ارزیابی

بهداشت اولیه امنیتی

چگونه متوجه می شوید که آماده شروع یک برنامه افشای آسیب پذیری (VDP) هستید؟ ارزیابی های مهمی وجود دارد که باید قبل از اجرای VDP انجام دهید. این ارزیابی ها به شناسایی شکاف ها در زیرساخت شما کمک می کند و تیم را برای جریان گزارش های باگ دریافتی آماده می کند. یک VDP که به درستی پیاده سازی شده باشد، یک جریان ثابت از گزارش ها را به ارمغان می آورد. اگر تیم شما برای بار کاری اضافی آماده نیست، برنامه جدید به جای بهبود امنیت می تواند تاثیر منفی داشته باشد. ارزیابی برنامه امنیتی شما برای شناسایی و رفع شکاف‌ها می‌تواند تا حد زیادی به افزایش توانایی شما در مدیریت توان یک VDP کمک کند. پاسخ سریع به آسیب‌پذیری‌های گزارش‌شده می‌تواند رابطه شما را با جامعه هکرها بهبود بخشد و در نتیجه برنامه سالم‌تری داشته باشید.

بهداشت اولیه امنیتی

صرف نظر از بلوغ امنیتی سازمان شما یا منابع موجود، ارزیابی بهداشت امنیتی فعلی بهترین راه برای شناسایی شکاف ها است. در زیر به شناسایی شکاف‌های بالقوه در حوزه‌های کلیدی که معمولا نادیده گرفته می‌شوند، می‌پردازیم، از جمله، یافتن باگ‌ها، رفع اشکال‌ها، تجزیه و تحلیل علت اصلی، شناسایی و پاسخ، و فرهنگ امنیتی.

پیدا کردن اشکالات

هنگام آماده‌سازی برای راه‌اندازی یک VDP، ارزیابی روش‌هایی که تیم شما برای شناسایی آسیب‌پذیری‌ها در محیط شما استفاده می‌کند، مهم است. به عنوان بخشی از ارزیابی و آماده سازی شما برای شروع یک VDP، باید تلاش اولیه برای یافتن و رفع آسیب پذیری ها انجام شود.

عدم انجام این کار می تواند منجر به انبوهی از گزارش های آسیب پذیری هنگام راه اندازی VDP شما شود که به طور بالقوه تیم شما را تحت تأثیر قرار می دهد. راه‌اندازی یک فرآیند اسکن آسیب‌پذیری و بررسی امنیتی اولیه، سازمان شما را قادر می‌سازد تا فرآیندهای محکمی را برای رسیدگی به مسائل امنیتی ایجاد کند. هنگامی که VDP خود را راه اندازی می کنید، برای رسیدگی به گزارش های آسیب پذیری دریافتی آمادگی بیشتری خواهید داشت.

رفع اشکالات

علاوه بر یافتن آسیب‌پذیری‌ها، به فرآیندها و منابع کاملاً تعریف‌شده‌ای نیاز دارید تا اطمینان حاصل کنید که آسیب‌پذیری‌ها به موقع برطرف می‌شوند. به سادگی یافتن باگ ها کافی نیست، امنیت تنها زمانی بهبود می یابد که باگ ها برطرف شوند. آیا فرآیندها و منابعی برای مدیریت آسیب پذیری در اختیار دارید؟ در مورد امنیت، فرهنگ درون سازمان شما چگونه است؟ آیا تیم امنیتی به‌عنوان منکر، مانع، خار در چشم مهندسی نگریسته می‌شود؟ یا به شما به عنوان یک شریک مشترک نگاه می شود؟ چگونه رفع آسیب پذیری را در اولویت قرار می دهید؟ آیا نامگذاری و درک مشترکی در مورد شدت و جدول زمانی اصلاح دارید؟ یافتن مالکی برای رفع آسیب پذیری شناسایی شده چقدر آسان یا دشوار است؟ آیا معیارهای مربوط به آسیب‌پذیری‌های شناسایی‌شده، از جمله زمان اصلاح را دنبال می‌کنید؟ آیا سازمان شما موجودی دارایی دارد یا رویای دوردست آینده است؟ مجدداً، اگر در این مورد احساس خوبی دارید و درک خوبی از رفع سریع باگ‌های شدید دارید، با تیم‌ها و افراد مسئول رفع آسیب‌پذیری‌ها رابطه محکمی داشته باشید و منابعی برای پردازش جریان‌های دریافتی باگ‌های امنیتی در اختیار داشته باشید. بدون مشکل، شما در راه خود هستید. در غیر این صورت، در فصل بعدی راهنمایی هایی در مورد نحوه اجرای یک برنامه مدیریت آسیب پذیری موفق ارائه خواهیم کرد. در هر صورت، می‌خواهید شیوه‌های مدیریت آسیب‌پذیری محکمی داشته باشید تا بتوانید جریان جدیدی از اشکالات را که از VDP دریافت می‌کنید مدیریت کنید، و اطمینان حاصل کنید که می‌توانید به موقع به آسیب‌پذیری‌های شناسایی‌شده پاسخ دهید و آن‌ها را برطرف کنید.

بررسی دلیل ریشه ای

فراتر از کار عملیاتی یافتن و رفع اشکالات به صورت یکباره، آیا در حال انجام تجزیه و تحلیل علت ریشه (RCA) مسائل و شناسایی علل سیستمیک ورود آسیب پذیری ها به محیط خود هستید؟ خیلی خوب است که بتوانید باگ ها را به سرعت پیدا کنید و آنها را برطرف کنید. با این حال، وقتی نوبت به اجرای یک VDP موفق می رسد، باید بتوانید در وهله اول نحوه ظاهر شدن این اشکالات را مشخص کنید. این می تواند به اشکال مختلف باشد، مانند:

  • شناسایی نحوه معرفی یک آسیب پذیری امنیتی برنامه
    • آیا توسعه دهندگان از کتابخانه ها و چارچوب های رایجی استفاده می کنند که خطر معرفی آسیب پذیری ها را کاهش می دهد؟
  • تجزیه و تحلیل داده ها و شناسایی روندها.
    • آیا متوجه شده اید که زیرساخت های مدیریت شده توسط یک تیم خاص هرگز با به روز رسانی های امنیتی وصله نمی شوند؟
  • حوادث یا نقض های امنیتی.
    • برای تشریح آنچه اتفاق افتاده، چرایی اتفاق افتاده و از آن درس بگیرید تا در آینده مرتکب اشتباهات مشابه نشوید، یک پس از مرگ با همه طرف های مرتبط انجام دهید.

بدون انجام RCA، تلاش زیادی برای پردازش گزارش‌های باگ مشابه از VDP شما تلف می‌شود. اگر در آینده یک برنامه پاداش آسیب پذیری را شروع کنید، فقدان RCA نیز تأثیر مالی بر سازمان شما خواهد داشت. در فصل بعدی به توصیه‌های خاص‌تری در مورد نحوه اجرای فرآیندهای RCA و فرهنگ پس از مرگ می‌پردازیم.

تشخیص و پاسخ

دعوت از محققان خارجی برای هک کردن دارایی های شما بر مکانیسم های تشخیص و پاسخ شما تأثیر می گذارد. اگر سیستم‌های تشخیص نفوذ/پیشگیری در محل دارید، باید در نظر بگیرید که می‌خواهید محققان امنیتی چه نوع آزمایشی را انجام دهند. آیا استثناهایی برای آنها ایجاد خواهید کرد تا آسیب پذیری های "پشت" این سیستم های دفاعی خودکار را پیدا کنند؟ اگر ده پژوهشگر همگی شروع به اجرای اسکن آسیب پذیری روی دارایی های خارجی شما در ساعت 2:00 بامداد روز شنبه کنند، آیا آلارم ها باعث بیدار شدن تیم امنیتی شما می شود؟ چگونه ترافیک آزمایشی قانونی را از محققان امنیتی در مقابل یک حمله واقعی بالقوه علیه سیستم های خود شناسایی می کنید؟ آیا می دانید چگونه از داده های تولید شده توسط محققان امنیتی که در برابر سیستم های شما آزمایش می کنند، استفاده کنید؟ اگر یک محقق امنیتی سعی کند به زور نام کاربری و رمز عبور را حدس بزند، آیا می تواند کاربران واقعی را قفل کند؟ قبل از شروع یک VDP، باید همه این جنبه ها را در نظر بگیرید. شما باید اطمینان حاصل کنید که انتظارات واضحی از محققان امنیتی در مورد اینکه چه نوع آزمایشی درست است و چه چیزی خوب نیست، تعیین کرده اید و نحوه پیکربندی مکانیسم های شناسایی و پاسخ موجود خود را تعیین کنید. فصل بعدی به جزئیات بیشتری در مورد نحوه برخورد با این موضوع خواهد پرداخت.

فرهنگ امنیتی

فرهنگ درون سازمان شما تأثیر زیادی بر توانایی شما برای شروع و حفظ یک VDP موفق دارد. خوب است که یک قدم به عقب برداریم و درک کنیم که ذینفعان کلیدی که نیاز به خرید این ابتکار دارند چه کسانی هستند و رابطه موجود آنها با تیم امنیت اطلاعات چگونه است. بر اساس ذینفعان مختلف مرتبط و نحوه پیش بینی شما برای مدیریت پیشنهاد راه اندازی یک برنامه افشای آسیب پذیری، باید روش ها و موادی را شناسایی کنید تا آنها را متقاعد کنید که این مفهوم را خریداری کنند. یکی از ذینفعان کلیدی که در هیئت مدیره نیست می تواند به طور بالقوه مانع از شروع یک VDP شود.