Làm cách nào để biết bạn đã sẵn sàng bắt đầu một chương trình công bố thông tin về lỗ hổng (VDP) hay chưa? Bạn nên thực hiện các bài đánh giá quan trọng trước khi triển khai VDP. Những hoạt động đánh giá này giúp xác định những lỗ hổng trong cơ sở hạ tầng và chuẩn bị cho nhóm của bạn để nhận các báo cáo lỗi sắp tới. VDP được triển khai đúng cách sẽ mang lại luồng báo cáo ổn định. Nếu nhóm của bạn chưa sẵn sàng cho khối lượng công việc bổ sung, thì chương trình mới có thể sẽ tác động tiêu cực thay vì cải thiện tính bảo mật. Việc đánh giá chương trình bảo mật của bạn để xác định và giải quyết các lỗ hổng có thể giúp bạn tăng khả năng xử lý công suất của VDP. Việc nhanh chóng phản hồi các lỗ hổng bảo mật được báo cáo có thể giúp cải thiện mối quan hệ của bạn với cộng đồng tin tặc, nhờ đó xây dựng một chương trình lành mạnh hơn.
Vệ sinh an ninh cơ bản
Bất kể mức độ phát triển bảo mật của tổ chức hay tài nguyên hiện có, việc đánh giá tình trạng bảo mật hiện tại là cách tốt nhất để xác định lỗ hổng. Dưới đây, chúng tôi sẽ thảo luận về việc xác định lỗ hổng tiềm ẩn trong các khía cạnh chính thường bị bỏ sót, bao gồm tìm lỗi, sửa lỗi, phân tích nguyên nhân gốc, phát hiện và phản hồi cũng như văn hoá bảo mật.
Tìm lỗi
Khi chuẩn bị triển khai VDP, bạn cần phải đánh giá các phương pháp nhóm của mình sử dụng để xác định các lỗ hổng bảo mật trong môi trường. Trong quá trình đánh giá và chuẩn bị cho việc bắt đầu VDP, ban đầu bạn nên nỗ lực để tìm và khắc phục các lỗ hổng.
Nếu bạn không làm như vậy, số lượng báo cáo về lỗ hổng bảo mật sẽ tăng đột biến khi VDP ra mắt, có khả năng khiến nhóm của bạn bị quá tải. Việc thiết lập quy trình quét lỗ hổng và đánh giá bảo mật cơ bản sẽ giúp tổ chức của bạn thiết lập các quy trình vững chắc để xử lý các vấn đề bảo mật. Khi bắt đầu VDP, bạn sẽ được chuẩn bị tốt hơn để xử lý các báo cáo lỗ hổng được gửi tới.
Sửa lỗi
Ngoài việc tìm ra lỗ hổng, bạn cần có những quy trình và tài nguyên được xác định rõ ràng để đảm bảo kịp thời khắc phục lỗ hổng . Việc chỉ tìm lỗi là chưa đủ, tính bảo mật chỉ cải thiện khi đã sửa lỗi. Bạn đã có sẵn các quy trình và tài nguyên để quản lý lỗ hổng chưa? Xét về khía cạnh bảo mật, văn hoá trong tổ chức của bạn như thế nào? Nhóm bảo mật có được xem là người phản đối, người chặn hay khó khăn trong lĩnh vực kỹ thuật không? Hay bạn có được xem là đối tác cộng tác không? Bạn ưu tiên khắc phục lỗ hổng như thế nào? Bạn có hiểu các thuật ngữ chung và hiểu rõ về mức độ nghiêm trọng cũng như tiến trình sửa lỗi không? Bạn thấy việc tìm chủ sở hữu để khắc phục một lỗ hổng đã xác định dễ hay khó? Bạn có theo dõi chỉ số về các lỗ hổng đã xác định, bao gồm cả thời gian khắc phục không? Tổ chức của bạn có kho tài sản hay không, hay đó là một giấc mơ xa vời về tương lai? Xin nhắc lại rằng, nếu bạn cảm thấy khá chắc chắn về điều này và hiểu rõ cách đảm bảo các lỗi nghiêm trọng được khắc phục kịp thời, duy trì mối quan hệ bền chặt với các nhóm và cá nhân chịu trách nhiệm khắc phục lỗ hổng, đồng thời có sẵn nguồn lực để xử lý luồng lỗi bảo mật một cách suôn sẻ. Nếu chưa, chúng tôi sẽ cung cấp hướng dẫn về cách triển khai thành công một chương trình quản lý lỗ hổng trong chương tiếp theo. Trong cả hai trường hợp, bạn nên có các phương pháp quản lý lỗ hổng chặt chẽ để có thể xử lý luồng lỗi mới mà bạn sẽ nhận được từ VDP, đảm bảo bạn có thể phản hồi và xử lý kịp thời các lỗ hổng đã xác định.
Phân tích căn nguyên
Ngoài công việc vận hành là tìm và sửa lỗi một lần, bạn có đang thực hiện quy trình phân tích nguyên nhân gốc (RCA) của vấn đề và xác định nguyên nhân mang tính hệ thống dẫn đến việc các lỗ hổng bảo mật xuất hiện trong môi trường của bạn không? Thật tuyệt khi có thể tìm và sửa lỗi một cách nhanh chóng. Tuy nhiên, để chạy VDP thành công, bạn cần xác định ngay từ đầu những lỗi này xuất hiện. Vấn đề này có thể diễn ra dưới nhiều dạng, chẳng hạn như:
- Xác định cách lỗ hổng bảo mật ứng dụng được phát hiện.
- Các nhà phát triển có đang sử dụng các thư viện và khung phổ biến để giảm nguy cơ xảy ra các lỗ hổng bảo mật không?
- Phân tích dữ liệu và xác định xu hướng.
- Bạn có nhận thấy cơ sở hạ tầng do một nhóm cụ thể quản lý không bao giờ được vá bằng các bản cập nhật bảo mật không?
- Sự cố bảo mật hoặc rò rỉ dữ liệu.
- Thực hiện kiểm tra sau khi kiểm tra với tất cả các bên liên quan để phân tích những gì đã xảy ra, lý do và học hỏi từ đó để không mắc phải sai lầm tương tự trong tương lai.
Nếu không thực hiện RCA, bạn có thể mất nhiều công sức để xử lý nhiều báo cáo lỗi tương tự trong VDP. Nếu bạn bắt đầu chương trình trao thưởng liên quan đến lỗ hổng bảo mật trong tương lai, thì việc thiếu RCA cũng ảnh hưởng đến tài chính đối với tổ chức của bạn. Chúng tôi sẽ đi sâu vào lời khuyên cụ thể hơn về cách triển khai quy trình RCA và văn hoá sau khi bị phá hoại trong chương tiếp theo.
Phát hiện và ứng phó
Việc mời các nhà nghiên cứu bên ngoài tấn công tài sản của bạn sẽ tác động đến cơ chế phát hiện và ứng phó của bạn. Nếu đã có sẵn các hệ thống phát hiện/ngăn chặn xâm nhập, bạn nên cân nhắc loại thử nghiệm nào bạn muốn các nhà nghiên cứu bảo mật thực hiện. Bạn có tạo trường hợp ngoại lệ để họ tìm lỗ hổng "phía sau" các hệ thống phòng vệ tự động này không? Nếu tất cả 10 nhà nghiên cứu bắt đầu quét lỗ hổng bảo mật trên các tài sản có tiếp xúc với bên ngoài vào lúc 2 giờ sáng thứ Bảy, các chuông báo có đổ chuông đánh thức nhóm bảo mật của bạn không? Làm cách nào để xác định lưu lượng truy cập thử nghiệm hợp pháp từ các nhà nghiên cứu bảo mật và một cuộc tấn công thực tế tiềm ẩn nhắm vào hệ thống của bạn? Bạn có biết cách tận dụng dữ liệu do các nhà nghiên cứu bảo mật tạo ra để kiểm tra hệ thống của bạn không? Nếu một nhà nghiên cứu bảo mật cố gắng brute force tên người dùng và mật khẩu, họ có thể khoá người dùng thực không? Trước khi bắt đầu triển khai VDP, bạn nên cân nhắc tất cả các khía cạnh này. Bạn cần đảm bảo đã đặt ra kỳ vọng rõ ràng với các nhà nghiên cứu bảo mật về việc loại thử nghiệm nào được phép và không được phép, đồng thời xác định cách định cấu hình các cơ chế phát hiện và phản hồi hiện có. Chương tiếp theo sẽ đi sâu hơn về cách tiếp cận vấn đề này.
Văn hoá bảo mật
Văn hoá trong tổ chức có tác động rất lớn đến khả năng bắt đầu và duy trì thành công VDP. Bạn nên lùi lại một bước để tìm hiểu xem các bên liên quan chính sẽ cần mua vào sáng kiến này và mối quan hệ hiện tại của họ với nhóm bảo mật thông tin. Dựa vào nhiều bên liên quan và cách bạn dự đoán họ sẽ xử lý đề xuất bắt đầu chương trình thông báo lỗ hổng, bạn sẽ cần xác định các phương pháp và tài liệu để thuyết phục họ đồng ý với khái niệm này. Một bên liên quan chính không tham gia có khả năng sẽ chặn không cho VDP bắt đầu.