安全团队
安全团队是 VDP 中最重要的利益相关方。除了准备和运行 VDP 所需的工作外,如果您的安全团队没有进行相关培训,则更难让安全团队以外的人参与进来。
有时,引入 VDP 时可能会感到自豪或担心。安全团队可能会觉得,外部安全研究人员如果发现自己错过了漏洞,将会发现他们的错误。公司拥有庞大而复杂的攻击面,安全团队肯定无法达到完美的覆盖率。旁白不应指责或指责任何人。当研究人员发现漏洞时,应将此数据用作富有实用价值的反馈,帮助您的团队改进组织的安全状况。改变安全团队的思维模式,将外部黑客视为团队的延伸,而不是对手,这一点至关重要。如前所述,您还需要确保安全团队就如何处理 VDP 相关的检测和响应机制进行了主动讨论。
IT
信息技术对不同的组织来说意味着不同的含义,每家公司都有自己的一组 IT 相关角色。在本指南中,我们假设 IT 是指负责设置、维护和支持企业所依赖的系统和服务的个人和团队。IT 团队通常希望确保一切正常运行。这通常直接关系到成功指标(例如,不间断的时间)。虽然邀请黑客对他们维护的系统和服务进行测试的概念似乎很可怕,但实际上,这对 IT 部门大有裨益。犯罪分子不遵守任何规则,可能会尝试攻击您的组织。通过创建一个标准化渠道,让优质的黑客能够与您的组织合作,您可以提前发现并修复安全问题,不让他们为犯罪分子利用。数据违规行为需要付出高昂的代价,包括 IT 部门和其他人员花费的时间,以及因资产违规行为而需要关闭或暂时细分的停机时间。拥有 VDP 有助于降低遭到入侵的风险。此外,黑客侦查还有助于发现资产,以及识别在未经 IT 团队介入的情况下出现的恶意系统和服务。
工程
除非您的安全团队代表您的工程团队承担修复漏洞的任务,否则您的工程团队需要获得 VDP 的帮助。没有人喜欢意外的工作,VDP 引入了工程团队需要解决的新漏洞。请务必与工程部门的领导合作,确保他们了解与推出 VDP 相关的时间表,并获得他们的支持,以便投入资源来修复 bug。VDP 启动后,通常会从一开始出现 bug 的猛增现象,然后篡改到中等水平。在项目的前几周准备一些工程代码以修复许多 bug,有助于工程团队、安全团队和参与 VDP 的黑客更顺利地完成流程。由于您要让工程团队做额外的工作,因此最好说明 VDP 会为他们带来哪些好处。
法务
法律团队希望降低风险。在没有其他上下文的情况下,主动邀请黑客入侵您的组织的概念似乎很有风险。请务必与您的法律团队合作,了解拥有 VDP 不仅可以降低安全风险,还能降低法律风险。无论您是否使用 VDP,漏洞都存在。如果没有 VDP,想要做出正确决定并告知您问题的黑客将无法通过标准方式与您联系。建立 VDP 后,安全研究人员就可以找到并修复漏洞,以免它们成为法律问题。如果没有可接受漏洞报告的渠道,发现漏洞的个人可能会放弃尝试报告给您,或尝试公开披露问题以试图引起注意,确保问题得到修复。
公共关系
根据您的公共关系 (PR) 团队在信息安全方面的经验,您的 PR 团队对启动 VDP 的提案的反应可能从“我们何时开始?”到感到震惊并完全拒绝该想法。虽然公众对黑客的认知开始有所转变,但对许多人来说,“黑客”一词仍然带有负面含义。下表列出了有关 PR 的常见问题和顾虑,以及如何应对这些异议。
| 问题/异议 | 可能的回答 |
|---|---|
| 黑客不是邪恶吗?邀请他们仅仅是让我们大开眼界? | 不,犯罪分子总是会存在,并且想要入侵和利用我们,但 VDP 为想要做正确事情并帮助我们找到和修复漏洞的黑客提供了一种途径。如果有人想作恶,VDP 不会阻止他们。 |
| 如果黑客确实攻击了我们,而不是帮助我们,该怎么办? | 如果有人抱有恶意,则很可能不参与 VDP。 而可能是在攻击我们时尽量保持匿名。 推出 VDP 后,我们能够与想要提供帮助的安全研究人员合作。 |
| 向黑客求助是不是承认自己的安全性有问题? | 没有哪个组织能做到万无一失。各行各业的许多知名组织都开展了公开漏洞披露或 bug 赏金计划,以增强其现有安全流程。利用全球黑客社区是一个安全网,有助于发现和修复任何遭到破解的漏洞。事实上,拥有 VDP 可用于实现积极的安全 PR。 |
| 如果黑客公开披露了他们是如何被黑的,该怎么办?我们看起来不一样吗? | 这取决于披露信息的叙述方式和性质。我们与黑客合作,就信息披露的工作原理达成一致意见。大多数组织都建议不要在发现的问题得到解决之前公开披露已发现的问题,并且他们通常在撰写文章或撰写博客时与黑客合作。如果没有有条理的方法可以接受漏洞报告并参与与黑客的对话,我们会增加有人因为无法与我们联系而感到沮丧并直抵新闻的风险。许多组织主动鼓励安全研究人员写下他们与该组织合作的经验,因为这突出了 VDP 的成功。这能鼓励社区中其他技术黑客参与进来。 |
| 我们如何才能确定 VDP 对我们适用?如果我们公开发布,并且发生坏事,该怎么办? | 大多数 VDP 都是在“不公开”模式下启动的,在该模式下,该计划不会公开宣布,只有少数黑客会受邀参与。随着时间推移,越来越多的黑客受到邀请,而且程序也会慢慢向“公开”版本和公告发布。我们会在时间安排方面保持一致,并让您及时了解计划公开启动的时间。若能做到这一点,我们可以着重说明该组织如何与外部安全研究人员社区合作,以提高安全性并保障用户安全。 |
销售
您的销售团队需要能够证明贵公司优于竞争对手的优势的证据。在销售过程中,组织通常会进行供应商安全审核或审核,以确保客户信任。建立 VDP 后,客户就能了解您已有成熟的安全计划,还可通过与外部安全研究人员合作进一步增强此计划。 此外,如果您的紧密竞争对手没有 VDP,在与潜在客户沟通时,这可以作为一个优势。如有促销活动方面的问题,请与促销团队合作撰写叙述内容,以便与潜在客户分享。
例如,
| 我们采用漏洞披露计划来增强我们现有的安全流程,这些流程就像安全网或社区手表一样,几乎可以实时识别生产环境中的任何安全问题。这有助于我们降低遭入侵的可能性,从而确保您的数据安全无虞。与没有漏洞披露计划的竞争对手相比,这使我们拥有更大的优势。 |
金融
从 VDP 迁移到漏洞奖励计划 (VRP) 后,财务工作可能更多,但如果您从第三方平台购买服务,则需要将资金包括在内。如果您决定聘请第三方供应商来协助设置 VDP,则您可能需要为这些服务设置预算。这看起来似乎是一件小事,但建议您尽早与财务团队沟通,了解其处理流程。
沟通方法
为了获得利益相关方的认可,您需要确定适合贵组织的最佳沟通方法。如果您预计贵组织的大部分成员都能够达成共识,通常可以继续敲定一个提案,征集反馈意见,并举行一次会议来讨论任何问题和顾虑。如果这种方法不适合您的组织,那么单独与利益相关方开会讨论他们的个人问题或疑虑可能是一种更好的方法。请准备好应对与启动 VDP 相关的风险的异议或问题。在组织中宣传 VDP 时,您需要出售这些权益,并胸有成竹地解决实际和感知的风险。