وتُعد سياسة البرنامج ضرورية لأي VDP ويجب صياغتها بعناية. إن سياسة البرنامج هي أول ما يراه الباحثون في مجال الأمان عند المشاركة في VDP. حيث يحدد مسار البرنامج ويحدد التوقعات ويحدد التزامك للباحثين الذين يختارون المشاركة.
كيفية إنشاء سياسة البرنامج واستضافتها
اتّبِع الإرشادات الواردة أدناه لصياغة سياسة البرنامج الخاصة بحساب VDP. تتألف سياسات البرنامج عادةً من صفحة أو 3 صفحات فقط وتشمل المواضيع التالية:
- وعد الباحث
- إرشادات بشأن إجراء الفحوصات
- نطاق البرنامج
ينبغي أن تكون سياسة البرنامج متاحة لجميع الباحثين المحتملين. إذا كنت تخطط لإطلاق VDP بشكل خاص لعدد قليل من الباحثين المدعوين، تحتاج سياسة البرنامج إلى نوع من التحكم في الوصول لإتاحتها للباحثين الذين دعوتهم، ولكنها مقتصرة على أي شخص آخر. يحتاج الباحثون أيضًا إلى طريقة لإرسال التقارير، مثل نموذج ويب أو عنوان بريد إلكتروني بديل متصل بنظام تذاكر لتتبع التقارير. ضع في اعتبارك ذلك أثناء إعداد موارد VDP عبر الإنترنت.
عادةً ما توفّر منصات الإفصاح عن الثغرات الأمنية من طرف ثالث والمكافآت التي تقدّم مكافآت بالأخطاء، إمكانات مثل:
- إحدى الطرق لإنشاء سياسة وتعديلها ونشرها
- عناصر تحكّم لإنشاء برنامج خاص
- دعوة المخترقين تلقائيًا بوتيرة مريحة
- وظيفة البريد الوارد لتسهيل معالجة التقارير الواردة
وتوفّر المنصات التابعة لجهات خارجية أيضًا مجموعة متنوعة من الخدمات الاستشارية للمساعدة في تسهيل عملية إنشاء VDP وإطلاقه. عادةً ما تكون المنصات والخدمات الاستشارية التابعة لجهات خارجية مقابل تكلفة. ضع في اعتبارك تكاليف وفوائد استخدام طرف ثالث مقابل إنشاء برنامجك وإدارته داخليًا لتحديد أفضل مسار لمؤسستك.
للحصول على أفكار إضافية حول ما يجب تضمينه في سياسة برنامجك، يُرجى الاطّلاع على "إطار عمل لبرنامج الكشف عن الثغرات الأمنية للأنظمة على الإنترنت " الصادر عن وزارة العدل الأمريكية".
الجهات المعنيّة في سياسة البرنامج
عند صياغة سياسة البرنامج، فكّر في كيفية العمل مع الأطراف المعنية. قد تقدم فرق مختلفة مدخلات بشأن الاعتبارات لتضمينها في سياستك.
| المساهم | الاعتبارات |
|---|---|
| شؤون قانونية |
|
| إيطاليا |
|
| هندسة |
|
| PR |
|
| الأمان |
|
وعد الباحث
وعد الباحث يشرح التزامات المؤسسة للباحثين المشاركين الذين يتصرفون بحسن نية من خلال اتباع إرشادات الاختبار الموضحة في السياسة. على سبيل المثال، الالتزام بالرد على جميع تقارير الأمان الواردة خلال إطار زمني محدد، بالإضافة إلى الإعلام بالقرارات المتعلقة بقبول تقارير الثغرات الأمنية وإصلاحها.
مثال:
تلتزم<اسم مؤسستك> بالعمل مع الباحثين في مجال الأمان للمساعدة في تحديد الثغرات الأمنية وإصلاحها في أنظمتنا وخدماتنا. سنبذل قصارى جهدنا للالتزام بما يلي، طالما أنك تتصرف بحسن نية وتلتزم بالإرشادات الموضّحة في هذه السياسة:- تقديم رد مبدئي لتقريرك بشأن الثغرات الأمنية خلال ثلاثة أيام عمل
- تحديد ما إذا كنا سنقبل (نعتزم إصلاح البلاغ) أو نرفضه (حدد ما إذا كان الإبلاغ عن وجود خطر خاطئ أو مقبول) أو سنرفضه خلال عشرة أيام عمل
- يمكنك البقاء على اطّلاع على آخر المعلومات حول حلّ المشاكل في التقارير التي نقبلها منك.
يساعد اعتماد صياغة الملاذ الآمن في سياسة برنامجك على طمأنة الباحثين بأنه لن يتم اتخاذ إجراء قانوني ضدهم عند اختبار أنظمتك، طالما أنها تتصرف بحسن نية وتتّبع جميع الإرشادات الموضّحة في السياسة.
إرشادات بشأن إجراء الفحوصات
تصف إرشادات الاختبار اختبار الأمان الذي يدخل في نطاق VDP، بالإضافة إلى الاختبار الذي ليس في النطاق ويجب على الباحثين تجنبه. إذا كانت هناك أنواع محددة من الثغرات الأمنية التي ترغب في أن يركز الباحثون عليها، فهذا القسم هو مكان جيد لتسليط الضوء عليها.
مثال:
عند إجراء اختبار الأمان، يُرجى الالتزام بالإرشادات التالية:
- الاختبار فقط مقارنةً بحساباتك وبياناتك الخاصة (مثل إنشاء حسابات اختبارية) وفي حال رصدت ثغرة قد تؤدي إلى الوصول إلى بيانات مستخدمين آخرين، يُرجى التواصل معنا أولاً قبل إجراء المزيد من الاختبارات.
- في حال الوصول عن غير قصد إلى بيانات مستخدمين آخرين في الاختبار، يُرجى إخبارنا بذلك وعدم تخزين أي من بيانات المستخدمين هذه.
- يُرجى عدم إجراء اختبارات تؤدي إلى شروط الحرمان من الخدمة أو تدهور خدمات الإنتاج.
- الهندسة الاجتماعية خارج نطاق هذا البرنامج، لذا يُرجى عدم محاولة إجراء هندسة اجتماعية لمؤسستنا أو مستخدمينا.
نهتم بشكل خاص بالأنواع التالية من الثغرات والتأثيرات:
- تنفيذ الرمز عن بُعد
- بروتوكول XSS يؤدي إلى الوصول إلى بيانات حساسة (مثل معلومات الجلسة)
- إدخال لغة الاستعلامات البنيوية (SQL) يؤدي إلى الوصول إلى بيانات حساسة أو وظائف
- عيوب منطق الأعمال التي تؤدي إلى الوصول إلى بيانات حساسة أو وظائف معيّنة
نحن أقل اهتمامًا بالأنواع التالية من الثغرات الأمنية التي
يزيد احتمال رفضها
كنتائج إيجابية كاذبة أو كمخاطر مقبولة:
- عدم وجود عنوان X-Frame-Options على الصفحات التي لا تحتوي على وظيفة تغير الحالة
- نتائج الماسح الضوئي التلقائي التي لم يتم التحقّق منها
- المشاكل التي من غير المرجّح أن تكون قابلة للاستغلال و/أو التي ليس لها تأثير أمان واقعي
النطاق
يحدد النطاق مواد العرض التي يمكن للباحثين اختبارها، وكذلك الأصول التي لا تُعتبر جزءًا من VDP. يجب أن يتم التفكير في النطاق بعناية وأن يكون واسعًا قدر الإمكان دون تحميل فريقك عبئًا زائدًا. وكلما زاد استعدادك لاستخدام هذا البرنامج، زادت فرصة حصولك على دعم من الباحثين في مجال الأمن. ومع ذلك، لا تجعل النطاق واسعًا جدًا لدرجة أن فريقك لن يتمكن من مواكبة التقارير الواردة. ابدأ ببعض مواد العرض في النطاق. قم بتوسيع النطاق عندما تحصل على فكرة أفضل عن حجم التقارير الذي ستتلقاه. قبل إتاحة VDP للجمهور بمرور الوقت، ركِّز على أن يكون كل شيء في النطاق.
بخصوص كيفية تحديد نطاقك ضمن سياسة البرنامج، إنّ إضافة تفاصيل حول كل مادة عرض أو منطقة ستساعد الباحثين في مجال الأمان على معرفة ما هو مهم بالنسبة إليك وأين يجب تركيز جهودهم. يمكنك أيضًا تضمين نصائح حول كيفية إجراء اختبار آمن وفقًا لمواد العرض. وفي ما يلي مثال لذلك:
| مادة العرض | mail.example.com |
|---|---|
| الوصف | النطاق الأساسي للمستخدمين للوصول إلى بريدهم الإلكتروني. |
| الثغرات الأمنية والتأثيرات المثيرة للاهتمام |
|
| المشاكل التي من المرجح رفضها |
|
| إرشادات الاختبار | ولا تُجري الاختبار إلا على الحسابات التي تملكها أو التي تحصل على موافقة صريحة لإجراء الاختبار وفقًا لها. عند إنشاء حسابات اختبارية، يرجى تضمين "vdptest" في مكان ما في اسم المستخدم. يمكنك إنشاء حسابات تجريبية على mail.example.com/new. |
هذا تحليل تفصيلي إلى حد ما. يمكنك بدلاً من ذلك تضمين قائمة بسيطة بأصول ضمن النطاق وخارجه:
داخل النطاق
- mail.example.com
- example.com
خارج النطاق
- blog.example.com
توفير مصدر VDP
ستحتاج إلى توفّر موارد معيّنة قبل إطلاق VDP. ستحتاج إلى موارد لما يلي:
- مراجعة التقارير الواردة بشأن الثغرات الأمنية
- التواصل مع المخترقين
- البحث عن مالكي مواد العرض وتقديم الأخطاء
- إصلاح الأخطاء
- إدارة الثغرات الأمنية / المتابعة بشأن إصلاحها
مراجعة الأطراف المعنية الرئيسية
إذا لم يسبق لك إجراء ذلك، أعِد النظر في المحادثات مع الأطراف المعنية الرئيسيين الذين ناقشت معهم سابقًا VDP للتأكّد من توافقها مع المخطط الزمني لإطلاق VDP، بالإضافة إلى إضافة أي موارد ضرورية إلى قائمة الانتظار للإطلاق. على سبيل المثال، قد ترغب في العمل مع القيادة الهندسية لضمان استعداد فرقهم لمواجهة أي عدد محتمل من أخطاء الأمان للعمل عليها خلال الأسابيع القليلة الأولى بعد الإطلاق. ضِمن فريق الأمان في مؤسستك، تأكَّد من أنّ تنبيهات فرز التنبيهات في أنظمة الكشف والاستجابة على علم بتاريخ إطلاق VDP، وفكِّر في تخصيص المزيد من الوقت والموارد عند بدء الاختبار. ستحتاج أيضًا إلى تكوين فريق للمساعدة في دعم العمليات اليومية لـ VDP.
إنشاء فريق العمل
يتطلب تشغيل VDP قدرًا لا بأس به من العمل التشغيلي الذي يعتمد على المقاطعة. إذا حاولت مراجعة كل تقرير ثغرة أمنية يأتي إليك والتحقق منه تقنيًا والرد عليه، بالإضافة إلى الإبلاغ عن كل خطأ، وتتبع الحالات، وإبلاغ الباحثين بنفسك بالتحديثات بنفسك، فقد يكون لديك شعور بالإرهاق. حتى إذا لم يكن لديك فريق أمان كبير، يمكنك البحث عن متطوعين يهمّهم الأمان للمساعدة في بناء فريق للمساعدة في تشغيل VDP وتشغيله. ستظل بحاجة إلى "مالك" أو "قائد" لـ VDP يكون مسؤولاً في النهاية عن نجاحه، ولكنك ستحتاج أيضًا إلى فريق لدعم هذا القائد.
وضع جدول زمني لإنجاز المهام
بعد حصولك على الموارد والاستعداد للمساعدة في VDP، يمكنك وضع هيكلٍ خلفه من خلال إعداد جدول زمني أثناء العمل. يمكنك إنشاء هذا كيفما شئت، ولكن التناوب الأسبوعي هو ممارسة شائعة إلى حد ما. عندما تكون في الخدمة لمدة الأسبوع، تقع على عاتقك مسئولية:
- Triage - مراجعة التقارير الواردة بشأن الثغرات الأمنية
- إدارة الثغرات الأمنية - معالجة الثغرات الأمنية الحالية
- راجِع الأخطاء التي تم الإبلاغ عنها خلال الأسابيع السابقة للتأكّد من أنّ عملية إصلاح الأخطاء تتم استنادًا إلى معايير الخطورة والمخططات الزمنية للإصلاح.
- استخدِم النصائح من العثور على المالكين لإقناعهم بالعمل على حلّ هذه الأخطاء.
- التواصل - تقديم آخر المعلومات للباحثين الأمنيين عن
التقارير الحالية
- قد يطلب الباحثون بشكل استباقي تحديثات على التقارير الحالية؛ تحقق من ذلك والرد حسب الحاجة
- إذا تم إصلاح الثغرة الأمنية، فأبلغ الباحث بذلك حتى يعرف أن عمله الجاد قد أدى إلى تغيير إيجابي في مؤسستك. يمكنك حتى تضمين لغة قالب تطلب من الباحث إخبارك بما إذا فاتتك أي شيء في الإصلاح، أو ما إذا كان يمكن تجاوز الإصلاح بطريقة ما.
واعتمادًا على عدد التقارير التي تتلقاها ومدى تعقيد هذه التقارير ومهارات ومعرفة الفرد المتعاقد، قد يستغرق العمل في أي مكان من بضع ساعات إلى أسبوع كامل. تشمل النصائح للتناوب الناجح أثناء العمل ما يلي:
- تأكد من أن فريقك جاهز للتدخل والمساعدة في دعم العمل في الأسابيع الثقيلة للغاية.
- قم بتنفيذ عملية تسليم جيدة؛ إذا كانت هناك مشكلات قد تتطلب اهتمامًا فوريًا من الشخص التالي المجدول، فاكتب بعض ملاحظات التسليم أو قم بإجراء محادثة مباشرة في نهاية الأسبوع.
- يمكنك إنشاء جدول زمني مُبرمَج للتأكّد من معرفة الجميع بمواعيد العمل. يمكن أن يكون ذلك بسيطًا مثل إنشاء إدخالات تقويم متكررة لكل فرد.
- خاصة مع بداية VDP، تحقق جيدًا مع الشخص الموك للتأكد من أنه يتذكر أنه أسبوعه، وكذلك لمعرفة ما إذا كان بحاجة إلى أي مساعدة. إذا كان لديك المزيد من الموارد المبتدئة في هذا التناوب، فاحرص على عمل موارد أكثر الكبار معهم للتأكد من شعورهم بالراحة وقدرتهم على طرح الأسئلة أثناء زيادة نشاطهم.
- تمتع بعملية مرنة للتبديل بين الأسابيع. حتمًا سيكون لدى شخص ما حالة طارئة ويحتاج إلى أخذ إجازة خلال الأسبوع، أو سيأخذ شخص إجازة، وما إلى ذلك. عندما يحدث ذلك، شجع الفريق على تبادل الأسابيع حسب الحاجة لاستيعاب الجداول الزمنية للجميع.
- أنشئ "ورقة معلومات مرجعية" أثناء الواجب تحدد الواجبات التي يجب تناولها، بما في ذلك الوثائق حول كيفية القيام بذلك.
اختيار الطرف الثالث أو الطرف الثالث
اعتمدت معظم الإرشادات حتى الآن على إنشاء VDP وإدارته داخليًا. هناك مجموعة متنوعة من الخدمات الاستشارية والأنظمة الأساسية المتاحة التي يمكن أن تساعدك في إنشاء VDP وتشغيله. عادةً ما تكون هذه الجهات الخارجية مكلّفة، إلا أنها قد تكون مفيدة في إرشادك حول كيفية إنشاء VDP وإطلاقه وتشغيله. حتى أن بعضها يقدم خدمات الفرز للمساعدة في مراجعة البلاغات الواردة بشأن الثغرات الأمنية، والمساعدة في التعامل مع المخترِقين، وتصعيد التقارير الصالحة فقط إلى فريقك. ويعتمد تحديد ما إذا كنت ستنشئ هذه العملية داخليًا أو تستخدم منصة تابعة لجهة خارجية على متطلباتك ومواردك المتاحة. إذا كانت لديك ميزانية كبيرة ولكن ليس لديها الكثير من عدد الأشخاص، فإن الاستعانة بجهة خارجية للمساعدة في إدارة برنامجك قد يكون منطقيًا. أما إذا كان العكس هو الصحيح، فقد يكون من المفيد تخصيص الوقت لبناء برنامجك بنفسك.
تلقّي التقارير
إذا قررت استخدام نظام أساسي تابع لجهة خارجية، يجب أن يوفر وسيلة للمخترقين لإرسال التقارير إليك مباشرةً. إذا قمت ببناء برنامجك داخليًا، فستحتاج إلى إنشاء هذا بنفسك. قد يكون هذا عنوان بريد إلكتروني ينشئ تلقائيًا طلب دعم أو خطأً في أداة تتبُّع المشاكل (مثل security@example.com)، أو قد يكون نموذج ويب يتضمّن حقولاً مطلوبة، وقد يكون لهذه الصفحة رابط يؤدي إلى صفحة سياسة البرنامج أو في الصفحة نفسها. وأيًا كان الشكل الذي ستتخذه، هذه هي أفضل فرصة لإبلاغ المخترقين بالتنسيق الذي تريد تلقي تقاريرك به. ضع في اعتبارك أن مطالبة المخترقين بإرسال التقارير بتنسيق معين لا يضمن دائمًا ذلك، إلا أنّه سيكون من المستحيل أن تطلب ذلك. فيما يلي مثال على ما قد تطلبه في نموذج إرسال تقرير:
العنوان: [يُرجى إضافة وصف للمشكلة من سطر واحد، مثل "XSS في
mail.example.com
نتائج في سرقة الجلسة"]
1-
2.
3.
سيناريو الهجوم وتأثيره: [كيف يمكن استغلال ذلك؟ ما هو تأثير
الأمان الذي تنطوي عليه
المشكلة هذه؟]
نصائح حول حلّ المشكلة: [إذا كانت لديك أي نصيحة حول كيفية إصلاح هذه المشكلة أو حلّها، يمكنك إضافتها هنا.]