Como saber se você está pronto para iniciar um Programa de divulgação de vulnerabilidade (VDP)? Há avaliações importantes que precisam ser feitas antes de implementar um VDP. Essas avaliações ajudam a identificar lacunas na sua infraestrutura e preparar a equipe para o fluxo de relatórios de bugs recebidos. Um VDP devidamente implementado gera um fluxo constante de relatórios. Se a equipe não estiver pronta para a carga de trabalho extra, o novo programa poderá ter um impacto negativo em vez de melhorar a segurança. Avaliar seu programa de segurança para identificar e resolver lacunas pode aumentar sua capacidade de lidar com a capacidade de um VDP. Responder rapidamente às vulnerabilidades relatadas pode melhorar seu relacionamento com a comunidade de hackers, resultando em um programa mais saudável.
Integridade básica de segurança
Independentemente da maturidade de segurança da sua organização ou dos recursos disponíveis, avaliar sua higiene de segurança atual é a melhor maneira de identificar lacunas. A seguir, discutimos a identificação de possíveis lacunas nas principais áreas que são comumente negligenciadas, incluindo a localização de bugs, a correção de bugs, a análise da causa raiz, a detecção e resposta e a cultura de segurança.
Como encontrar bugs
Ao se preparar para lançar um VDP, é importante avaliar os métodos que sua equipe usa para identificar vulnerabilidades no ambiente. Como parte da avaliação e preparação para iniciar um VDP, é necessário fazer um esforço inicial para encontrar e corrigir vulnerabilidades.
Não fazer isso pode resultar em um grande pico de relatórios de vulnerabilidades quando o VDP for lançado, o que pode sobrecarregar sua equipe. Configurar um processo básico de verificação de vulnerabilidades e análise de segurança permitirá que sua organização estabeleça processos sólidos para lidar com problemas de segurança. Ao iniciar o VDP, você terá mais preparo para lidar com relatórios de vulnerabilidade recebidos.
Como corrigir bugs
Além de encontrar vulnerabilidades, você precisará de processos e recursos bem definidos para garantir que elas sejam corrigidas em tempo hábil . Simplesmente encontrar bugs não é suficiente. A segurança só melhora quando os bugs são corrigidos. Você tem processos e recursos para gerenciamento de vulnerabilidades? Como é a cultura dentro da sua organização quando se trata de segurança? A equipe de segurança é encarada como o oponente, o bloqueador e o espinhoso na engenharia? Ou você é considerado um parceiro colaborativo? Como você prioriza a correção de vulnerabilidades? Você tem nomenclatura e compreensão comuns sobre a gravidade e os cronogramas de correção? É fácil ou difícil encontrar um responsável para corrigir uma vulnerabilidade identificada? Você acompanha métricas em relação a vulnerabilidades identificadas, incluindo tempo para correção? Sua organização tem um inventário de ativos ou é um sonho distante do futuro? Novamente, se você se sente bem com isso e sabe como garantir que bugs graves sejam corrigidos rapidamente, tenha um relacionamento sólido com as equipes e os indivíduos responsáveis por corrigir vulnerabilidades e tenha recursos para processar os fluxos de bugs de segurança recebidos sem problemas. Caso contrário, forneceremos orientações sobre como implementar um programa de gerenciamento de vulnerabilidades bem-sucedido no próximo capítulo. Em ambos os casos, é necessário ter práticas sólidas de gerenciamento de vulnerabilidades para lidar com o novo fluxo de bugs que você vai receber do VDP, garantindo que você possa responder e resolver as vulnerabilidades identificadas em tempo hábil.
Análise da causa raiz
Além do trabalho operacional de encontrar e corrigir bugs de maneira única, você realiza a análise da causa raiz (RCA, na sigla em inglês) dos problemas e identifica as causas sistêmicas da introdução de vulnerabilidades no ambiente? É ótimo poder encontrar e corrigir bugs rapidamente. No entanto, quando se trata de executar um VDP bem-sucedido, primeiro é necessário determinar como esses bugs estão aparecendo. Isso pode ocorrer de diferentes formas, como:
- Identificar como uma vulnerabilidade de segurança de aplicativos foi introduzida.
- Os desenvolvedores estão usando bibliotecas e frameworks comuns que reduzem o risco de vulnerabilidades serem introduzidas?
- Analisar dados e identificar tendências.
- Você percebe que a infraestrutura gerenciada por uma equipe específica nunca é corrigida com atualizações de segurança?
- Incidentes ou violações de segurança.
- Faça uma análise post-mortem com todas as partes relacionadas para analisar o que aconteceu, por que e aprender com isso para não cometer os mesmos erros no futuro.
Sem executar o RCA, pode ser desperdiçado muito esforço no processamento de vários relatórios de bugs semelhantes do VDP. Se você iniciar um Programa de recompensa para descobertas de vulnerabilidades no futuro, a falta de RCA também terá um impacto financeiro na sua organização. Entraremos em conselhos mais específicos sobre como implementar processos de RCA e uma cultura de análise post-mortem no próximo capítulo.
Detecção e resposta
Convidar pesquisadores externos para invadir seus recursos afetará seus mecanismos de detecção e resposta. Se você tiver sistemas de detecção/prevenção de intrusões, considere os tipos de testes que os pesquisadores de segurança precisam realizar. Você vai criar exceções para que eles encontrem vulnerabilidades "por trás" desses sistemas de defesa automatizados? Se 10 pesquisadores começarem a fazer verificações de vulnerabilidades nos seus recursos externos às 2h de sábado, os alarmes vão disparar sua equipe de segurança? Como você identifica o tráfego de teste legítimo de pesquisadores de segurança e um possível ataque real contra seus sistemas? Você sabe como aproveitar os dados gerados pelos testes de pesquisadores de segurança nos seus sistemas? Se um pesquisador de segurança tentar fazer força bruta para adivinhar nomes de usuário e senhas, ele poderá bloquear usuários reais? Antes de iniciar um VDP, é preciso considerar todos esses aspectos. É necessário definir expectativas claras com os pesquisadores de segurança em relação aos tipos de testes que são permitidos ou não, além de determinar como configurar os mecanismos de detecção e resposta atuais. O próximo capítulo entrará em mais detalhes sobre como abordar isso.
Cultura de segurança
A cultura da sua organização tem um enorme impacto na sua capacidade de iniciar e manter um VDP bem-sucedido. É bom dar um passo atrás e entender quem são as principais partes interessadas que precisarão se comprometer com essa iniciativa e qual é a relação atual entre eles com a equipe de segurança da informação. Com base nas várias partes interessadas relevantes e em como você prevê que elas vão lidar com uma proposta de iniciar um Programa de divulgação de vulnerabilidade, será necessário identificar métodos e materiais para convencê-los a aceitar esse conceito. Uma das principais partes interessadas que não participar pode impedir o início de um VDP.