كيف تعرف ما إذا كنت على استعداد لبدء برنامج الإفصاح عن الثغرات الأمنية (VDP)؟ هناك تقييمات مهمة يجب عليك إجراؤها قبل تنفيذ VDP. تساعد هذه التقييمات في تحديد الفجوات في البنية الأساسية الخاصة بك وإعداد الفريق لمجموعة من تقارير الأخطاء الواردة. يوفر VDP الذي تم تنفيذه بشكل صحيح تدفقًا ثابتًا للتقارير. إذا لم يكن فريقك مستعدًا لعبء العمل الإضافي، فقد يكون للبرنامج الجديد تأثير سلبي بدلاً من تحسين الأمان. إنّ تقييم برنامج الأمان الخاص بك لتحديد الثغرات ومعالجتها يمكن أن يقطع شوطًا طويلاً نحو زيادة قدرتك على معالجة سرعة بيانات VDP. إن الاستجابة السريعة للثغرات الأمنية التي تم الإبلاغ عنها يمكن أن يحسن علاقتك بمجتمع الاختراق، وينتج عن ذلك تحسين سلامة البرنامج.
الإجراءات الأمنية الأساسية
بغض النظر عن مستوى الأمان لمؤسستك أو الموارد المتاحة، فإن تقييم السلامة الأمنية الحالية هو أفضل طريقة لتحديد الثغرات. نناقش أدناه تحديد الثغرات المحتملة في المجالات الرئيسية التي يتجاهلها عادةً، والعثور على الأخطاء، وإصلاح الأخطاء، وتحليل الأسباب الأساسية، والرصد والاستجابة، وثقافة الأمان.
العثور على الأخطاء
عند الاستعداد لإطلاق VDP، من المهم تقييم الأساليب التي يستخدمها فريقك لتحديد الثغرات الأمنية في بيئتك. في إطار تقييمك والاستعداد لبدء برنامج VDP، يجب بذل جهود أولية للعثور على الثغرات الأمنية وإصلاحها.
وقد يؤدي عدم إجراء ذلك إلى ارتفاع كبير في عدد تقارير ثغرات الأمان عند إطلاق VDP، ما قد يؤدي إلى إرباك فريقك. يتيح إعداد فحص أساسي للثغرات الأمنية ومراجعة الأمان لمؤسستك إنشاء عمليات قوية للتعامل مع المشاكل الأمنية. عند بدء تشغيل VDP، ستكون مستعدًا بشكلٍ أفضل للتعامل مع تقارير الثغرات الأمنية الواردة.
إصلاح الأخطاء
بالإضافة إلى العثور على الثغرات الأمنية، ستحتاج إلى عمليات وموارد محددة جيدًا لضمان إصلاحها في الوقت المناسب . لا يكفي مجرد العثور على الأخطاء، بل يتحسن الأمان فقط عند إصلاح الأخطاء. هل لديك عمليات وموارد لإدارة الثغرات الأمنية؟ كيف تبدو الثقافة داخل مؤسستك عندما يتعلق الأمر بالأمان؟ هل يُنظر إلى فريق الأمن على أنّه أحد مشتقدين أو عوائق أو شوكة في جانب الهندسة؟ أم هل يُنظر إليك كشريك متعاون؟ كيف تعطي الأولوية لإصلاح الثغرات الأمنية؟ هل لديك تسمية مشتركة وفهم حول الخطورة والجداول الزمنية للمعالجة؟ ما مدى سهولة أو صعوبة العثور على مالك لإصلاح ثغرة تم تحديدها؟ هل تتبع المقاييس المتعلقة بالثغرات الثغرات التي تم تحديدها، بما في ذلك وقت إصلاحها؟ هل تمتلك مؤسستك مستودعًا للأصول، أم أن هذا حلم بعيد المنال؟ ومرة أخرى، إذا كنت تشعر بالرضا تجاه هذا الأمر، ولديك معرفة جيدة لضمان إصلاح الأخطاء الجسيمة بسرعة، ولديك علاقة قوية مع الفرق والأفراد المسؤولين عن إصلاح الثغرات الأمنية، ولديك الموارد اللازمة لمعالجة التدفقات القادمة من الأخطاء الأمنية بسلاسة، فأنت بذلك تسير على ما يرام. إذا لم تكن كذلك، سنقدم إرشادات حول كيفية تنفيذ برنامج ناجح لإدارة الثغرات في الفصل التالي. في كلتا الحالتين، ستحتاج إلى تطبيق ممارسات متينة لإدارة الثغرات الأمنية لتتمكن من التعامل مع التدفق الجديد من الأخطاء التي ستتلقّاها من VDP، ما يضمن لك الاستجابة للثغرات الأمنية التي تم تحديدها ومعالجتها في الوقت المناسب.
تحليل السبب الجذري
بخلاف العمل التشغيلي لإيجاد الأخطاء وإصلاحها لمرّة واحدة، هل تُجري تحليلاً للسبب الجذري للمشاكل وتحدّد الأسباب المنهجية لإدخال الثغرات الأمنية في بيئتك؟ من الرائع أن تكون قادرًا على العثور على الأخطاء وإصلاحها بسرعة. مع ذلك، عندما يتعلق الأمر بتشغيل VDP ناجح، يجب أن تكون قادرًا على تحديد كيفية ظهور هذه الأخطاء في المقام الأول. يمكن أن يظهر هذا النص بأشكال مختلفة، مثل:
- تحديد كيفية إدخال ثغرة أمنية للتطبيق.
- هل يستخدم المطورون مكتبات وأطر عمل شائعة تقلل من خطر ظهور ثغرات أمنية؟
- تحليل البيانات وتحديد الاتجاهات.
- هل تلاحظ أن البنية الأساسية التي يديرها فريق معين لا تحتوي أبدًا على تحديثات الأمان؟
- محاولات الاختراق الأمني أو محاولات الاختراق الأمني.
- إجراء تقرير تحليلي بعد حدوث الكوارث مع جميع الأطراف المعنية لتحليل ما حدث وأسبابه والتعلم منه حتى لا تقع الأخطاء نفسها في المستقبل.
بدون تنفيذ RCA، يمكن إهدار الكثير من الجهد أثناء معالجة العديد من تقارير الأخطاء المماثلة من VDP. فإذا بدأت برنامج مكافآت للثغرات الأمنية في المستقبل، فإن عدم وجود RCA له أيضًا تأثير مالي على مؤسستك. وسنتناول في الفصل التالي نصائح أكثر تحديدًا حول كيفية تنفيذ عمليات RCA وثقافة ما بعد حدوث الكوارث.
الرصد والاستجابة
إنّ دعوة باحثين خارجيين لاختراق مواد العرض تؤثّر في آليات الاكتشاف والاستجابة لديك. إذا كانت لديك أنظمة كشف/منع التسلل قائمة، فسترغب في التفكير في أنواع الاختبارات التي تريد أن ينفّذها الباحثون في مجال الأمن. هل ستنشئ استثناءات لها للعثور على الثغرات الفعلية "خلف" أنظمة الدفاع الآلية هذه؟ إذا بدأ 10 باحثين جميعًا إجراء عمليات فحص للثغرات الأمنية على الأصول المواجهة خارجيًا في الساعة 2:00 صباحًا يوم السبت، هل سيصدر صوت المنبّهات لإيقاظ فريق الأمان؟ كيف يمكنك تحديد حركة الاختبار المشروعة من الباحثين في مجال الأمان مقابل الهجوم الحقيقي المحتمل على أنظمتك؟ هل تعرف كيف يمكنك الاستفادة من البيانات التي ينشئها الباحثون في مجال الأمان الذين يختبرون أنظمتك؟ إذا حاول باحث الأمان استخدام القوة الغاشمة لتخمين أسماء المستخدمين وكلمات المرور، فهل يمكنه حظر المستخدمين الحقيقيين؟ قبل بدء تشغيل VDP، يجب مراعاة كل هذه الجوانب. عليك التأكد من وضع توقعات واضحة لدى الباحثين في مجال الأمان في ما يتعلق بأنواع الاختبارات المقبولة وغير المقبولة وتحديد كيفية ضبط آليات الاكتشاف والاستجابة الحالية. سنتناول الفصل التالي بمزيد من التفاصيل حول كيفية التعامل مع هذا الأمر.
ثقافة الأمان
للثقافة داخل مؤسستك تأثير كبير على قدرتك على بدء الإصدار VDP الناجح والحفاظ عليه. من الجيد الرجوع إلى الوراء وفهم الأطراف المعنية الرئيسية التي ستحتاج إلى الشراء في هذه المبادرة، وعلاقتها الحالية مع فريق أمن المعلومات. استنادًا إلى مختلف الأطراف المعنية ذات الصلة وكيف تتوقع تعاملهم مع اقتراح بدء برنامج الكشف عن الثغرات الأمنية، ستحتاج إلى تحديد الأساليب والمواد لإقناعهم بالاشتراك في هذا المفهوم. من المحتمل أن يمنع أحد الأطراف المعنية الرئيسية غير المشتركين في برنامج VDP من البدء.