Bagaimana cara mengetahui apakah Anda sudah siap untuk memulai program pengungkapan kerentanan (VDP)? Ada penilaian penting yang harus Anda lakukan sebelum menerapkan VDP. Penilaian ini membantu mengidentifikasi celah di infrastruktur Anda dan mempersiapkan tim untuk menerima aliran laporan bug yang masuk. VDP yang diterapkan dengan benar akan menghasilkan aliran laporan yang stabil. Jika tim Anda belum siap untuk menangani beban kerja tambahan, program baru dapat berdampak negatif, bukan meningkatkan keamanan. Menilai program keamanan Anda untuk mengidentifikasi dan mengatasi kesenjangan dapat sangat meningkatkan kemampuan Anda dalam menangani throughput dari VDP. Respons cepat terhadap kerentanan yang dilaporkan dapat meningkatkan hubungan Anda dengan komunitas peretasan, sehingga menghasilkan program yang lebih sehat.
Kebersihan keamanan dasar
Terlepas dari kematangan keamanan organisasi Anda atau sumber daya yang tersedia, mengevaluasi kebersihan keamanan Anda saat ini adalah cara terbaik untuk mengidentifikasi kesenjangan. Di bawah ini, kami membahas cara mengidentifikasi potensi celah di area utama yang sering diabaikan, seperti menemukan bug, memperbaiki bug, analisis akar masalah, deteksi dan respons, serta budaya keamanan.
Menemukan bug
Saat bersiap meluncurkan VDP, penting untuk menilai metode yang digunakan tim Anda untuk mengidentifikasi kerentanan di lingkungan Anda. Sebagai bagian dari penilaian dan persiapan Anda untuk memulai VDP, upaya awal harus dilakukan untuk menemukan dan memperbaiki kerentanan.
Tidak melakukannya dapat mengakibatkan lonjakan besar laporan kerentanan saat VDP diluncurkan, dan berpotensi membebani tim Anda. Menyiapkan proses pemindaian kerentanan dan peninjauan keamanan dasar akan memungkinkan organisasi Anda menetapkan proses yang solid untuk menangani masalah keamanan. Saat memulai VDP, Anda akan lebih siap untuk menangani laporan kerentanan yang masuk.
Memperbaiki bug
Selain menemukan kerentanan, Anda juga memerlukan proses dan resource yang terdefinisi dengan baik untuk memastikan kerentanan diperbaiki dengan tepat waktu . Menemukan bug saja tidak cukup, karena keamanan hanya akan meningkat jika bug diperbaiki. Apakah Anda sudah menyiapkan proses dan resource untuk manajemen kerentanan? Seperti apa budaya yang ada di organisasi Anda dalam hal keamanan? Apakah tim keamanan dipandang sebagai penentang, penghalang, dan duri di sisi teknik? Atau, apakah Anda dianggap sebagai partner kolaborasi? Bagaimana Anda memprioritaskan perbaikan perbaikan kerentanan? Apakah Anda memiliki nomenklatur dan pemahaman umum seputar tingkat keparahan dan jadwal perbaikan? Seberapa mudah atau sulitkah menemukan pemilik untuk memperbaiki kerentanan yang teridentifikasi? Apakah Anda melacak metrik seputar kerentanan yang teridentifikasi, termasuk waktu untuk memperbaikinya? Apakah organisasi Anda memiliki inventaris aset, atau merupakan mimpi jauh untuk masa depan? Sekali lagi, jika Anda merasa cukup senang dengan hal ini dan memiliki pemahaman yang baik untuk memastikan bug yang parah diperbaiki dengan segera, memiliki hubungan yang solid dengan tim dan individu yang bertanggung jawab untuk memperbaiki kerentanan, dan memiliki sumber daya yang siap untuk memproses aliran bug keamanan yang masuk dengan lancar, Anda akan siap. Jika belum, kami akan memberikan panduan tentang cara mengimplementasikan program pengelolaan kerentanan yang sukses di bab berikutnya. Dalam kedua kasus tersebut, Anda perlu menerapkan praktik pengelolaan kerentanan yang solid agar dapat menangani aliran bug baru yang akan Anda terima dari VDP, sehingga memastikan Anda dapat merespons dan mengatasi kerentanan yang teridentifikasi dengan tepat waktu.
Analisis akar masalah
Di luar pekerjaan operasional menemukan dan memperbaiki bug sebagai satu kali, apakah Anda melakukan analisis akar masalah (RCA) masalah dan mengidentifikasi penyebab sistemik munculnya kerentanan ke dalam lingkungan Anda? Hal yang bagus untuk dapat menemukan dan memperbaiki {i>bug<i} dengan cepat. Namun, saat menjalankan VDP yang sukses, Anda harus dapat menentukan kemunculan bug ini sejak awal. Hal ini dapat tersedia dalam berbagai bentuk, seperti:
- Mengidentifikasi bagaimana kerentanan keamanan aplikasi diperkenalkan.
- Apakah developer menggunakan library dan framework umum yang mengurangi risiko kerentanan yang ditimbulkan?
- Menganalisis data dan mengidentifikasi tren.
- Apakah Anda memperhatikan bahwa infrastruktur yang dikelola oleh tim tertentu tidak pernah diperbaiki dengan update keamanan?
- Insiden atau pelanggaran keamanan.
- Lakukan post-mortem dengan semua pihak terkait untuk membedah apa yang terjadi, alasannya, dan belajar dari peristiwa tersebut agar tidak melakukan kesalahan yang sama di masa mendatang.
Jika tidak menggunakan RCA, pemrosesan berbagai laporan bug yang mirip dari VDP dapat sia-sia. Jika Anda memulai program reward kerentanan pada masa mendatang, kurangnya RCA juga akan berdampak finansial pada organisasi Anda. Kami akan membahas saran yang lebih spesifik tentang cara menerapkan proses RCA dan budaya post-mortem di bab berikutnya.
Deteksi dan respons
Mengundang peneliti eksternal untuk meretas aset akan memengaruhi mekanisme deteksi dan respons Anda. Jika Anda memiliki sistem deteksi/pencegahan intrusi, Anda perlu mempertimbangkan jenis pengujian yang ingin dilakukan oleh peneliti keamanan. Apakah Anda akan membuat pengecualian bagi mereka untuk menemukan kerentanan yang ada "di balik" sistem pertahanan otomatis ini? Jika sepuluh peneliti semuanya mulai menjalankan pemindaian kerentanan pada aset yang berinteraksi dengan pihak eksternal pada pukul 02.00 pada hari Sabtu, apakah alarm akan berbunyi untuk membangunkan tim keamanan Anda? Bagaimana Anda mengidentifikasi traffic pengujian yang sah dari peneliti keamanan dengan potensi serangan nyata terhadap sistem Anda? Tahukah Anda cara memanfaatkan data yang dihasilkan oleh peneliti keamanan yang menguji sistem Anda? Jika seorang peneliti keamanan mencoba melakukan {i>brute force <i}menebak nama pengguna dan {i> password<i}, dapatkah mereka mengunci pengguna sebenarnya? Sebelum memulai VDP, Anda perlu mempertimbangkan semua aspek ini. Anda perlu memastikan bahwa Anda telah menetapkan ekspektasi yang jelas kepada peneliti keamanan dalam hal jenis pengujian yang baik dan tidak baik, serta menentukan cara mengonfigurasi mekanisme deteksi dan respons yang sudah ada. Bab berikutnya akan membahas lebih mendetail tentang cara pendekatan ini.
Budaya keamanan
Budaya dalam organisasi Anda berdampak besar pada kemampuan Anda untuk memulai dan mempertahankan VDP yang sukses. Ada baiknya Anda mundur sejenak dan memahami siapa pemangku kepentingan utama yang perlu mendukung inisiatif ini, dan apa hubungan mereka saat ini dengan tim keamanan informasi. Berdasarkan berbagai pemangku kepentingan yang relevan dan cara Anda mengantisipasi mereka menangani proposal untuk memulai program pengungkapan kerentanan, Anda harus mengidentifikasi metode dan materi untuk membujuk mereka agar mendukung konsep ini. Salah satu pemangku kepentingan utama yang tidak bergabung dapat memblokir VDP agar tidak dimulai.