التقييم

إرشادات الأمان الأساسية

كيف يمكنك معرفة ما إذا كنت مستعدًا لبدء برنامج الكشف عن الثغرات الأمنية (VDP)؟ هناك تقييمات مهمة يجب إجراؤها قبل تنفيذ VDP. وتساعد هذه التقييمات في تحديد الثغرات في البنية الأساسية وتجهيز الفريق لإعداد تقارير الأخطاء الواردة. عند استخدام VDP بشكل صحيح، يتم تدفق التقارير بشكل منتظم. إذا لم يكن فريقك مستعدًا لأخذ عبء العمل الإضافي، فقد يكون للبرنامج الجديد تأثير سلبي بدلاً من تحسين الأمان. قد يساعد تقييم برنامج الأمان التابع لك في تحديد الثغرات ومعالجةها في زيادة قدرتك على التعامل مع سرعة معالجة بيانات VDP. يمكن أن تعمل الاستجابة السريعة للثغرات الأمنية التي تم الإبلاغ عنها على تحسين علاقتك بمنتدى القرصنة، مما يؤدي إلى برنامج صحي.

إرشادات الأمان الأساسية

بغض النظر عن مدى النضج الأمني لمؤسستك أو الموارد المتاحة، يعد تقييم سلامتك الأمنية الحالية هو أفضل طريقة لتحديد الفجوات. في ما يلي نناقش تحديد الفجوات المحتملة في الجوانب الرئيسية التي يتم التغاضي عنها بشكل شائع، بما في ذلك، البحث عن الأخطاء وإصلاحها وإصلاح الأخطاء الجسيمة والاكتشاف والاستجابة وثقافة الأمان.

جارٍ البحث عن أخطاء

عند التحضير لإطلاق VDP، من المهم تقييم الطرق التي يستخدمها فريقك لتحديد الثغرات في بيئتك. كجزء من تقييمك وتحضيرك لبدء VDP، يجب بذل جهد أولي للعثور على الثغرات الأمنية وإصلاحها.

وقد يؤدي عدم إجراء ذلك إلى ارتفاع كبير في تقارير الثغرات الأمنية عند إطلاق أداة تطوير البرامج (VDP)، ما قد أربك فريقك. وسيمكّن إعداد عملية فحص الثغرات الأمنية الأساسية ومراجعة الأمان لمؤسستك من إنشاء عمليات قوية لمعالجة مشكلات الأمان. عند بدء تشغيل VDP، ستصبح أكثر استعدادًا للتعامل مع تقارير الثغرات الأمنية الواردة.

إصلاح الأخطاء

بالإضافة إلى العثور على الثغرات الأمنية، ستحتاج إلى عمليات وموارد محددة جيدًا لضمان إصلاح الثغرات الأمنية في الوقت المناسب . لا يكفي مجرد العثور على أخطاء، ولكن الأمان يتحسن فقط عند إصلاح الأخطاء. هل لديك عمليات وموارد لإدارة الثغرات الأمنية؟ كيف هي الثقافة في مؤسستك عندما يتعلق الأمر بالأمان؟ هل ينظر فريق الأمان إلى الرذارين وحاصرات الشوكة في جانب الهندسة؟ أو هل يتم تصنيفك كشريك تعاوني؟ كيف يمكن تحديد أولويات معالجة الثغرات الأمنية؟ هل لديك تسميات وفهم مشتركان للخطورة والمخططات الزمنية لمعالجة المشاكل؟ ما مدى سهولة أو صعوبة العثور على مالك لإصلاح ثغرة أمنية محددة؟ هل تتتبّع المقاييس المتعلقة بنقاط الضعف التي تم تحديدها، بما في ذلك الوقت اللازم لإصلاحها؟ هل تمتلك مؤسستك مخزونًا من مواد العرض، أم أن هذا حلم بعيد المدى في المستقبل؟ مرة أخرى، إذا كنت تشعر بالرضا عن هذا الأمر ولديك فهم جيد للحرص على إصلاح الأخطاء الجسيمة على الفور، وأن لديك علاقة قوية مع الفرق والأفراد المسؤولين عن إصلاح الثغرات الأمنية، وأن يكون لديك الموارد اللازمة لمعالجة تدفقات أخطاء الأمان بسلاسة، فأنت على الطريق الصحيح. إذا لم يكن الأمر كذلك، فسنوفر إرشادات حول كيفية تنفيذ برنامج ناجح لإدارة الثغرات الأمنية في الفصل التالي. وفي كلتا الحالتين، عليك استخدام ممارسات قوية لإدارة الثغرات الأمنية حتى تتمكّن من التعامل مع التدفق الجديد للأخطاء التي ستتلقّاها من "أداة تطوير البرامج" (VDP)، ما يضمن لك إمكانية معالجة الثغرات الأمنية التي تم رصدها والتعامل معها في الوقت المناسب.

تحليل السبب الرئيسي

إلى جانب الأعمال التشغيلية التي تهدف إلى العثور على الأخطاء وإصلاحها مرة واحدة، هل تجري تحليلاً للسبب الجذري للمشاكل وتحدِّد الأسباب المنهجية لإدخال الثغرات في بيئتك؟ إنه شيء رائع أن تتمكن من العثور على الأخطاء وإصلاحها بسرعة. ومع ذلك، عندما يتعلق الأمر بتشغيل VDP ناجح، يجب أن تكون قادرًا على تحديد كيفية ظهور هذه الأخطاء في المقام الأول. ويمكن أن يكون ذلك بأشكال مختلفة، مثل:

  • تحديد كيفية حدوث ثغرة أمنية للتطبيقات.
    • هل يستخدم مطوّرو البرامج أطر العمل والمكتبات الشائعة التي تقلل من مخاطر التعرض للثغرات الأمنية؟
  • تحليل البيانات وتحديد المؤشرات.
    • هل تلاحظ أن البنية الأساسية التي يديرها فريق معين لا يتم صحّتها مطلقًا عبر تحديثات الأمان؟
  • حوادث أو خروقات الأمان.

بدون إجراء RCA، يمكن بذل الكثير من الجهد لمعالجة العديد من تقارير الأخطاء المشابهة من VDP. إذا بدأت في وقت لاحق استخدام برنامج لمكافأة الثغرات الأمنية، فإن عدم وجود RCA له تأثير مالي على مؤسستك أيضًا. وسنقدم مزيدًا من النصائح المحددة حول كيفية تنفيذ عمليات RCA وثقافة ما بعد الوفاة في الفصل التالي.

الكشف والاستجابة

وستؤدي دعوة باحثين خارجيين إلى اختراق مواد العرض التابعة لك إلى التأثير في آليات الكشف والاستجابة لديك. إذا كانت لديك أنظمة كشف/تطفل على التسلل، فستحتاج إلى التفكير في أنواع الاختبارات التي تريد أن يجريها الباحثون الأمنيون. هل ستنشئ استثناءات لها لاكتشاف الثغرات الأمنية "خلف" أنظمة الدفاع الآلية هذه؟ إذا بدأ 10 باحثين في إجراء عمليات فحص للثغرات الأمنية على مواد العرض التي تواجه جهات خارجية في الساعة 2:00 صباحًا يوم السبت، هل ستنطلق المنبّهات لتنبيه فريق الأمان؟ كيف يمكنك تحديد زيارات اختبار شرعية من الباحثين الأمنيين في مقابل الهجوم الحقيقي المحتمل على أنظمتك؟ هل تعرف كيفية الاستفادة من البيانات التي ينشئها باحثو الأمان الذين يختبرون أنظمتك؟ إذا حاول أحد باحثي الأمان فرض استخدام لغة تخمينية في تخمين أسماء المستخدمين وكلمات المرور، فهل يمكنه منع المستخدمين الحقيقيين؟ قبل البدء في VDP، يجب مراعاة جميع هذه الجوانب. يلزمك التأكد من وضع توقعات واضحة مع الباحثين في مجال الأمان فيما يتعلق بأنواع الاختبارات الجيدة وغير المناسبة، وتحديد كيفية تهيئة آليات الكشف والاستجابة الحالية. سنتناول في الفصل التالي مزيدًا من التفاصيل عن كيفية التعامل مع هذا الأمر.

ثقافة الأمان

تؤثّر الثقافة داخل مؤسستك تأثيرًا كبيرًا في قدرتك على بدء مبادرة VDP ناجحة والحفاظ عليها. من المفيد الرجوع إلى الوراء قليلاً ومعرفة الأطراف المعنية الأساسية التي ستحتاج إلى الاشتراك في هذه المبادرة، ومعرفة علاقتها الحالية بفريق أمان المعلومات. بناءً على مختلف الأطراف المعنية ذات الصلة وكيف تتوقع التعامل مع اقتراح بدء برنامج الكشف عن الثغرات الأمنية، ستحتاج إلى تحديد الطرق والمواد لإقناعهم بالاشتراك في هذا المفهوم. قد يكون أحد الجهات المعنيّة الرئيسية التي ليست على عِلم بالمنصّة حظر برنامج VDP من البدء.