà nghiên cứu bảo mật. Vui lòng tham khảo chính sách chương trình của chúng tôi để biết các nguyên tắc và phạm vi thử nghiệm. Nếu bạn có ý kiến phản hồi trong giai đoạn đầu của VDP, vui lòng cho chúng tôi biết.Sau khi nhóm nhà nghiên cứu đầu tiên của bạn được mời và được cấp quyền truy cập vào chương trình của bạn, bạn sẽ bắt đầu nhận được báo cáo. Hoặc bạn có thể không nhận được bất kỳ báo cáo nào, nhưng không sao. Giả sử bạn mời năm nhà nghiên cứu bảo mật. Có thể hai người trong số họ quá bận và quyết định không xem xét chương trình của bạn. Một người khác có thể đang đi nghỉ và hoàn toàn bỏ lỡ thư mời của bạn. Tin tặc thứ tư và thứ năm có thể xem xét và thực hiện một số thử nghiệm trong một vài ngày, nhưng không tìm thấy bất kỳ lỗ hổng bảo mật nào. Có thể họ có thể quay lại sau vài tuần để báo cáo điều gì đó, nhưng vẫn có thể gây sốc khi xem hết toàn bộ công việc này, gửi lời mời và không nhận được báo cáo nào. Nếu điều này xảy ra, đừng lo lắng. Điều này là hoàn toàn bình thường và tại sao bạn muốn bắt đầu từ quy mô nhỏ và mở rộng quy mô. Nếu bạn gửi 5 lời mời và không thấy nhiều số lượng báo cáo, hãy gửi thêm 5 lời mời, sau đó 5, 10 hay thậm chí 20 lời mời. Nếu bạn đang sử dụng một nền tảng bên thứ ba, thì nền tảng đó sẽ có các cơ chế tự động để từ từ mời tin tặc theo thời gian dựa trên khối lượng báo cáo mong muốn. Mặt khác, nếu nhận được số lượng lớn báo cáo lỗ hổng sau khi chỉ mời 5 nhà nghiên cứu bảo mật, bạn có thể muốn ngừng mời thêm cho đến khi khối lượng báo cáo chậm lại.
Phân loại và lặp lại
Trong một hoặc hai tuần đầu tiên sau khi triển khai VDP, bạn nên bố trí ít nhất 2 người làm nhiệm vụ cùng lúc để giúp phân loại các báo cáo lỗ hổng sắp tới, gửi lỗi và trao đổi với các nhà nghiên cứu. Thông thường, khi khởi chạy một chương trình, số lượng báo cáo tăng đột biến lớn, sau đó số liệu này sẽ ổn định theo thời gian. Khi phân loại các báo cáo lỗ hổng bảo mật gửi đến, bạn có thể nhận được phản hồi của tin tặc và xác định được những lỗ hổng hoặc hiểu lầm trong chính sách chương trình của mình. Bạn cũng có thể gặp vấn đề trong các quy trình và công cụ. Khi bạn bắt đầu từ quy mô nhỏ và nhận được nhiều sự chú ý cũng như công sức của nhóm trong vài tuần đầu tiên này, hãy sử dụng thời gian này để nhanh chóng lặp lại và cải thiện chương trình của bạn. Sau một hoặc hai tháng, mọi thứ sẽ ngừng hoạt động và việc chạy chương trình của bạn suôn sẻ sẽ trở thành bản chất thứ hai.
Mở rộng quy mô, phát hành công khai
Khi nhóm của bạn đã quen với việc chạy chương trình, bạn sẽ mời ngày càng nhiều tin tặc tham gia. Bạn đã mở rộng phạm vi của mình để bao gồm mọi thứ bạn biết (và thậm chí cả những tài sản mà bạn có thể không nhận ra sự tồn tại). Cuối cùng, bạn có thể mời được 100 hoặc thậm chí vài trăm tin tặc, nhưng số lượng báo cáo có vẻ giảm dần. Tất cả các báo cáo được gửi đều có mức độ nghiêm trọng thấp hoặc trung bình. Việc xoay vòng công việc có vẻ khá nhẹ nhàng và nhóm của bạn thành thạo việc phân loại các báo cáo lỗ hổng, thúc đẩy họ đưa ra giải pháp và giao tiếp với tin tặc. Tại thời điểm này, bạn có thể đã sẵn sàng ra mắt chương trình công khai. Trước khi thay đổi, hãy kết nối lại với tất cả các bên liên quan để đảm bảo họ biết và sẵn sàng ra mắt ứng dụng/trò chơi của bạn. Tương tự như lần phát hành riêng tư ban đầu, hãy chuẩn bị cho nhóm của bạn sẵn sàng cho một đợt tăng đột biến tiềm ẩn khác về số lượng báo cáo trong đợt phát hành công khai. Một điểm khác biệt chính khi phát hành công khai là bất kỳ ai đều có thể gửi báo cáo lỗ hổng cho bạn. Xin lưu ý rằng thao tác này có thể tạo ra nhiều độ nhiễu. Ví dụ: những người dùng nhầm lẫn về cách đăng nhập vào tài khoản của họ hoặc thậm chí là bot vi phạm điền vào biểu mẫu và tự động gửi email có thể gửi báo cáo đến VDP của bạn. Bạn nên có sẵn các mẫu để nhanh chóng đóng các báo cáo thường gặp không liên quan đến bảo mật hoặc thậm chí là chuẩn bị trước vấn đề này bằng cách điều chỉnh biểu mẫu để chuyển hướng người dùng đến đúng nơi (ví dụ: nhân viên hỗ trợ cho những vấn đề như quên mật khẩu). Mặt tích cực, bằng cách mở chương trình của bạn cho công chúng, những tin tặc có kỹ năng trước đây không có cách nào liên hệ với bạn trước đây có thể làm như vậy. Việc này có thể giúp bạn phát hiện các lỗ hổng bảo mật có mức độ nghiêm trọng cao hoặc nghiêm trọng mà bạn không biết là có tồn tại. Ngoài ra, phiên bản này còn mang đến tất cả lợi ích đã đề cập trước đó trong hướng dẫn này, bao gồm cả việc có một kênh chuẩn hoá để cộng đồng tin tặc toàn cầu báo cáo lỗ hổng trực tiếp cho bạn, giúp giảm nguy cơ rò rỉ dữ liệu và quảng bá tiêu cực.
Ăn mừng
Xin chúc mừng! Bạn đã có một bước tiến dài và hiện đã có một VDP công khai. Đừng quên ăn mừng với nhóm của bạn và tất cả những bên liên quan đã giúp bạn trong quá trình đó. Điều quan trọng là phải thể hiện sự cảm kích và tìm cách cùng ăn mừng thành công của bạn. Ngoài việc kỷ niệm việc ra mắt công khai VDP, đừng quên kỷ niệm các mốc quan trọng trong quá trình ra mắt công khai, chẳng hạn như kỷ niệm năm ra mắt công khai hoặc nêu bật những lỗi đặc biệt thú vị và nghiêm trọng đã được phát hiện và khắc phục qua VDP. Việc thu thập các chỉ số trong quá trình này có thể giúp chứng minh mức độ thành công của chương trình, cũng như nêu bật những thành tựu của bạn và nhóm của bạn.