評估

基本安全衛生

如何確認自己是否已準備好展開安全漏洞揭露計畫 (VDP)?在實作 VDP 前,您應先完成重要評估。這些評估有助於找出基礎架構中的缺口,並讓團隊為收到的錯誤報告串流做好準備。VDP 正確導入後,報表就能穩定提供。如果您的團隊尚未準備好進行額外的工作負載,新計畫可能會產生負面影響,而非改善安全性。藉由評估安全性計畫找出及解決落差,可以有效提升處理 VDP 的處理量。及時回應回報的安全漏洞,可以改善您與入侵社群之間的關係,讓計畫更加健全。

基本安全衛生

無論貴機構的安全性成熟度或可用資源為何,評估目前的安全健全度是找出差距的最佳方式。以下我們將探討在經常難以預知的關鍵領域,找出潛在的落差,包括找出錯誤、修正錯誤、根本原因分析、偵測與應變,以及安全性文化。

找出錯誤

在準備發布 VDP 時,請務必評估團隊用來找出環境中安全漏洞的方法。為啟動 VDP 的評估及準備工作時,您應迅速找出安全漏洞並加以修正。

否則您的 VDP 發布時可能會導致「安全漏洞」報告激增,而這可能會使您的團隊感到不堪負荷。設定基本的安全漏洞掃描和安全性審查程序,可讓貴機構建立可靠的處理程序來處理安全性問題。啟動 VDP 後,您會做好更充分的準備,來處理收到的安全漏洞報告。

修正錯誤

除了尋找安全漏洞外,您還需要定義明確的程序和資源,以確保能及時修正安全漏洞。只發現錯誤是不夠的,只有在錯誤修正後,安全性才會有所改善。您是否有進行安全漏洞管理的程序和資源?就安全性層面而言,貴機構成員具有什麼文化?安全性團隊是否被認為是假想、阻斷者或工程那一角?還是您是否為合作合作夥伴?Google 會如何優先進行安全漏洞修復?針對嚴重程度和修復時程,您是否有通用的命名和瞭解?找到擁有者修正已發現的安全漏洞的難易度為何?您是否會追蹤已發現的安全漏洞相關指標,包括修正時間?您的機構是否有資產庫存?還是未來的夢想呢?再次強調,如果您相當滿意這個情況,並有充分地確保迅速修正重大錯誤、與負責修正安全漏洞的團隊和人員建立穩固的關係,並擁有可順利處理遭受安全性錯誤串流的資源,那就大功告成了!否則,我們會在下一節提供如何成功實作安全漏洞管理計畫的指南。無論是哪種情況,您都需要建立穩固的安全漏洞管理做法,以便處理從 VDP 收到的新錯誤串流,確保能及時回覆並解決已發現的安全漏洞。

根本原因分析

除了反覆找出及修正錯誤之外,您是否還會執行問題的根本原因分析 (RCA),並找出環境中造成安全漏洞的系統性原因?能夠迅速找出錯誤並修正錯誤 是很棒的事然而,在執行成功的 VDP 時,建議您先瞭解這些錯誤如何從一開始加以呈現。這類政策可能會以不同形式表示,例如:

  • 找出應用程式安全漏洞的產生方式。
    • 開發人員是否使用通用的程式庫和架構,藉此降低出現安全漏洞的風險?
  • 分析資料並找出趨勢。
    • 您是否有發現由特定團隊管理的基礎架構,絕對不會收到安全性更新?
  • 安全性事件或資料侵害事件。
    • 對所有相關方進行事後檢討,探討問題發生、原因及從中學習,避免日後發生相同的錯誤。

在不執行 RCA 的情況下,您會耗費大量心力處理 VDP 中的許多類似錯誤報告。如果您日後啟動了安全漏洞獎勵計畫,缺乏 RCA 也會對貴機構造成財務影響。我們會在下一節中深入探討如何實作 RCA 程序及檢討報告文化。

偵測與回應

邀請外部研究人員入侵您的資產將會影響您的偵測和回應機制。如果您設置了入侵偵測/預防系統,不妨考慮您想讓安全性研究人員執行的測試類型。您會持續為這類金鑰建立例外狀況,以便找出這些自動化防禦系統「背後」的安全漏洞嗎?如果十位研究人員都開始在週六凌晨 2:00 開始對外部資產執行安全漏洞掃描,該警示會導致安全性團隊醒來嗎?要如何識別來自安全性研究人員的正當測試流量,以及可能實際遭受系統攻擊?您是否知道如何將安全性研究人員測試產生的資料用於您的系統?如果安全性研究人員嘗試不實地猜測使用者名稱和密碼,能否將他們鎖定為真正的使用者?開始實施 VDP 前,您需要考量下列所有面向。您必須確實向安全性研究人員設定明確及禁止的測試類型,並確定如何設定現有的偵測與回應機制。下一章將詳細說明如何解決這個問題。

安全文化

貴機構的文化對於貴機構能否順利啟動並維持 VDP 有極大影響。建議您退一步,瞭解需購買這項計畫的主要利害關係人,以及資訊安全性團隊目前與誰之間的關係。依據各種相關利害關係人,以及您預期他們如何處理安全漏洞揭露計畫的啟動提案,您必須找出能說服他們認同這個概念的方法和素材。其中一個未上車的利害關係人可能會阻礙 VDP 展開作業。