如何判断您是否已准备好启动漏洞披露计划 (VDP)?在实施 VDP 之前,您需要进行一些重要的评估。这些评估有助于发现基础架构中的不足,让团队为收到的 bug 报告流程做好准备。正确实施的 VDP 可以带来稳定的报告流。如果您的团队尚未准备好应对额外的工作负载,则新计划可能会产生负面影响,而不是提高安全性。评估您的安全计划以发现并弥补不足,这对提高您处理 VDP 吞吐量的能力大有帮助。及时响应报告的漏洞可以改善您与黑客社区的关系,从而实现更健康的计划。
基本的安全措施
无论组织的安全成熟度或可用资源如何,评估当前的安全状况都是发现问题的最佳方式。下面我们将讨论识别容易被忽视的关键领域中的潜在漏洞,包括发现 bug、修复 bug、分析根本原因、检测和响应以及安全文化。
查找 bug
在准备发布 VDP 时,请务必评估您的团队用于识别环境中的漏洞的方法。作为启动 VDP 的评估和准备的一部分,应首先着手查找并修复漏洞。
否则,可能会导致在 VDP 发布时大量漏洞报告激增,进而导致您的团队不堪重负。通过设置基本的漏洞扫描和安全审核流程,您的组织可以建立可靠的安全问题处理流程。启动 VDP 后,您就能为处理收到的漏洞报告做好更充分的准备。
修复 bug
除了发现漏洞之外,您还需要明确定义的流程和资源,以确保及时修复漏洞。仅仅找出 bug 还不够,只有在 bug 得到修复后,安全性才会提高。您是否有用于漏洞管理的流程和资源?您的组织内的安全文化是什么样的?安全团队是否被视为工程师的反对者、阻碍者或障碍?还是认为您是我们的合作伙伴?你们如何确定漏洞修复的优先级?您是否对严重程度和修复时间表有通用的命名法和了解?找到所有者修复已确定的漏洞的难易程度如何?您是否跟踪与发现的漏洞相关的指标(包括修复时间)?您的组织是否有资产清单,还是遥远的未来梦想?同样,如果您觉得这方面还不错,并且能够很好地确保严重的 bug 得到及时修复,与负责修复漏洞的团队和个人保持牢固的关系,并且拥有适当的资源来顺畅处理传入的安全 bug,那么您就很有方向性了。如果没有,我们将在下一章中提供有关如何成功实施漏洞管理计划的指导。无论是哪种情况,您都需要实施可靠的漏洞管理做法,以便处理 VDP 提供的新 bug,确保能够及时响应和解决发现的漏洞。
根本原因分析
除了发现并修复一次性 bug 的运营工作之外,您是否还对问题进行根本原因分析 (RCA),并找出导致漏洞引入您环境中的系统性原因?能够快速查找和修复 bug 真是太棒了。不过,若要顺利开展 VDP,您需要能够从一开始就确定这些 bug 是如何出现的。这些类型可以有多种形式,例如:
- 确定应用安全漏洞是如何引入的。
- 开发者是否使用可降低引入漏洞风险的通用库和框架?
- 分析数据并确定趋势。
- 您是否注意到,由特定团队管理的基础架构从未进行安全更新修补?
- 安全事件或数据泄露。
- 与所有相关方一起进行事后分析,分析发生的情况和原因,并从中学习,以免将来犯同样的错误。
如果不执行 RCA,在处理 VDP 提供的大量类似 bug 报告时可能就会白白浪费大量精力。如果您日后启动漏洞奖励计划,缺少 RCA 也会对您的组织造成财务影响。我们将在下一章中深入介绍如何实现 RCA 流程和事后分析文化。
检测和响应
邀请外部研究人员入侵您的资产会影响您的检测和响应机制。如果您部署了入侵检测/防御系统,则需要考虑您希望安全研究人员进行哪些类型的测试。你们是否会创建例外情况,让他们在这些自动化防御系统“背后”发现漏洞?如果 10 名研究人员都于周六凌晨 2:00 开始对您面向外部的资产运行漏洞扫描,警报会唤醒您的安全团队吗?如何识别来自安全研究人员的合法测试流量与针对您系统的潜在真实攻击?您是否知道如何利用安全研究人员针对您的系统进行测试而生成的数据?如果安全研究人员试图暴力猜测用户名和密码,他们能否锁定真实用户?在启动 VDP 之前,您需要考虑以下所有方面。您需要确保就哪些类型的测试可以和不可以向安全研究人员提出明确的预期,并确定如何配置您的现有检测和响应机制。下一章将更详细地介绍如何实现这一目的。
安全文化
您组织内的文化对您启动和维护成功的 VDP 的能力有着巨大的影响。不妨退一步,了解需要接受该计划的主要利益相关方是谁,以及他们与信息安全团队的现有关系是什么。根据各个利益相关方以及您预计他们会如何处理启动漏洞披露计划的方案,您需要找到方法来说服他们认同这一概念。一个不参与的关键利益相关方可能会阻碍 VDP 启动。