보안팀
보안팀은 VDP에 가장 중요한 이해관계자입니다. VDP 출시 및 실행을 준비하는 데 소요되는 작업 외에도 보안팀이 온보딩되지 않으면 보안팀 외부 인력을 확보하기가 더 어렵습니다.
VDP를 도입할 때 자부심이나 방어적 태도를 보일 수도 있습니다. 보안팀은 자신이 놓친 취약점을 식별한 외부 보안 연구원이 그 결함을 밝혀낼 것이라고 느낄 수 있습니다. 기업에는 공격에 노출되는 영역이 넓고 복잡하며 보안팀에서 완벽한 노출 범위를 갖추기란 기대할 수 없습니다. 나레이션은 손가락으로 가리키거나 타인을 비난해서는 안 됩니다 연구원이 취약점을 발견하면 이 데이터를 팀에서 조직의 보안 상태를 개선하는 데 도움이 되는 실행 가능한 피드백으로 사용해야 합니다. 외부 해커를 공격자가 아닌 팀의 연장으로 간주하도록 보안팀의 사고방식을 바꾸는 것이 중요합니다. 앞서 언급했듯이 보안팀이 VDP와 관련된 감지 및 대응 메커니즘을 처리하는 방법에 대해 선제적으로 논의했는지 확인하는 것이 좋습니다.
이탈리아
정보 기술은 조직마다 다른 의미를 가지며 회사마다 고유한 IT 관련 역할이 있습니다 이 가이드의 목적상 IT란 비즈니스에서 사용하는 시스템과 서비스의 설정, 유지보수, 지원을 담당하는 개인과 팀을 의미한다고 가정합니다. IT팀은 일반적으로 작업을 계속 실행하기를 원합니다. 이는 종종 성공 측정항목과 직접적으로 관련이 있습니다 (예: 중단 없는 가동 시간). 해커가 유지관리하는 시스템과 서비스에 대한 테스트를 위해 해커를 초대한다는 개념은 두려워 보일 수 있지만 실제로는 IT에 큰 도움이 됩니다. 범죄자는 어떤 규칙도 준수하지 않으며 조직을 공격하려고 시도할 수 있습니다. 우수한 해커가 조직과 협력할 수 있는 표준화된 채널을 만들면 보안 문제가 범죄자에 의해 악용되기 전에 식별하고 해결할 수 있는 가능성을 높일 수 있습니다. 보안 침해는 IT 부서 등에 소비되는 시간뿐만 아니라 침해로 인해 애셋을 일시적으로 줄이거나 분할해야 하는 경우에 발생할 수 있는 다운타임을 포함하여 막대한 비용을 수반합니다. VDP가 있으면 보안 침해 위험을 줄이는 데 도움이 될 수 있습니다. 또한 해커 정찰은 자산을 찾고 IT팀의 개입 없이 가동된 악의적인 시스템과 서비스를 식별하는 데 도움이 될 수 있습니다.
공학
보안팀이 엔지니어링팀을 대신해 취약점을 해결하는 작업을 맡지 않는 한, 엔지니어링 조직이 VDP에 참여해야 합니다. 예상치 못한 작업을 좋아하는 사람은 없으며 VDP는 엔지니어링팀이 해결해야 할 새로운 취약점 스트림을 도입합니다. 엔지니어링 조직의 경영진과 협력하여 VDP 출시와 관련된 타임라인을 인지하고, 버그 수정을 위한 리소스 사용을 위한 동의를 구하는 것이 중요합니다. VDP가 출시되면 일반적으로 버그가 처음에 급증했다가 중간 수준으로 조작됩니다. 엔지니어링팀에서 프로그램 처음 몇 주 동안 많은 버그를 수정할 준비를 하면 VDP에 참여하는 엔지니어링팀, 보안팀, 해커의 프로세스가 훨씬 더 원활해질 수 있습니다. 엔지니어링팀에 추가 작업을 요구하므로 VDP에서 얻게 될 이점을 설명하면 도움이 됩니다.
법무
법무팀은 위험을 줄이고자 합니다. 추가적인 맥락 없이 해커를 사전에 초대하여 조직을 해킹한다는 개념은 매우 위험해 보일 수 있습니다. 법무팀과 협력하여 VDP를 통해 어떻게 보안 위험뿐 아니라 법적 위험도 줄일 수 있는지 확인하는 것이 중요합니다. VDP의 존재 여부와 관계없이 취약점이 존재합니다 VDP가 없으면 올바른 작업을 수행하려고 하며 문제를 알리는 해커가 사용자에게 도달할 수 있는 표준화된 방법이 없습니다. VDP를 마련하면 보안 연구자가 법적 문제가 되기 전에 취약점을 찾아 해결할 수 있습니다. 취약점 보고서를 수락할 수 있는 채널이 없으면 취약점을 식별하는 개인이 신고 시도를 포기하거나 관심을 끌고 문제를 해결하기 위해 문제를 공개적으로 공개할 수 있습니다.
홍보
홍보 (PR)팀의 정보 보안 경험에 따라 VDP 시작 제안에 대한 PR 팀의 반응은 '언제 시작하나요?'에서 충격을 받아 아이디어를 완전히 거부하는 것에 이르기까지 다양할 수 있습니다. 해킹에 대한 대중의 인식이 점점 더 긍정적으로 바뀌기 시작했지만, 해커라는 단어는 여전히 많은 사람에게 부정적인 영향을 미칩니다. 다음 표에는 PR과 관련된 일반적인 질문과 우려사항과 이러한 부정적 반응에 대응하는 방법이 나와 있습니다.
| 질문/부정적 반응 | 가능한 답변 |
|---|---|
| 해커는 악하지 않습니까? 우리를 해킹하도록 초대하는 것이 문제를 요청하는 것일까요? | 아니요. 범죄자들은 항상 존재하고 우리를 해킹하고 악용하려고 하지만, VDP는 옳은 일을 하고 취약점을 찾아서 수정하도록 돕고자 하는 해커와 협업할 수 있는 길을 열어줍니다. 누군가가 악당이 되고자 한다면 VDP가 그들을 막을 수 없습니다 |
| 해커가 조직을 돕는 대신 실제로 해킹한다면 어떻게 될까요? | 나쁜 의도를 가진 사람은 VDP에 참여하지 않을 가능성이 높습니다. 대신 우리를 공격할 때 최대한 익명을 유지하려고 할 수 있습니다. VDP가 있으면 도움을 주고자 하는 보안 연구원과 협력할 수 있습니다. |
| 해커에게 도움을 요청함으로써 우리 조직의 보안이 취약하다고 인정하는 것일까요? | 완벽한 보안을 보장하는 조직은 없습니다. 다양한 업계의 잘 알려진 여러 조직에서 기존 보안 프로세스를 강화하기 위해 공개 취약점 공개 또는 버그 보상 프로그램을 운영합니다. 글로벌 해킹 커뮤니티를 활용하면 허점을 찾아내는 문제를 모두 찾아 해결할 수 있는 안전망이 됩니다. 실제로 VDP가 있으면 긍정적인 보안 PR에 사용될 수 있습니다. |
| 해커가 조직을 해킹한 방법을 공개하면 어떻게 되나요? 기분이 나빠 보이지 않을까요? | 이는 설명 및 공개의 성격에 따라 다릅니다. 정보 공개의 작동 방식과 관련하여 해커와 협력하여 합의된 조건을 정의하는 것은 Google의 몫입니다. 대부분의 조직은 식별된 문제가 해결될 때까지는 공개를 권장하지 않으며, 일반적으로 글이나 블로그를 해커와 함께 작업합니다. 취약점 보고서를 수락하고 해커와 소통하는 체계적인 수단이 없다면 누군가가 실망하여 Google에 연락할 수 없어 바로 언론으로 넘어갈 위험이 커집니다. 많은 조직에서는 VDP의 성공을 강조하기 때문에 보안 연구자에게 조직과 협력한 경험을 작성하도록 적극적으로 권장합니다. 이는 커뮤니티의 다른 숙련된 해커의 참여를 독려합니다. |
| VDP가 우리 조직에 적합한지 어떻게 확신할 수 있나요? 공개하면 어떻게 해야 할까요? | 대부분의 VDP는 프로그램을 공개적으로 발표하지 않고 소수의 해커만 참여를 초대하는 '비공개' 모드로 시작합니다. 시간이 지남에 따라 더 많은 해커가 초대되고 이 프로그램은 '공개' 출시 및 발표로 천천히 확대됩니다. Google은 시기에 맞춰 조정하고 프로그램이 공개적으로 출시되는 시기에 관해서는 지속적으로 알려드리고 있습니다. 그러면 조직이 외부 보안 연구원 커뮤니티와 협력하여 보안을 강화하고 사용자를 안전하게 보호하는 방법에 대한 긍정적인 이야기로 이를 강조할 수 있습니다. |
판매
영업팀은 회사가 경쟁업체보다 제공하는 이점을 증명할 수 있어야 합니다. 영업 프로세스의 일부로 조직은 고객 신뢰를 보장하기 위해 공급업체 보안 검토 또는 감사를 수행하는 경우가 많습니다. VDP를 마련하면 고객에게 성숙한 보안 프로그램이 마련되어 있음을 보여주고 외부 보안 연구원과 협력하여 이를 보강할 수 있습니다. 또한 가까운 경쟁업체에 VDP가 없는 경우 잠재고객과 대화할 때 이점으로 사용할 수 있습니다. 조직의 보안에 대한 질문이 발생할 때 영업 팀과 협력하여 잠재고객과 공유할 내러티브를 작성합니다.
예를 들면 다음과 같습니다.
| Google은 기존의 강력한 보안 프로세스를 강화하기 위해 취약점 공개 프로그램을 도입합니다. 이 프로그램은 안전망 또는 주변 감시 장치 역할을 하여 프로덕션 환경의 보안 문제를 거의 실시간으로 식별하는 데 도움을 줍니다. 이를 통해 유출 가능성을 줄여 사용자 데이터를 안전하게 보호할 수 있습니다. 이를 통해 취약점 공개 프로그램이 없는 경쟁업체에 비해 확실한 우위를 점할 수 있습니다. |
금융
VDP에서 취약점 리워드 프로그램 (VRP)으로 전환하면 재무 부서가 더 관여할 가능성이 높지만, 서드 파티 플랫폼에서 서비스를 구매하는 경우에는 재무 부서를 포함해야 합니다. 서드 파티 공급업체와 협력하여 VDP 설정을 지원하기로 결정했다면 이러한 서비스에 대한 예산을 책정해야 할 수 있습니다. 사소한 것처럼 보일 수 있지만 초기에 재무팀과 상의하여 프로세스를 이해하는 것이 좋습니다.
커뮤니케이션 접근 방식
이해관계자의 동의를 얻기 위해서는 조직에 가장 적합한 커뮤니케이션 방법을 결정해야 합니다. 조직 대다수가 동의할 것으로 예상되면 보통 단일 제안을 진행하고 의견을 묻고 단일 회의를 통해 질문과 우려 사항을 논의할 수 있습니다. 조직에서 이 방법을 사용할 수 없다면 이해관계자와 개별적으로 만나 개인적인 질문이나 우려 사항을 논의하는 것이 더 나은 접근 방식일 수 있습니다. VDP 시작과 관련된 위험에 대한 부정적 반응이나 질문에 대응할 준비를 합니다. 조직 전체에 VDP 아이디어를 피칭할 때 이점을 판매하고 실제 위험과 인지된 위험을 자신 있게 해결해야 합니다.