Как узнать, готовы ли вы запустить программу раскрытия уязвимостей (VDP)? Прежде чем внедрять VDP, вам следует провести важные оценки. Эти оценки помогают выявить пробелы в вашей инфраструктуре и подготовить команду к потоку входящих отчетов об ошибках. Правильно реализованный VDP обеспечивает постоянный поток отчетов. Если ваша команда не готова к дополнительной рабочей нагрузке, новая программа может оказать негативное влияние вместо улучшения безопасности. Оценка вашей программы безопасности для выявления и устранения пробелов может иметь большое значение для повышения вашей способности справляться с пропускной способностью VDP. Своевременное реагирование на обнаруженные уязвимости может улучшить ваши отношения с хакерским сообществом, что приведет к повышению эффективности программы.
Базовая гигиена безопасности
Независимо от уровня безопасности вашей организации или имеющихся ресурсов, оценка текущей гигиены безопасности — лучший способ выявить пробелы. Ниже мы обсуждаем выявление потенциальных пробелов в ключевых областях, которые обычно упускаются из виду, включая поиск и исправление ошибок, анализ первопричин, обнаружение и реагирование, а также культуру безопасности.
Поиск ошибок
При подготовке к запуску VDP важно оценить методы, которые ваша команда использует для выявления уязвимостей в вашей среде. В рамках вашей оценки и подготовки к запуску VDP необходимо предпринять первоначальные усилия по поиску и устранению уязвимостей.
Невыполнение этого требования может привести к огромному всплеску сообщений об уязвимостях при запуске вашего VDP, что потенциально может перегрузить вашу команду. Настройка базового процесса сканирования уязвимостей и проверки безопасности позволит вашей организации установить надежные процессы для решения проблем безопасности. Запустив VDP, вы будете лучше подготовлены к обработке входящих отчетов об уязвимостях.
Исправление ошибок
Помимо поиска уязвимостей, вам потребуются четко определенные процессы и ресурсы для обеспечения своевременного устранения уязвимостей. Просто найти ошибки недостаточно: безопасность улучшается только тогда, когда ошибки исправлены. Есть ли у вас процессы и ресурсы для управления уязвимостями? Какова культура безопасности в вашей организации? Считают ли команду безопасности скептиками, блокировщиками, занозой на глазу инженеров? Или вас рассматривают как партнера по сотрудничеству? Как вы расставляете приоритеты в устранении уязвимостей? Есть ли у вас общая номенклатура и понимание серьезности и сроков устранения проблем? Насколько легко или сложно найти владельца для устранения выявленной уязвимости? Отслеживаете ли вы показатели выявленных уязвимостей, включая время на их устранение? Есть ли в вашей организации инвентаризация активов или это далекая мечта о будущем? Опять же, если вы хорошо относитесь к этому и хорошо понимаете, как обеспечить быстрое исправление серьезных ошибок, имейте прочные отношения с командами и отдельными лицами, ответственными за исправление уязвимостей, а также располагайте ресурсами для обработки входящих потоков ошибок безопасности. гладко, вы уже в пути. Если нет, в следующей главе мы предоставим рекомендации по реализации успешной программы управления уязвимостями. В любом случае вам понадобится надежная практика управления уязвимостями, чтобы иметь возможность обрабатывать новый поток ошибок, которые вы получаете от вашего VDP, гарантируя, что вы сможете своевременно реагировать и устранять выявленные уязвимости.
Анализ причин
Помимо оперативной работы по поиску и устранению разовых ошибок, выполняете ли вы анализ первопричин (RCA) проблем и выявление системных причин внедрения уязвимостей в вашу среду? Приятно иметь возможность быстро находить и исправлять ошибки. Однако, когда дело доходит до успешного запуска VDP, вам необходимо в первую очередь определить, как появляются эти ошибки. Это может проявляться в разных формах, например:
- Определение того, как появилась уязвимость безопасности приложения.
- Используют ли разработчики общие библиотеки и платформы, которые снижают риск появления уязвимостей?
- Анализ данных и выявление тенденций.
- Вы заметили, что инфраструктура, управляемая определенной командой, никогда не обновляется с помощью обновлений безопасности?
- Инциденты или нарушения безопасности.
- Проведите вскрытие со всеми заинтересованными сторонами, чтобы проанализировать, что произошло и почему, и извлечь из этого уроки, чтобы не совершать тех же ошибок в будущем.
Без выполнения RCA можно потратить много усилий на обработку множества похожих отчетов об ошибках из вашего VDP. Если в будущем вы запустите программу вознаграждения за уязвимости, отсутствие RCA также окажет финансовое влияние на вашу организацию. В следующей главе мы дадим более конкретные советы о том, как реализовать процессы RCA и посмертную культуру.
Обнаружение и реагирование
Приглашение внешних исследователей для взлома ваших активов повлияет на ваши механизмы обнаружения и реагирования. Если у вас есть системы обнаружения/предотвращения вторжений, вам следует подумать о том, какие типы тестирования вы бы хотели, чтобы исследователи безопасности выполнили. Будете ли вы создавать для них исключения, чтобы они могли найти уязвимости «за» этими автоматизированными системами защиты? Если десять исследователей начнут сканирование уязвимостей на ваших внешних ресурсах в субботу в 2:00 ночи, сработает ли сигнал тревоги, разбудив вашу команду безопасности? Как отличить законный тестовый трафик от исследователей безопасности от потенциальной реальной атаки на ваши системы? Знаете ли вы, как использовать данные, полученные исследователями безопасности при тестировании ваших систем? Если исследователь безопасности попытается подобрать имена пользователей и пароли методом перебора, смогут ли они заблокировать реальных пользователей? Прежде чем начать VDP, вам необходимо рассмотреть все эти аспекты. Вам необходимо убедиться, что вы установили четкие ожидания перед исследователями безопасности в отношении того, какие типы тестирования подходят, а какие нет, и определить, как настроить существующие механизмы обнаружения и реагирования. В следующей главе мы более подробно рассмотрим, как к этому подойти.
Культура безопасности
Культура внутри вашей организации оказывает огромное влияние на вашу способность запускать и поддерживать успешную программу VDP. Хорошо бы сделать шаг назад и понять, кто является ключевыми заинтересованными сторонами, которым необходимо будет поддержать эту инициативу, и каковы их существующие отношения с командой информационной безопасности. Основываясь на различных заинтересованных сторонах и на том, как вы ожидаете, что они отреагируют на предложение о запуске программы раскрытия уязвимостей, вам необходимо будет определить методы и материалы, чтобы убедить их поддержать эту концепцию. Одна ключевая заинтересованная сторона, которая не участвует в проекте, потенциально может заблокировать запуск VDP.