安全團隊
安全性團隊是 VDP 最重要的相關人員。除了準備及執行 VDP 工作,如果安全團隊未加入,則讓安全性團隊之外的人較難購買。
有時候,導入 VDP 時可能會感到自豪或防禦性。資安團隊可能會覺得外部安全性研究人員認為他們遺漏的安全漏洞將會清楚呈現出自己的故障情形。公司擁有大型且複雜的攻擊面,且安全性團隊可能無法完全達到理想的涵蓋範圍。旁白不應是用來指向手指或驚人。當研究人員發現安全漏洞時,應將這些資料做為可行的意見回饋,協助團隊改善貴機構的安全防護設定。轉換安全性團隊的思維,將外部駭客視為團隊的延伸,而非對手,非常重要。如前所述,您也需要確保安全性團隊在處理 VDP 時,如何主動處理偵測和回應機制。
IT
資訊技術的意義因機構而異,每間公司都有自己的一組 IT 相關角色。在本指南中,我們假設 IT 是指負責設定、維護及支援業務相關系統和服務的人員和團隊。IT 團隊通常會想讓一切保持運作。通常直接與成功指標有關 (例如沒有中斷的運作時間)。雖然邀請駭客對他們維護的系統及服務的測試看似十分困難,但對 IT 而言大有助益。「犯罪」並未遵守任何規則,且可能會試圖攻擊您的機構。透過建立標準化管道,讓駭客能有效與貴機構合作,在不肖人士發動攻擊之前,你可以加大識別及修正安全性問題的機制。侵害資料的數量會相當高昂,包括 IT 人員和其他人員花費的時間,如果資產因資料侵害事件而必須關閉或暫時斷線,可能還會停機。降低 VDP 有助於降低發生風險。此外,駭客入侵還能協助找出資產,並且找出 IT 團隊未參與的情況下所引發的惡意系統和服務。
工程
除非您的安全性團隊負責為工程團隊負責修復安全漏洞,否則您的工程機構就必須內建 VDP。沒有人喜歡非預期的工作,VDP 導入了新的安全漏洞訊息串,讓工程團隊能夠解決。請務必與工程組織部門的主管合作,確保他們瞭解您推出 VDP 相關作業的時程,並向對方索取相關人員修復資源以修正錯誤。VDP 啟動時,一開始通常會出現大量錯誤,然後會降低至一個程度。在計畫的前幾週,如果工程團隊已準備好修正許多錯誤,就能讓參與您 VDP 的工程團隊、安全性團隊和駭客更順利地完成這項程序。由於您要求工程團隊執行其他工作,因此說明 VDP 能帶來哪些好處會有幫助。
Legal
可降低風險的法律團隊。如果主動邀請駭客入侵貴機構,但未提供額外背景資訊,就可能是相當風險。請務必與您的法律團隊合作,瞭解降低 VDP 不僅可降低安全性風險,同時也可降低法律風險。無論您是否有 VDP,都會出現安全漏洞。如果開發人員未採用 VDP,想採取正確做法並提供問題資訊的駭客將無法透過標準方式與您聯繫。有了 VDP,安全性研究人員就能協助您找出安全漏洞,並在可能成為法律問題之前加以修正。如果沒有提供安全漏洞報表的頻道,識別漏洞的有心人士可能會想向您回報這類行為,也可能公開揭露問題,試圖引起使用者註意並加以修正。
公共關係
根據您公共關係 (PR) 小組對資訊安全性的看法,您的 PR 小組對於啟動 VDP 的反應可能會從「我們何時開始?」開始,到受到驚嚇並完全拒絕該提案。雖然公開的駭客入侵開始更有正面影響,但「駭客」這個字仍對許多人造成負面影響。下表概略說明 PR 的常見問題和疑慮,以及如何處理這些疑慮。
| 問題/拒絕 | 可能的答案 |
|---|---|
| 不是駭客邀請他們入侵 Google Cloud | 不行。犯罪事件永遠存在,並想要入侵及利用我們;不過,VDP 為防範不肖之徒的威脅提供了一個方向,並協助他們找到並修正安全漏洞。如果有人想要被惡作劇,VDP 並不會阻止他們 |
| 如果駭客確實要入侵,而非提供協助,該怎麼辦? | 如果有人有不良意圖,他們可能無法參與 VDP。 因此可能會試圖在攻擊時盡可能保持匿名。 有了 VDP,我們就能與想要提供協助的安全研究人員合作。 |
| 我們向駭客求助時,是否承認自己的安全受到威脅? | 所有機構都享有完美的安全機制。在許多產業中,許多知名組織都執行了公開安全漏洞揭露事項或錯誤獎勵程式,加強現有的安全性程序。運用全球駭客社群這個安全網,有助於找出並修復任何遭破解的問題。事實上,擁有 VDP 可用於正向安全性 PR。 |
| 如果駭客公開揭露駭客的入侵方式,該怎麼辦?沒有什麼好看的嗎? | 這取決於揭露事項的敘述和性質。我們可以與駭客合作,針對雙方揭露的條款定義共識,大多數機構都不建議在公開問題解決之前找出公開的問題,而且這類問題通常會和駭客團隊在撰寫或網誌上合作。如未採用結構化方法接受安全漏洞報告,並與駭客對話對話,我們就比較會讓使用者感到失望,且因為無法與我們聯絡而直接聯繫媒體。許多機構都主動鼓勵安全研究人員自行編寫與機構合作的經驗,同時突顯了 VDP 的成功經驗。藉此鼓勵社群中其他技術高超的駭客加入。 |
| 我們如何確定 VDP 能助我們一臂之力?如果我們進入公開狀態 出了點小狀況 | 大部分的 VDP 都會以「私人」模式開始,不會對外公開計畫,而且只有少數駭客會受邀參加。隨著時間推進,我們會陸續邀請更多駭客,並逐步擴大計畫的規模,逐漸將產品開放給「公開」公告和公告。我們會持續配合時間,讓您隨時掌握計劃的上線時間。如此一來,我們就能將其視為正面經驗,說明機構如何與外部安全性研究人員社群合作,藉此強化安全性並維護使用者安全。 |
銷售
銷售團隊需要證據,證明貴公司為競爭對手帶來哪些好處。在銷售過程中,機構通常會進行供應商安全性審查或稽核,以確保客戶信任。設定 VDP 後,客戶就能證明貴公司已採用成熟的安全性計畫,並與外部安全性研究人員合作進一步加強安全性。此外,如果您的親近競爭對手沒有 VDP,在與潛在客戶對話時,這個策略可以派上用場。與銷售團隊合作,構思出簡報內容,向潛在客戶的安全性相關疑問提供說明。
例如:
| 我們採用安全漏洞揭露計畫來強化現有的穩固安全性程序,這類程序就像是安全網或社區手錶,可讓您以幾乎即時的方式找出實際工作環境中的任何安全性問題。藉此降低資料外洩的可能性,確保資料安全無虞。 這與沒有安全漏洞揭露計畫的競爭對手相比,有利於競爭優勢。 |
金融
從 VDP 改為安全漏洞獎勵計畫 (VRP) 時,金融機構可能更積極參與測試,但如果您是透過第三方平台購買服務,就必須涵蓋金融項目。如果您決定與第三方廠商合作設定 VDP,您可能需要設定這些服務的預算。雖然聽起來有點小問題,但還是建議您盡早與財務團隊討論,以便瞭解他們的程序。
通訊方式
如要讓相關人員順利達成交易,您必須決定貴機構最適用的溝通方式。如果您預期多數機構都能達成協議,那麼您通常可以先提出單一提案、徵求意見,並執行單一會議來討論任何問題和疑慮。如果這個方法不適用於您的機構,那麼您可以個別與相關人員討論自己的個人問題或疑慮,這是更好的做法。請妥善處理與啟動 VDP 相關的風險相關的異議或相關問題。在整個機構中推薦 VDP 的提案時,您必須銷售優勢,並清楚承擔實際和感知風險。