Udział zainteresowane osoby

Zespół ds. bezpieczeństwa

Zespół ds. bezpieczeństwa

Zespół ds. bezpieczeństwa to najważniejsza osoba odpowiedzialna za VDP. Oprócz wysiłków przygotowania do wprowadzenia i uruchomienia VDP, jeśli Twój zespół ds. bezpieczeństwa nie dołączył do programu, trudniej jest zachęcić do współpracy tych, którzy nie należą do zespołu ds. bezpieczeństwa.

Czasem pojawia się poczucie dumy lub obrony, gdy szykuje się do wprowadzenia VDP. Zespół ds. bezpieczeństwa może sądzić, że zewnętrzni badacze wykrywający luki w zabezpieczeniach, które ujawnili, ujawnią ich błędy. Firmy mają duże i złożone obszary ataku, a zespoły ds. bezpieczeństwa po prostu nie mają doskonałego zasięgu. W narracji nie powinno się wskazać palcem nikogo ani obwiniać. Dane te należy wykorzystać, gdy badacze znajdą luki w zabezpieczeniach. Uzyskane w ten sposób dane powinny służyć jako przydatne informacje zwrotne, które pomogą Twojemu zespołowi zwiększyć bezpieczeństwo organizacji. Kluczowe znaczenie ma zmiana nastawienia zespołu ds. bezpieczeństwa tak, aby poszerzyła on działalność zespołu o zewnętrznych hakerów, a nie przeciwników. Jak już wspomnieliśmy, warto też zadbać o to, aby Twój zespół ds. zabezpieczeń aktywnie rozmawiał o tym, jak postępować z mechanizmami wykrywania i reagowania w kontekście VDP.

Najważniejsze zalety VDP dla zespołów ds. bezpieczeństwa
Rysunek 1. Najważniejsze korzyści z VDP dla zespołów ds. bezpieczeństwa

IT

Technologia informacyjna ma różne znaczenie dla różnych organizacji, a każda firma ma własny zestaw ról związanych z IT. Na potrzeby tego przewodnika zakładamy, że IT odnosi się do osób i zespołów odpowiedzialnych za konfigurowanie, utrzymywanie i obsługę systemów oraz usług, z których korzysta firma. Zespoły IT zwykle chcą zadbać o to, aby wszystko działało jak należy. Często jest to bezpośrednio powiązane z wskaźnikami sukcesu (np. nieprzerwany czas działania). Samo zaproszenie hakerów do testowania swoich systemów i usług może wydawać się przerażające, w rzeczywistości jest to bardzo korzystne dla działu IT. Przestępcy nie przestrzegają żadnych zasad i mogą próbować zaatakować Twoją organizację. Tworząc standardowy kanał, który ułatwia dobrym hakerom współpracę z organizacją, zwiększasz szanse na wykrycie i naprawienie problemów z bezpieczeństwem, zanim zostaną one wykorzystane przez przestępców. Naruszenia wiążą się z dużymi kosztami, takimi jak czas spędzony przez dział IT i innych pracowników, a także potencjalne przestoje w przypadku konieczności wyłączenia lub tymczasowego wyłączenia zasobów w wyniku naruszenia. VDP pomaga zmniejszyć ryzyko naruszenia. Ponadto rozpoznanie ataków hakerów może pomóc w wykrywaniu zasobów oraz w identyfikowaniu nieuczciwych systemów i usług, które zostały utworzone bez udziału zespołu IT.

Najważniejsze zalety VDP dla zespołów ds. bezpieczeństwa
Rysunek 2. Najważniejsze korzyści z VDP dla zespołów IT

Inżynieria

Jeśli Twój zespół ds. zabezpieczeń nie zajmuje się usuwaniem luk w zabezpieczeniach w imieniu Twojego zespołu inżynierów, do współpracy z VDP potrzebujesz swojego zespołu inżynierów. Nikt nie lubi nieoczekiwanej pracy, a VDP wprowadzają nowy strumień luk w zabezpieczeniach, którym zespoły inżynierów muszą się zająć. Współpraca z kierownictwem działu inżynierii jest niezwykle ważna, dlatego ważne jest, aby wiedzieli o harmonogramie wprowadzania VDP do platformy VDP. Ważne jest też uzyskanie od nich wsparcia w celu poświęcenia zasobów na naprawianie błędów. Po uruchomieniu VDP często występuje gwałtowny wzrost liczby błędów, a później następuje ich zmiana na umiarkowany poziom. Jeśli dysponujesz zespołem inżynierów, który jest gotowy do naprawienia wielu błędów w ciągu pierwszych kilku tygodni programu, może usprawnić ten proces dla zespołu inżynierów, zespołu ds. bezpieczeństwa i hakerów korzystających z VDP. Skoro prosisz zespół inżynierów o dodatkową pracę, warto przyjrzeć się korzyściom, jakie przyniesie im VDP.

Najważniejsze zalety VDP dla zespołów inżynierów
Rysunek 3: Najważniejsze korzyści z VDP dla zespołów inżynierów

Zespoły prawne lubią ograniczać ryzyko. Koncepcja aktywnego zapraszania hakerów do hakowania organizacji bez dodatkowego kontekstu może wydawać się bardzo ryzykowna. Warto skontaktować się z działem prawnym i dowiedzieć się, jak VDP może ograniczać nie tylko ryzyko związane z bezpieczeństwem, ale i prawem. Bez względu na to, czy masz VDP, luki w zabezpieczeniach będą obecne. Bez VDP hakerzy, którzy chcą robić właściwe rzeczy i informować Cię o problemie, nie będą mogli się do Ciebie w standardowy sposób skontaktować. Dzięki VDP badacze zabezpieczeń mogą pomagać Ci w wykrywaniu i usuwaniu luk w zabezpieczeniach, zanim staną się one problemami prawnymi. Bez kanału do akceptowania raportów o lukach w zabezpieczeniach osoby, które rozpoznają luki w zabezpieczeniach, mogą zrezygnować z zgłaszania tego problemu lub ujawnić go publicznie, aby zwrócić na niego uwagę i upewnić się, że został rozwiązany.

Najważniejsze korzyści z programu VDP dla zespołów prawnych
Rysunek 4. Najważniejsze korzyści z programu VDP dla zespołów prawnych

Public relations

W zależności od doświadczenia Twojego zespołu ds. PR w kwestii bezpieczeństwa informacji reakcje Twojego zespołu PR na propozycję uruchomienia VDP mogą być różne – od „kiedy zaczynamy?” po zszokowanie lub odrzucenie tej koncepcji. Choć powszechne postrzeganie hakowania zaczęło się zmieniać bardziej pozytywne, słowo haker nadal ma negatywne konotacje dla wielu osób. W tabeli poniżej znajdziesz najczęstsze pytania i wątpliwości związane z PR oraz sposoby odpowiadania na te zastrzeżenia.

Pytanie/zastrzeżenie Przykładowa odpowiedź
Czy hakerzy nie są źli? Czy zapraszanie ich do włamania to tylko prośba o problemy? Nie. Przestępcy zawsze będą istniali i chcą nas hakować i wykorzystywać, ale VDP umożliwia współpracę z hakerami, którzy chcą działać we właściwy sposób, a także pomagać nam w znajdowaniu i usuwaniu luk w zabezpieczeniach. Jeśli ktoś chce być zły, VDP go nie powstrzyma.
Co zrobić, jeśli haker nas włamał, zamiast nam pomagać? Jeśli ktoś ma złe zamiary, prawdopodobnie nie weźmie udziału w programie VDP. Zamiast tego mogą próbować zachować jak największą anonimowość podczas atakowania nas. Dzięki VDP możemy współpracować z badaczami bezpieczeństwa, którzy chcą pomóc.
Czy, prosząc hakerów o pomoc, przyznajemy, że nasze bezpieczeństwo jest złe? Żadna organizacja nie ma doskonałej ochrony. Wiele, bardzo znanych organizacji w różnych branżach prowadzi programy ujawniania luk w zabezpieczeniach lub programy nagradzania za błędy, aby poprawić obecne procesy zabezpieczeń. Wykorzystanie globalnej społeczności hakerskiej to pomoc w znajdowaniu i naprawianiu wszystkiego, co dostanie się przez zabezpieczenia. VDP może służyć do poprawy PR-u w zakresie bezpieczeństwa.
Co się stanie, jeśli haker publicznie ujawni, jak nas zhakował? Czy nie będziemy wyglądać źle? Zależy to od narracji i charakteru oświadczenia. Od nas zależy, czy uda nam się współpracować z hakerami, aby określić możliwe do zaakceptowania warunki działania ich ujawniania. Większość organizacji zniechęca do publicznego ujawniania zidentyfikowanych problemów do czasu ich naprawienia. Zwykle współpracują z hakerem w opisie lub na blogu. Brak odpowiednich metod akceptowania zgłoszeń o lukach w zabezpieczeniach i uczestniczenia w dialogu z hakerami zwiększa ryzyko zdenerwowania kogoś, kto nie może się z nami skontaktować, a przez to zwrócić się bezpośrednio do prasy. Wiele organizacji zachęca badaczy zabezpieczeń do spisania swoich doświadczeń ze współpracy z organizacjami, ponieważ w ten sposób podkreśla sukces VDP. W ten sposób zachęcisz do udziału innych zdolnych hakerów w społeczności.
Skąd mogę mieć pewność, że VDP będzie dla nas działać? A co, jeśli upublicznimy dane i stanie się coś złego? Większość VDP zaczyna działać w trybie „prywatnym”, w którym program nie jest ogłaszany publicznie. Do udziału w nim zapraszamy tylko kilku hakerów. Z czasem dołącza do programu coraz więcej hakerów, a program jest stopniowo skalowany w celu opublikowania „publicznego” wprowadzenia i ogłoszenia. Będziemy informować Cię na bieżąco o terminie wdrożenia programu. W takiej sytuacji możemy pokazać, że organizacja współpracuje ze społecznością zewnętrznych badaczy zabezpieczeń, aby poprawić bezpieczeństwo i zadbać o bezpieczeństwo użytkowników.
Najważniejsze korzyści z programu VDP dla zespołów ds. PR
Rysunek 5: Najważniejsze korzyści z programu VDP dla zespołów ds. PR

Sprzedaż

Zespół sprzedaży potrzebuje dowodów, aby zademonstrować korzyści, jakie Twoja firma ma do zaoferowania w porównaniu z konkurencją. W ramach procesu sprzedaży organizacje często przechodzą kontrolę bezpieczeństwa lub kontrolę zabezpieczeń dostawców, aby zapewnić klientom zaufanie klientów. Wprowadzenie VDP to pokaz klientom, że masz wdrożony i rozwijany program zabezpieczeń. Co więcej, jeśli bliscy konkurenci nie mają VDP, możesz go wykorzystać podczas rozmów z potencjalnymi klientami. Współpracuj z zespołem sprzedaży nad opracowaniem narracji, którą potencjalni klienci będą mogli przekazać potencjalnym klientom, gdy pojawią się pytania o bezpieczeństwo w organizacji.

Przykład:

Stosujemy program ujawniania luk w zabezpieczeniach, który rozszerza nasze zaawansowane procesy zabezpieczeń. Ten system działa jak siatka bezpieczeństwa czy też obserwacja okolicy, pomagając w wykrywaniu w produkcji niemal w czasie rzeczywistym problemów z bezpieczeństwem. Dzięki temu możemy zapewnić bezpieczeństwo Twoich danych, zmniejszając prawdopodobieństwo naruszenia bezpieczeństwa. Daje to nam ogromną przewagę nad konkurentami, którzy nie mają programu ujawniania luk w zabezpieczeniach.
Najważniejsze korzyści z programu VDP dla zespołów sprzedażowych
Rysunek 6: Najważniejsze korzyści z VDP dla zespołów sprzedaży

Finanse

Po przejściu z VDP na program nagradzania za wykryte luki w zabezpieczeniach (VRP) dział finansowy będzie prawdopodobnie bardziej zaangażowany, ale musi zostać uwzględniony, jeśli kupujesz usługi na platformie innej firmy. Jeśli zdecydujesz się skorzystać z pomocy zewnętrznego dostawcy, który pomoże Ci skonfigurować VDP, prawdopodobnie będzie trzeba przeznaczyć na to budżet. Może się to wydawać drobną rzeczą, ale warto wcześniej porozmawiać z działem finansowym, aby zrozumieć, jak to działa.

Najważniejsze korzyści z programu VDP dla zespołów finansowych
Rysunek 7: Najważniejsze korzyści z programu VDP dla zespołów finansowych

Podejście do komunikacji

Aby uzyskać poparcie zainteresowanych osób, musisz określić najlepsze metody komunikacji dla swojej organizacji. Jeśli spodziewasz się, że w większości uczestników będzie się zgadzać, możesz najczęściej przedstawić 1 ofertę, poprosić o opinię i omówić wszelkie pytania i wątpliwości na jednym spotkaniu. Jeśli takie podejście nie sprawdza się w Twojej organizacji, lepszym rozwiązaniem może być indywidualne spotkanie z zainteresowanymi osobami, aby omówić ich osobiste pytania lub wątpliwości. Przygotuj się na zastrzeżenia i pytania dotyczące ryzyka związanego z rozpoczęciem VDP. Prezentując w swojej organizacji koncepcję VDP, musisz sprzedać korzyści i śmiało reagować na rzeczywiste i dostrzegane zagrożenia.