إنشاء VDP

تُعدّ سياسة البرنامج ضرورية لأيّ VDP ويجب إعدادها بعناية. إنّ سياسة البرنامج هي أول ما يراه الباحثون في مجال الأمان عند المشاركة في برنامج تطوير البرامج (VDP). فهو يحدد أسلوب البرنامج ويحدد التوقعات ويحدد التزامك بالباحثين الذين يختارون المشاركة.

كيفية إنشاء سياسة البرنامج واستضافتها

اتّبِع الإرشادات الواردة في ما يلي لصياغة سياسة البرنامج الخاصة بحساب مطوّر البرامج الخاص بك. تتكون سياسات البرنامج عادةً من صفحة واحدة إلى ثلاث صفحات وتشمل عادة المواضيع التالية:

  • وعد الباحثين
  • إرشادات بشأن إجراء الفحوصات
  • نطاق البرنامج

يجب أن تكون سياسة البرنامج متاحة لجميع الباحثين المحتملين. إذا كنت تخطّط لإطلاق VDP بشكل خاص لعدد قليل من الباحثين الذين تمت دعوتهم، يجب توفّر نوع من التحكّم في الوصول إلى سياسة البرنامج لجعله متاحًا للباحثين الذين دعوتهم، ولكن يقتصر على غيرهم. كما يحتاج الباحثون أيضًا إلى طريقة لإرسال التقارير، مثل نموذج ويب أو عنوان بريد إلكتروني بديل متصل بنظام حجز تذاكر لتتبع التقارير. ضع ذلك في الاعتبار أثناء إعداد موارد VDP عبر الإنترنت.

تقدّم منصّات الإفصاح عن الثغرات الأمنية التابعة لجهات خارجية ومكافآت المكافآت إمكانيات بشكل عام، مثل:

  • طريقة تتيح لك إنشاء سياسة وتعديلها ونشرها
  • عناصر التحكم في الوصول لإنشاء برنامج خاص
  • دعوة المخترقين تلقائيًا بوتيرة مريحة
  • وظائف البريد الوارد لتسهيل معالجة التقارير الواردة

وتوفّر منصّات الجهات الخارجية أيضًا مجموعة متنوّعة من الخدمات الاستشارية للمساعدة في تسهيل عملية إنشاء VDP وإطلاقها. تتوفر عادةً الأنظمة الأساسية للجهات الخارجية والخدمات الاستشارية بتكلفة. فكر في تكاليف وفوائد استخدام الجهات الخارجية مقابل إنشاء برنامجك وإدارته داخليًا لتحديد أفضل مسار لمؤسستك.

للحصول على مزيد من الإلهام بشأن ما يجب تضمينه في سياسة البرنامج، فاقرأ "A Framework for a Analvability Removals Program for Online أنظمة وزارة العدل الأمريكية.

الجهات المعنيّة بسياسات البرنامج

أثناء صياغة سياسة البرنامج، فكّر في كيفية العمل مع الجهات المعنية. قد تقدم فِرَق متعددة معلومات عن الاعتبارات الواجب مراعاتها في سياستك.

جهة معنيّة الاعتبارات
شؤون قانونية
  • تعاون مع الفريق القانوني لصياغة سياسة البرنامج والبنود التي يشارك فيها المخترقون.
  • ولا يتم تعويض الباحثين، لذلك ليس هناك سبب وجيه لخضوع أنفسهم لمتطلبات تأهيل شاملة أو مصطلحات مرهقة.
إيطاليا
  • يمكنك العمل مع فريق تكنولوجيا المعلومات للمساعدة في تطوير متطلبات الاختبار والنطاق، مثل عدم إنشاء شروط الخدمة.
هندسة
  • قد يكون للهندسة ملاحظات عن متطلبات الاختبار ونطاقه، بما في ذلك أنواع الثغرات الأمنية الأكثر أو الأقل إثارة للاهتمام.
PR
  • تعاوَن مع فريق العلاقات العامة لمراجعة نص السياسة المتعلّق بالإفصاح.
الأمان
  • وعادةً ما يقود فريق الأمان عملية إنشاء السياسة.
  • من المرجّح أن فريق الأمان سيتلقى تعليقات من المخترقين ويكرّر السياسة مع مرور الوقت مع الجهات المعنية الأخرى.

وعد الباحثين

ويوضح وعد الباحث التزامات المنظمة بالمشاركة في البحث الذين يتصرفون بحسن نية من خلال اتباع إرشادات الاختبار الموضحة في السياسة. على سبيل المثال، الالتزام بالاستجابة إلى جميع تقارير الأمان الواردة ضمن إطار زمني محدد، بالإضافة إلى اتّخاذ قرارات بشأن تقارير قبول الثغرات الأمنية وقبولها.

مثال:

<اسم المؤسسة> ملتزم بالعمل مع باحثين في مجال الأمان للمساعدة في تحديد الثغرات الأمنية في أنظمتنا وخدماتنا وإصلاحها. وطالما أنك تتصرف بحسن نية وتلتزم بالإرشادات الموضحة في هذه السياسة، سنبذل قصارى جهدنا للالتزام بما يلي:
  • تقديم رد أولي على تقرير الثغرات الأمنية لديك في غضون ثلاثة أيام عمل
  • يُرجى تحديد ما إذا كنا سنقبل (أو نعتزم إصلاحه) أو نرفض (يُرجى تحديد تقريرك على أنه مخاطر إيجابية أو مقبولة) الإبلاغ عن الثغرات الأمنية في غضون عشرة أيام عمل
  • اطّلِع على آخر الأخبار حول مدى التقدّم المحرز في معالجة التقارير التي نتلقاها منك

إنّ استخدام لغة قانون السلامة في سياسة البرنامج الخاصة بك يساعد في طمأنة الباحثين بأنّه لن يتم اتّخاذ أي إجراء قانوني ضد فِرق الاختبار الخاصة بك لأنّها تعمل بحسن نية وتلتزم بجميع الإرشادات الموضّحة في السياسة.

إرشادات بشأن إجراء الفحوصات

تصف إرشادات الاختبار اختبار الأمان الذي يقع في نطاق VDP، بالإضافة إلى الاختبار الذي لا يقع في نطاقه ويجب أن يتجنبه الباحثون. إذا كانت هناك أنواع معينة من الثغرات الأمنية التي تريد أن يركز عليها الباحثون، فإن هذا القسم مكان جيد لإلقاء الضوء عليها.

مثال:
عند إجراء اختبار الأمان، يُرجى الالتزام بالإرشادات التالية:

  • اختبِر حسابك وحساباتك فقط (مثل إنشاء حسابات اختبارية). إذا حدّدت ثغرة أمنية قد تؤدي إلى الوصول إلى بيانات مستخدمين آخرين، يُرجى التواصل معنا أولاً قبل إجراء المزيد من الاختبارات.
  • في حال وصولك بدون قصد إلى بيانات مستخدمين آخرين في اختبارك، يُرجى إعلامنا بدون تخزين أي من بيانات المستخدمين هذه.
  • لا تجري اختبارات تؤدي إلى رفض شروط الخدمة أو إلى تراجع خدمات الإنتاج.
  • إنّ الهندسة الاجتماعية خارج نطاق هذا البرنامج، لذا لا تحاول إجراء هندسة اجتماعية على مؤسستنا أو مستخدمينا.


نحن مهتمون بشكل خاص بالأنواع التالية من الثغرات الأمنية والآثار المترتبة على ذلك:

  • تنفيذ الرمز عن بُعد
  • XSS، ما يؤدي إلى الوصول إلى بيانات حسّاسة (مثل معلومات الجلسة)
  • إدخال SQL مما يؤدي إلى الدخول إلى بيانات أو وظائف حساسة
  • عيوب منطق العمل التي تؤدي إلى الوصول إلى البيانات الحساسة أو الوظائف


نحن أقل اهتمامًا بالأنواع التالية من الثغرات الأمنية، التي يُرجَّح أن يتم
رفضها كإيجابيات خاطئة أو مخاطر مقبولة:

  • نقص عنوان X-Frame-Options على الصفحات بدون وظائف مُغيِّرة للحالة
  • نتائج الفحص التلقائي التي لم يتم التحقّق منها
  • المشاكل التي لا يُحتمل أن تكون قابلة للاستغلال و/أو التي ليس لها أثر أمني حقيقي

النطاق

ويحدّد النطاق مواد العرض التي يمكن للباحثين اختبارها وفقًا لها، بالإضافة إلى مواد العرض التي لا يتم اعتبارها جزءًا من VDP. يجب مراعاة النطاق بعناية وأن يكون واسعًا قدر الإمكان بدون زيادة الحمل على فريقك. كلما زادت استعداداتك لوضعها في نطاقها، زاد احتمال تفاعلك مع الباحثين الأمنيين. ومع ذلك، لا تجعل النطاق واسعًا جدًا بحيث لا يتمكن فريقك من مواكبة التقارير الواردة. ابدأ ببعض مواد العرض في النطاق. توسيع النطاق للحصول على فكرة أفضل عن حجم التقرير الذي ستتلقاه. قبل إتاحة بيانات VDP للجمهور مع مرور الوقت، حاوِل أن يكون لديك كل المعلومات اللازمة.

في ما يتعلق بكيفية تحديد نطاقك ضمن سياسة البرنامج، فإن إضافة تفاصيل حول كل مادة عرض أو منطقة تساعد باحثي الأمان في معرفة ما يهمك ومكان تركيز جهودهم. يمكنك أيضًا تضمين نصائح حول كيفية الاختبار الآمن لمواد العرض. وفي ما يلي مثال لذلك:

مادة العرض mail.example.com
الوصف النطاق الأساسي للمستخدمين للوصول إلى بريدهم الإلكتروني.
الثغرات الأمنية والتأثيرات المثيرة للاهتمام
  • الثغرات الأمنية التي تؤدي إلى الوصول غير المصرح به إلى البريد الإلكتروني للمستخدمين الآخرين.
  • القدرة على حذف البريد الإلكتروني أو الحساب بالكامل لمستخدم آخر بشكل لا يمكن إصلاحه.
المشاكل التي يُحتمل رفضها
  • نظام التعرف على هوية المرسل (SPF)
  • التصيّد الاحتيالي أو المشكلات التي تسهّل التصيّد الاحتيالي
  • إمكانية إرسال مرفقات يحتمل أن تكون ضارة
إرشادات الاختبار لا تجري الاختبارات إلا على الحسابات التي تمتلكها أو لديك موافقة صريحة على الاختبار. عند إنشاء حسابات اختبارية، الرجاء تضمين "vdptest" في مكان ما في اسم المستخدم. يمكنك إنشاء حسابات تجريبية على mail.example.com/new.

وهذا تقسيم تفصيلي إلى حد ما. بدلاً من ذلك، يمكنك تضمين قائمة بسيطة بمواد العرض في النطاق وخارجه:

ضمن النطاق

  • mail.example.com
  • example.com

خارج النطاق

  • blog.example.com

تحديد مصدر VDP

يجب استخدام موارد معيّنة قبل إطلاق VDP. ستحتاج إلى موارد لـ:

  • مراجعة تقارير الثغرات الأمنية الواردة
  • التواصل مع المخترقين
  • العثور على مالكي مواد العرض والإبلاغ عن الأخطاء
  • إصلاح الأخطاء
  • إدارة الثغرات الأمنية / المتابعة عند إصلاح الخلل

العودة إلى الأطراف المعنية الأساسية

إذا لم يسبق لك إجراء محادثات مع الجهات المعنيّة الرئيسية التي ناقشتها سابقًا في مخطّط تطوير البرامج (VDP)، ننصحك بمراجعتها سابقًا للتأكّد من توافقها مع المخطّط الزمني لإطلاقها، بالإضافة إلى وضع قائمة انتظار للموارد اللازمة لعملية الإطلاق. على سبيل المثال، قد ترغب في العمل مع القيادة الهندسية للتأكد من أن فِرَقهم مستعدة للتدفق المُحتمَل لأخطاء الأمان خلال الأسابيع القليلة الأولى بعد الإطلاق. ضمن فريق الأمان في مؤسستك، تأكَّد من أنّ أنظمة الفرز في أنظمة الرصد والاستجابة على عِلم بتاريخ إطلاق VDP، وتأكّد من تخصيص المزيد من الوقت والموارد عند بدء الاختبار. ستحتاج أيضًا إلى تكوين فريق للمساعدة في دعم العمليات اليومية لـ VDP.

إنشاء فريق العمل

يتطلب تشغيل VDP قدرًا لا بأس به من العمل التشغيلي الذي يستند إلى المقاطعات. إذا حاولت مراجعة كل تقرير يتضمّن ثغرات أمنية والتحقّق منه فنيًا والاستجابة له، بالإضافة إلى الإبلاغ عن كل خطأ، وتتبُّع الحالات، ونقل التحديثات إلى الباحثين بنفسك، قد تُصاب بالإرهاق. حتى إذا لم يكن لديك فريق أمان كبير، يمكنك البحث عن متطوعين مهتمين بالأمان للمساعدة في بناء فريق للمساعدة في تشغيل مشروع VDP وتشغيله. ستظل بحاجة إلى "مالك" أو "قائد" محدد في VDP، ويكون مسؤولاً في النهاية عن نجاحه، ولكنك ستحتاج أيضًا إلى فريق لدعم ذلك القائد.

إنشاء جدول زمني أثناء العمل

بعد الحصول على الموارد ورغبتك في تقديم المساعدة بشأن VDP، ضع بعض البنية خلفه من خلال إعداد جدول زمني في الوقت المناسب. يمكنك إنشاء ذلك كيفما تشاء، إلا أن التدوير الأسبوعي هو إجراء شائع إلى حد ما. عندما تكون في الخدمة خلال الأسبوع، تقع على عاتقك مسؤولية:

  • Triage - مراجعة تقارير الثغرات الأمنية الواردة
    • التحقق من صحة التقرير من الناحية الفنية واتخاذ قرار "قبول" أو "رفض"
    • الإبلاغ عن قرارك إلى الهاكر الذي أبلغ عن المشكلة
    • إذا لزم الأمر، اطلب المزيد من المعلومات من المخترق إذا لم تتمكن من إعادة إظهار المشكلة
    • إذا كانت الثغرة الأمنية صالحة، يمكنك تقديم خطأ مخصص باستخدام المالك الصحيح
  • إدارة الثغرات الأمنية - دفع الثغرات الأمنية الحالية
  • التواصل - تقديم تحديثات لباحثي الأمان حول التقارير الحالية
    • قد يطلب الباحثون بشكل استباقي تحديثات حول التقارير الحالية، تحقق من ذلك ورد عليها حسب الحاجة
    • إذا تم إصلاح ثغرة أمنية، فأبلغ الباحث بذلك حتى يدرك أن عمله الجاد أدى إلى تغيير إيجابي في مؤسستك. ويمكنك أيضًا تضمين لغة نموذجية تطلب من الباحث أن يخبرك إذا فاتك أي شيء في الحل، أو إذا كان من الممكن تجاوز الحل في بعض الحالات.

واعتمادًا على عدد التقارير التي تتلقاها، ومدى تعقيد هذه التقارير، ومهارات ومهارات الأفراد أثناء العمل، يمكن أن تستغرق هذه المهمة وقتًا يتراوح بين بضع ساعات إلى أسبوع كامل. تتضمن النصائح لإجراء عملية التناوب بنجاح أثناء العمل:

  • تأكد من أن فريقك مستعد للتدخل والمساعدة في دعم مهام العمل خلال الأسابيع الثقيلة بشكل خاص.
  • احرص على إتمام عملية تسليم جيدة، وإذا كانت هناك مشاكل قد تتطلب من الشخص التالي أثناء العمل لفت انتباه الشخص مباشرةً، فدوّن بعض ملاحظات التسليم أو ناقش الأمر مباشرة في نهاية الأسبوع.
  • يمكنك إنشاء جدولة مبرمجة لضمان معرفة الجميع لأوقات عملهم. يمكن أن يتم ذلك بسهولة إنشاء إدخالات تقويم متكررة لكل فرد.
  • وتحقّق مع الشخص المناوب لا سيّما في بداية مخطّط تطوير البرامج (VDP) الخاص بك للتأكّد من أنّه يتذكّر أنّه أسبوعه، وأن يتحقّق ممّا إذا كان بحاجة إلى أيّ مساعدة. إذا كانت لديك موارد أكثر شئًا في عملية التناوب، فاحرص على الاستعانة بموارد أكبر للراشدين لضمان شعورهم بالارتياح وطرح أسئلة أثناء زيادة المستوى.
  • تمتع بعملية مرنة لتبديل الأسابيع. حتمًا سيواجه أحد الأشخاص حالة طارئة ويحتاج إلى أخذ إجازة خلال الأسبوع، أو أن يأخذ شخص ما إجازة، وما إلى ذلك. وعندما يحدث ذلك، شجع الفريق على تبديل الأسابيع حسب الحاجة لملاءمة الجداول الزمنية للجميع.
  • أنشئ "ورقة الملاحظات الموجزة" واجبة التحديد التي تحدد الواجبات التي يجب تغطيتها، بما في ذلك الوثائق حول كيفية القيام بذلك.

اختيار الفريق الداخلي مقابل الطرف الثالث

استندت معظم الإرشادات إلى الآن على كيفية إنشاء وتشغيل VDP داخل شركتك. تتوفّر مجموعة متنوعة من الخدمات الاستشارية والأنظمة الاستشارية التي يمكن أن تساعدك في إنشاء مشروع VDP وتشغيله. وعادةً ما تكون هذه الجهات الخارجية مزودة بتكلفة، ولكنها قد تكون مفيدة في توجيهك حول كيفية إنشاء VDP وإطلاقه وتشغيله. حتى أن بعض هذه الخدمات توفر خدمات فرز للمساعدة في مراجعة تقارير الثغرات الأمنية الواردة من أجلك، والمساعدة في التعامل مع المخترقين، وتصعيد التقارير الصالحة فقط إلى فريقك. يعتمد تحديد ما إذا كنت تنشئ هذه العملية داخليًا أو تستخدم نظامًا أساسيًا لجهة خارجية على متطلباتك والموارد المتاحة. إذا كانت ميزانيتك كبيرة ولكنك لا تملك كثيرًا من الموظفين، فإن الاستفادة من طرف ثالث للمساعدة في تشغيل برنامجك قد يكون مفيدًا. إذا كان الأمر عكس ذلك، فقد يكون من المفيد تخصيص بعض الوقت لبناء برنامجك بنفسك.

تلقي التقارير

إذا قررت استخدام نظام أساسي لجهة خارجية، فيجب أن يكون هناك وسيلة للمخترقين لإرسال تقارير إليك مباشرةً. إذا أنشأت برنامجًا في شركتك، فستحتاج إلى إنشاء ذلك بنفسك. يمكن أن يكون هذا عنوان بريد إلكتروني ينشئ تلقائيًا تذكرة أو خطأ في أداة تتبع المشكلات (على سبيل المثال security@example.com)، أو قد يكون نموذج ويب يتضمن حقول نماذج مطلوبة تم ربطها من صفحة برنامجك أو على الصفحة نفسها. مهما كان الشكل الذي تستخدمه، تعد هذه أفضل فرصة لإعلام المخترقين بالتنسيق الذي ترغب في تلقي تقاريرك به. تذكّر أن تطلب من المخترقين إرسال التقارير بتنسيق معيّن لا يضمنوا ذلك دائمًا، ولكن لا مانع من سؤالهم. في ما يلي مثال على ما قد تطلبه في نموذج إرسال التقرير:

العنوان: [يُرجى إضافة وصف من سطر واحد للمشكلة، مثل "XSS في mail.example.com
نتائج سرقة الجلسة"]

ملخص: [يُرجى إضافة وصف موجز للثغرة الأمنية وسبب الأهمية، على سبيل المثال، نظرًا لعدم وجود هروب، يمكنك إرسال رسالة إلكترونية إلى مستخدم آخر يحتوي على حمولة XSS التي تمكّن المهاجم من سرقة ملفات تعريف الارتباط لمستخدم آخر تحتوي على معلومات الجلسة. وهذا سيسمح للمهاجم بتسجيل الدخول إلى حساب الضحية.] خطوات إعادة الإنتاج: [يُرجى إضافة إرشادات تفصيلية عن كيفية إعادة إنتاج الثغرة الأمنية.]
1-
2-
3-

سيناريو الهجوم والأثر: [كيف يمكن استغلال ذلك؟ ما هو تأثير الأمان في هذه المشكلة على
؟] نصيحة إصلاحية: [اختياريًا، إذا كان لديك أي نصيحة بشأن كيفية إصلاح هذه المشكلة أو معالجتها، يمكنك إضافتها هنا.]