Come fai a sapere se è tutto pronto per avviare un programma di divulgazione delle vulnerabilità (VDP)? Prima di implementare una VDP, devi effettuare valutazioni importanti. Queste valutazioni aiutano a identificare le lacune nell'infrastruttura e a preparare il team per il flusso di segnalazioni di bug in arrivo. Una VDP implementata correttamente assicura un flusso costante di report. Se il tuo team non è pronto per il carico di lavoro aggiuntivo, il nuovo programma potrebbe avere un impatto negativo anziché migliorare la sicurezza. La valutazione del tuo programma di sicurezza per identificare e risolvere le lacune può migliorare notevolmente la tua capacità di gestire la velocità effettiva di una VDP. Rispondere prontamente alle vulnerabilità segnalate può migliorare il tuo rapporto con la community di pirateria informatica, con conseguente miglioramento del programma.
Ottimizzazione della sicurezza di base
Indipendentemente dalla maturità di sicurezza della tua organizzazione o dalle risorse disponibili, valutare lo stato della sicurezza attuale è il modo migliore per identificare le lacune. Di seguito parliamo dell'identificazione di potenziali lacune in aree chiave comunemente trascurate, tra cui la ricerca di bug, la correzione dei bug, l'analisi delle cause principali, il rilevamento e la risposta e la cultura della sicurezza.
Ricerca di bug
Durante la preparazione al lancio di una VDP, è importante valutare i metodi utilizzati dal team per identificare le vulnerabilità nel tuo ambiente. Nell'ambito della valutazione e della preparazione all'avvio di una VDP, è necessario compiere uno sforzo iniziale per individuare e correggere le vulnerabilità.
In caso contrario, si potrebbe verificare un picco enorme dei report sulle vulnerabilità all'avvio della VDP, con un potenziale sovraccarico del team. La configurazione di un processo di analisi delle vulnerabilità e di controllo della sicurezza di base consentirà alla tua organizzazione di stabilire processi solidi per la gestione dei problemi di sicurezza. Quando avvii la VDP, ti prepari al meglio per gestire i report sulle vulnerabilità in entrata.
Correggere i bug
Oltre a individuare le vulnerabilità, avrai bisogno di risorse e processi ben definiti per garantire che le vulnerabilità vengano risolte in modo tempestivo . Individuare semplicemente i bug non è sufficiente e la sicurezza migliora solo quando questi vengono corretti. Disponi di processi e risorse per la gestione delle vulnerabilità? Com'è la cultura della tua organizzazione in materia di sicurezza? Il team di sicurezza è percepito come degli scettici, degli ostacoli e della spina nel lato dell'ingegneria? Oppure sei considerato un partner collaborativo? Come dare priorità alla correzione delle vulnerabilità? Hai una nomenclatura comune e conosci la gravità e le tempistiche delle riparazioni? Quanto è facile o difficile trovare un proprietario che risolva una vulnerabilità identificata? Monitori le metriche relative alle vulnerabilità identificate, incluso il tempo di correzione? La tua organizzazione dispone di un inventario degli asset o è un sogno lontano del futuro? Ancora una volta, se ti senti piuttosto a tuo agio e sai come garantire che i bug gravi vengano risolti tempestivamente, hai un solido rapporto con i team e gli individui responsabili della correzione delle vulnerabilità e disponi di risorse per elaborare senza problemi i flussi di bug di sicurezza in arrivo, sei sulla buona strada. In caso contrario, forniremo indicazioni su come implementare un programma di gestione delle vulnerabilità efficace nel prossimo capitolo. In entrambi i casi, dovrai adottare solide pratiche di gestione delle vulnerabilità per poter gestire il nuovo flusso di bug che riceverai dalla VDP, assicurandoti di poter rispondere e risolvere le vulnerabilità identificate in modo tempestivo.
Analisi delle cause principali
Oltre al lavoro operativo di ricerca e correzione dei bug una tantum, stai eseguendo l'analisi delle cause principali (RCA) dei problemi e identificando le cause sistemiche dell'introduzione delle vulnerabilità nel tuo ambiente? È fantastico essere in grado di trovare e correggere rapidamente i bug. Tuttavia, quando si tratta di eseguire una VDP con esito positivo, dovrai essere in grado di determinare innanzitutto come vengono visualizzati questi bug. Può assumere diverse forme, ad esempio:
- Identificare come è stata introdotta una vulnerabilità di sicurezza delle applicazioni.
- Gli sviluppatori utilizzano librerie e framework comuni che riducono il rischio di introduzione di vulnerabilità?
- Analisi dei dati e identificazione delle tendenze.
- Hai notato che all'infrastruttura gestita da un determinato team non mai è stata applicata una patch con aggiornamenti della sicurezza?
- Incidenti di sicurezza o violazioni.
- Svolgere una verifica post mortem con tutte le parti correlate per capire cosa è successo e perché, e imparare da queste informazioni in modo da non commettere gli stessi errori in futuro.
Senza eseguire l'RCA, si può sprecare un notevole impegno nell'elaborazione di numerose segnalazioni di bug simili dalla VDP. Se in futuro avvii un programma a premi per la vulnerabilità, la mancanza di RCA avrà anche un impatto finanziario sulla tua organizzazione. Nel prossimo capitolo vedremo consigli più specifici su come implementare i processi RCA e una cultura post mortem.
Rilevamento e risposta
Invitare ricercatori esterni ad hackerare i tuoi asset influirà sui tuoi meccanismi di rilevamento e risposta. Se disponi di sistemi di rilevamento/prevenzione delle intrusioni, dovrai considerare quali tipi di test vorresti che i ricercatori di sicurezza eseguano. Creerai delle eccezioni per consentire loro di trovare vulnerabilità "dietro" questi sistemi di difesa automatizzati? Se dieci ricercatori iniziano tutti a eseguire analisi delle vulnerabilità sulle tue risorse rivolte all'esterno alle 02:00 di sabato, gli allarmi si attivano per svegliare il tuo team di sicurezza? Come viene identificato il traffico di test legittimo da parte dei ricercatori di sicurezza rispetto a un potenziale attacco reale ai vostri sistemi? Sai come sfruttare i dati generati dai ricercatori che eseguono i test sui tuoi sistemi? Se un ricercatore nel campo della sicurezza provasse a indovinare i nomi utente e le password mediante attacco di forza bruta, potrebbe bloccare gli utenti veri? Prima di avviare una VDP, è opportuno considerare tutti questi aspetti. Devi assicurarti di aver definito aspettative chiare con i ricercatori della sicurezza in termini di tipi di test e determinare come configurare i meccanismi di rilevamento e risposta esistenti. Nel prossimo capitolo vedremo nel dettaglio come fare.
Cultura della sicurezza
La cultura all'interno della tua organizzazione ha un enorme impatto sulla tua capacità di avviare e gestire una VDP di successo. È opportuno fare un passo indietro e capire chi sono i principali stakeholder che dovranno partecipare a questa iniziativa e qual è la loro relazione esistente con il team per la sicurezza delle informazioni. In base ai vari stakeholder interessati e a come prevedi che gestiscano una proposta di avvio di un programma di divulgazione delle vulnerabilità, dovrai identificare metodi e materiali per convincerli ad accettare questo concetto. Uno stakeholder chiave che non parteciperà potrebbe potenzialmente impedire l'avvio di una VDP.