किसी भी वीडीपी के लिए कार्यक्रम की नीति ज़रूरी है और इसे सावधानी से तैयार किया जाना चाहिए. वीडीपी में हिस्सा लेने पर सुरक्षा से जुड़े रिसर्चर को सबसे पहले इस कार्यक्रम की नीति के बारे में पता चलता है. यह प्रोग्राम के लिए टोन सेट करता है, उम्मीदों के बारे में बताता है, और इसमें हिस्सा लेने वाले रिसर्चर के प्रति आपकी प्रतिबद्धता को परिभाषित करता है.
कार्यक्रम की नीति बनाने और उसे होस्ट करने का तरीका
नीचे दिए गए दिशा-निर्देशों का इस्तेमाल करके, अपने वीडीपी के लिए प्रोग्राम की नीति बनाएं. आम तौर पर, कार्यक्रम की नीतियों में सिर्फ़ एक से तीन पेज होते हैं और इनमें आम तौर पर ये विषय शामिल होते हैं:
- रिसर्चर का वादा
- जांच के दिशा-निर्देश
- प्रोग्राम का स्कोप
कार्यक्रम की नीति सभी संभावित शोधकर्ताओं के लिए उपलब्ध होनी चाहिए. अगर आपने वीडीपी को निजी तौर पर सिर्फ़ कुछ रिसर्चर को लॉन्च करने का प्लान बनाया है, तो इस प्रोग्राम की नीति के तहत ऐक्सेस कंट्रोल की ज़रूरत होगी, ताकि इसे उन रिसर्चर को उपलब्ध कराया जा सके जिन्हें आपने न्योता भेजा है. हालांकि, ऐसा करना बाकी सभी के लिए उपलब्ध होगा. रिपोर्ट ट्रैक करने के लिए, रिसर्चर को रिपोर्ट सबमिट करने के लिए भी एक तरीका चुनना होगा. जैसे, वेब फ़ॉर्म या टिकट सिस्टम से जुड़ा ईमेल उपनाम. वीडीपी के ऑनलाइन संसाधनों को सेट अप करते समय इस पर ध्यान दें.
तीसरे पक्ष के जोखिम की जानकारी ज़ाहिर करने और बग बाउंटी प्लैटफ़ॉर्म में आम तौर पर ये क्षमताएं मिलती हैं, जैसे:
- नीति बनाने, उसमें बदलाव करने, और उसे पब्लिश करने का तरीका
- निजी प्रोग्राम बनाने के लिए, कंट्रोल को ऐक्सेस करना
- हैकर को अपने-आप न्योता भेजना
- आने वाली रिपोर्ट को प्रोसेस करने के लिए इनबॉक्स की सुविधा
तीसरे पक्ष के प्लैटफ़ॉर्म भी कई तरह की सलाह देते हैं, ताकि वीडीपी बनाने और लॉन्च करने की प्रोसेस को आसान बनाया जा सके. आम तौर पर, तीसरे पक्ष के प्लैटफ़ॉर्म और सलाह देने वाली सेवाओं के लिए पैसे देने पड़ते हैं. अपने संगठन की ज़रूरतों को पूरा करने के लिए, अपने प्रोग्राम को बनाने और मैनेज करने के बजाय, तीसरे पक्ष की सेवाओं को बनाने और मैनेज करने की लागत और फ़ायदों को ध्यान में रखें.
अपने कार्यक्रम की नीति में क्या शामिल करें, इस बारे में ज़्यादा जानने के लिए अमेरिका के डिपार्टमेंट ऑफ़ जस्टिस का "ऑनलाइन सिस्टम के लिए जोखिम की आशंका ज़ाहिर करने वाले प्रोग्राम के लिए फ़्रेमवर्क" पढ़ें.
कार्यक्रम की नीति में हिस्सेदार
कार्यक्रम की नीति बनाते समय, इस बात पर ध्यान दें कि अपने हिस्सेदारों के साथ मिलकर कैसे काम किया जा सकता है. कई टीमें अपनी नीति को बेहतर बनाने के लिए, उन बातों पर राय दे सकती हैं.
| स्टेकहोल्डर | इन बातों पर ध्यान दें |
|---|---|
| Legal |
|
| इटली |
|
| इंजीनियरिंग टीम |
|
| PR |
|
| सुरक्षा |
|
रिसर्चर का वादा
रिसर्चर ने वादा किया है कि इसमें प्रोग्राम में हिस्सा लेने वाले रिसर्चर को लेकर, संगठन की प्रतिबद्धता के बारे में बताया गया है. ये रिसर्चर, नीति में बताए गए टेस्टिंग के दिशा-निर्देशों का पालन करके अच्छी भावना से काम करते हैं. उदाहरण के लिए, सभी आने वाली सुरक्षा रिपोर्ट का एक खास समयसीमा के अंदर जवाब देने की प्रतिबद्धता. साथ ही, इनसे जुड़े फ़ैसलों को लोगों को बताना कि किन जोखिमों की रिपोर्ट को स्वीकार किया जाता है और उन्हें ठीक किया जाता है.
उदाहरण:
<आपके संगठन का नाम> सुरक्षा शोधकर्ताओं के साथ काम करने के लिए प्रतिबद्ध है, ताकि हमारे सिस्टम और सेवाओं में जोखिम की आशंकाओं की पहचान करके उन्हें ठीक किया जा सके. अगर आप अच्छी भावना रखते हुए इस नीति में बताए गए दिशा-निर्देशों का पालन करते हैं, तो हम इन बातों पर भरोसा करने की पूरी कोशिश करेंगे:- तीन कामकाजी दिनों के अंदर अपनी जोखिम की आशंका की रिपोर्ट का शुरुआती जवाब दें
- तय करें कि हम अपनी जोखिम की रिपोर्ट को दस कामकाजी दिनों के अंदर स्वीकार (ठीक करने की कोशिश करेंगे) या अस्वीकार (आपकी रिपोर्ट को गलत पॉज़िटिव या स्वीकार किए जा सकने वाले जोखिम के रूप में करें) करेंगे
- हम आपसे स्वीकार की गई रिपोर्ट के ठीक होने की प्रक्रिया के बारे में अप-टू-डेट रहते हैं
प्रोग्राम की नीति में safe रहनी वाली भाषा इस्तेमाल करने से, शोधकर्ताओं को यह भरोसा दिलाने में मदद मिलती है कि जांच के लिए आपके सिस्टम के ख़िलाफ़ कानूनी कार्रवाई करने के लिए, उनके ख़िलाफ़ तब तक कार्रवाई नहीं की जाएगी, जब तक वे अच्छी भावना से काम करते हैं और नीति में बताए गए सभी दिशा-निर्देशों का पालन करते हैं.
जांच के दिशा-निर्देश
जांच से जुड़े दिशा-निर्देशों में, सुरक्षा जांच के बारे में बताया गया है, जो वीडीपी के दायरे में है. साथ ही, इसमें ऐसी टेस्टिंग के बारे में भी बताया गया है जो इसके दायरे में नहीं आती. हालांकि, रिसर्च करने वालों को इससे बचना चाहिए. अगर आपको रिसर्च करने वाले लोगों को किसी खास तरह की जोखिम की आशंकाओं पर फ़ोकस करना है, तो इस सेक्शन में उन्हें हाइलाइट किया जा सकता है.
उदाहरण:
सुरक्षा जांच करते समय, कृपया इन दिशा-निर्देशों का पालन करें:
- सिर्फ़ अपने खातों और डेटा से जांच करें (उदाहरण के लिए, टेस्ट खाते बनाना). अगर आपको किसी ऐसे जोखिम का पता चलता है जिसकी वजह से दूसरे उपयोगकर्ताओं का डेटा ऐक्सेस किया जा सकता है, तो कृपया आगे की जांच करने से पहले हमसे संपर्क करें.
- अगर जांच के दौरान अनजाने में अन्य उपयोगकर्ताओं का डेटा ऐक्सेस किया जाता है, तो कृपया हमें बताएं. साथ ही, उपयोगकर्ता का ऐसा कोई भी डेटा सेव न करें.
- ऐसी जांच न करें जिसकी वजह से, सेवा देने की शर्तों को इनकार किया जा सके या हमारी प्रोडक्शन सेवाओं में गिरावट आ जाए.
- इस कार्यक्रम में साेशल इंजीनियरिंग भी शामिल नहीं है. इसलिए, अपने संगठन या अपने उपयोगकर्ताओं को सोशल इंजीनियरिंग के मकसद से न भेजें.
हम खास तौर पर इस तरह के जोखिमों और असर में दिलचस्पी रखते हैं:
- रिमोट कोड चलाना
- XSS के इस्तेमाल से संवेदनशील जानकारी का ऐक्सेस मिलता है (जैसे, सेशन की जानकारी)
- SQL इंजेक्शन होता है, जिससे संवेदनशील डेटा या फ़ंक्शन का ऐक्सेस मिलता है
- कारोबार से जुड़ी लॉजिक से जुड़ी समस्याएं, जिनकी वजह से संवेदनशील डेटा या फ़ंक्शन का ऐक्सेस मिलता है
हम इस तरह की जोखिम की आशंकाओं में दिलचस्पी नहीं रखते, जिनकी वजह से
फ़ॉल्स पॉज़िटिव या स्वीकार किए गए जोखिमों के तौर पर अस्वीकार किए जाने की संभावना ज़्यादा होती है:
- स्टेटस नहीं बदलने वाले पेजों पर X-Frame-Options हेडर की कमी
- अपने-आप स्कैन होने वाले ऐसे नतीजे जिनकी पुष्टि नहीं हुई है
- ऐसी समस्याएं जिनका फ़ायदा उठाए जाने की संभावना नहीं है और/या जिनका सुरक्षा पर असली असर नहीं पड़ता
स्कोप
इस दायरे से उन ऐसेट के बारे में पता चलता है जिनकी जांच रिसर्चर कर सकते हैं. साथ ही, इससे यह भी तय होता है कि किन ऐसेट को VDP का हिस्सा नहीं माना जाएगा. दायरे पर सोच-समझकर विचार करना चाहिए. साथ ही, अपनी टीम को ओवरलोड किए बिना, इसे जितना हो सके उतना बड़ा होना चाहिए. आप जितने ज़्यादा दायरे में रहेंगे, सुरक्षा पर रिसर्च करने वाले लोगों से जुड़ने की संभावना उतनी ही ज़्यादा होगी. हालांकि, दायरा इतना बड़ा न करें कि आपकी टीम आने वाली रिपोर्ट को मैनेज न कर सके. दायरे में कुछ एसेट के साथ शुरुआत करें. रिपोर्ट का दायरा बड़ा करके पता लगाएं कि आपको किस तरह की रिपोर्ट मिलेगी. समय के साथ अपने वीडीपी को लोगों के लिए खोलने से पहले, हर चीज़ पर काम करने की कोशिश करें.
अपने कार्यक्रम की नीति में अपना दायरा तय करने के लिए, हर एसेट या इलाके की जानकारी जोड़ने से सुरक्षा से जुड़ी रिसर्च करने वाले लोगों को यह जानने में मदद मिलेगी कि आपके लिए क्या ज़रूरी है और उन्हें कहां फ़ोकस करना चाहिए. आप अपनी एसेट से सुरक्षित तरीके से जांच करने के बारे में सलाह भी शामिल कर सकते हैं. यहां एक उदाहरण दिया गया है:
| एसेट | mail.example.com |
|---|---|
| ब्यौरा | उपयोगकर्ताओं के लिए प्राइमरी डोमेन, ताकि वे अपने ईमेल ऐक्सेस कर सकें. |
| दिलचस्प जोखिम और असर |
|
| समस्याएं अस्वीकार की जा सकती हैं |
|
| परीक्षण संबंधी दिशानिर्देश | सिर्फ़ उन खातों की जांच करें जिनके आप मालिक हैं या जिनके ख़िलाफ़ आपने साफ़ तौर पर सहमति दी है. जांच के लिए खाते बनाते समय, कृपया उपयोगकर्ता नाम में कहीं भी "vdptest" शामिल करें. आप mail.example.com/new पर जाकर टेस्ट खाते बना सकते हैं. |
इस बारे में पूरी जानकारी दी गई है. इसके अलावा, आपके पास इन स्कोप और आउट ऑफ़ स्कोप ऐसेट की एक आसान सूची को शामिल करने का विकल्प है:
दायरे में
- mail.example.com
- example.com
दायरे से बाहर है
- blog.example.com
अपना वीडीपी फिर से इकट्ठा करना
वीडीपी लॉन्च करने से पहले, आपको कुछ संसाधनों की ज़रूरत होगी. आपको इन संसाधनों की ज़रूरत होगी:
- आने वाले समय में जोखिम की आशंका से जुड़ी रिपोर्ट की समीक्षा करना
- हैकर से संपर्क करना
- एसेट के मालिकों का पता लगाना और गड़बड़ियां दर्ज करना
- गड़बड़ियां ठीक करना
- जोखिम की आशंका का मैनेजमेंट / राहत के बारे में फ़ॉलो अप
अहम हिस्सेदारों की फिर से समीक्षा करें
अगर आपने पहले कभी अपने वीडीपी के बारे में चर्चा की है और आपने पहले भी इस बारे में चर्चा नहीं की है, तो ऐसा करें. इससे यह पक्का किया जा सकेगा कि ये आपके वीडीपी को लॉन्च करने की टाइमलाइन के हिसाब से हैं. साथ ही, लॉन्च के लिए ज़रूरी संसाधनों की सूची बनाएं. उदाहरण के लिए, हो सकता है कि आप इंजीनियरिंग लीडरशिप के साथ काम करना चाहें, ताकि यह पक्का किया जा सके कि उनकी टीमें लॉन्च के बाद पहले कुछ हफ़्तों में सुरक्षा से जुड़ी गड़बड़ियों का आने वाले तरीके से काम करने के लिए तैयार हैं. अपनी सुरक्षा टीम में, पक्का करें कि आपके डिटेक्शन और रिस्पॉन्स सिस्टम में प्राथमिकता तय करने की चेतावनियों को वीडीपी लॉन्च की तारीख पता है. साथ ही, टेस्टिंग शुरू होने के लिए ज़्यादा समय और संसाधन दें. आपको अपनी वीडीपी के रोज़ के कामकाज में मदद के लिए एक टीम भी बनानी होगी.
अपनी टीम बनाएं
वीडीपी का इस्तेमाल करने के लिए, ऑपरेशनल और रुकावट डालने वाले काम की ज़रूरत होती है. अगर किसी जोखिम की आशंका की हर रिपोर्ट की समीक्षा, तकनीकी रूप से पुष्टि, और उसका जवाब देने की कोशिश की जाती है, तो हर गड़बड़ी की शिकायत की जाती है, स्टेटस पर नज़र रखी जाती है, और रिसर्च करने वालों को अपने-आप अपडेट दिए जाते हैं. अगर आपके पास बड़ी सुरक्षा टीम नहीं है, तब भी सुरक्षा के बारे में जानकारी रखने वाले वॉलंटियर ढूंढें. इनकी मदद से, वीडीपी को प्रोसेस करने और चलाने के लिए एक टीम बनाई जा सकती है. आपको अब भी अपने वीडीपी का "मालिक" या "नेता" चाहिए, जो आपके वीडीपी की सफलता के लिए ज़िम्मेदार हो. हालांकि, उस लीडर को सपोर्ट करने के लिए आपको एक टीम की भी ज़रूरत होगी.
काम करने के लिए शेड्यूल बनाएं
जब आपको संसाधन मिल जाएं और आप अपने वीडीपी को तैयार करने के लिए तैयार हों, तब ड्यूटी शेड्यूल सेट करके इसके पीछे कुछ स्ट्रक्चर रखें. आप जैसे चाहें वैसे इसे बना सकते हैं, लेकिन साप्ताहिक रूप से रोटेशन करना काफ़ी सामान्य प्रक्रिया है. अगर उस हफ़्ते आप किसी काम पर हैं, तो यह आपकी ज़िम्मेदारी है कि आप:
- ट्राईज - आने वाले समय में जोखिम की आशंका से जुड़ी रिपोर्ट की समीक्षा करें
- रिपोर्ट की तकनीकी रूप से पुष्टि करना और "स्वीकार" या "अस्वीकार" करने का फ़ैसला लेना
- समस्या की शिकायत करने वाले हैकर को अपना फ़ैसला बताएं
- अगर ज़रूरी हो, तो हैकर से ज़्यादा जानकारी मांगें, अगर
- अगर जोखिम की आशंका सही है, तो सही मालिक की मदद से ग्रूम तैयार बग के लिए अनुरोध करें
- कमज़ोरियों को मैनेज करना - मौजूदा जोखिम की आशंकाओं
को दूर करना होगा
- पिछले हफ़्तों में सबमिट की गई गड़बड़ियों की समीक्षा करें. इससे यह पक्का किया जा सकेगा कि गंभीरता के मानकों और उन्हें ठीक करने की समयावधि के आधार पर, उन्हें ठीक करने की प्रोसेस जारी है.
- इन गड़बड़ियों पर काम करने के लिए मालिकों को राज़ी करने में मदद करने के लिए, मालिकों को ढूंढने से मिली सलाह का इस्तेमाल करें
- कम्यूनिकेशन करना - मौजूदा रिपोर्ट पर, सुरक्षा से जुड़े रिसर्चर को
अपडेट उपलब्ध कराएं
- शोधकर्ता खुद से मौजूदा रिपोर्ट के अपडेट मांग सकते हैं; इसके लिए जाँच करें और ज़रूरत पड़ने पर जवाब दें
- अगर किसी जोखिम की आशंका को ठीक कर लिया जाता है, तो इसके बारे में रिसर्चर को बताएं, ताकि उसे पता चल सके कि उसकी कड़ी मेहनत की वजह से आपके संगठन में अच्छे बदलाव हुए हैं. ऐसे टेंप्लेट की भाषा भी शामिल की जा सकती है जिसमें रिसर्च करने वाले से यह बताने के लिए कहा जाता है कि क्या आपसे कोई गलती छूट गई है या किसी तरह से आपकी समस्या को ठीक नहीं किया जा सकता है.
आपको कितनी रिपोर्ट मिलती हैं, इन रिपोर्ट की जटिलता, काम पर आने वाले व्यक्ति के कौशल और जानकारी के आधार पर, यह काम करते रहने में कुछ घंटों से लेकर आपका पूरा हफ़्ता कुछ भी लग सकता है. ऑन-ड्यूटी रोटेशन को सफल बनाने के लिए, ये सलाह दी जाती हैं:
- पक्का करें कि आपकी टीम इस काम में मदद करने के लिए तैयार है.
- हैंडऑफ़ की एक अच्छी प्रक्रिया रखें. अगर कुछ ऐसी समस्याएं हैं जिन पर काम कर रहे अगले व्यक्ति को तुरंत ध्यान देने की ज़रूरत हो सकती है, तो हफ़्ते के आखिर में हैंडऑफ़ नोट लिखें या लाइव बातचीत करें.
- शेड्यूल अपने-आप शेड्यूल होने की सुविधा का इस्तेमाल करें, ताकि सभी को काम के बारे में पता चल सके. यह काम हर व्यक्ति के लिए, बार-बार होने वाली कैलेंडर एंट्री बनाने जितना आसान हो सकता है.
- खास तौर पर, वीडीपी की शुरुआत से पहले, काम कर रहे व्यक्ति से दोबारा पूछें कि उसे यह हफ़्ता याद है या नहीं. साथ ही, यह भी देख लें कि क्या उसे कोई मदद चाहिए. अगर आपके पास ऐसे और भी जूनियर संसाधन हैं, तो उनसे संपर्क करें.
- हफ़्ते बदलने के लिए सुविधाजनक प्रक्रिया रखें. ज़रूरी है कि किसी व्यक्ति को आपातकालीन स्थिति के दौरान छुट्टी ले
- एक ऑन ड्यूटी "चीट शीट" बनाएं, जिसमें यह बताया गया हो कि कौन से काम पूरे करने हैं और उसे कैसे करना है.
इन-हाउस बनाम तीसरे पक्ष को चुनें
अब तक दिए गए ज़्यादातर दिशा-निर्देश, इस बात पर आधारित हैं कि आपने अपनी कंपनी में वीडीपी को बनाया और चलाया है. सलाह देने के लिए कई तरह की सेवाएं और प्लैटफ़ॉर्म उपलब्ध हैं, जो वीडीपी बनाने और चलाने में आपकी मदद कर सकते हैं. आम तौर पर, इन तीसरे पक्षों के लिए शुल्क लिया जाता है. हालांकि, इनसे आपको वीडीपी बनाने, लॉन्च करने, और चलाने के बारे में गाइड करने में मदद मिल सकती है. कुछ सेवाएं, जोखिम की आशंका की रिपोर्ट की समीक्षा करने में मदद करती हैं, ताकि हैकर से बातचीत करने में आसानी हो और आपकी टीम तक सिर्फ़ मान्य रिपोर्ट पहुंचाए जा सकें. आपकी ज़रूरतों और उपलब्ध संसाधनों पर निर्भर करेगा कि आप इस प्रोसेस को खुद बनाएं या किसी तीसरे पक्ष के प्लैटफ़ॉर्म का इस्तेमाल करें. अगर आपके पास बड़ा बजट है, लेकिन सदस्यों की संख्या ज़्यादा नहीं है, तो तीसरे पक्ष की मदद से अपने प्रोग्राम को चलाया जा सकता है. अगर ऐसा नहीं किया जा रहा है, तो खुद अपना प्रोग्राम बनाने के लिए समय देना सही हो सकता है.
रिपोर्ट पाना
अगर आपने किसी तीसरे पक्ष के प्लैटफ़ॉर्म का इस्तेमाल करने का फ़ैसला किया है, तो उनके पास हैकर के लिए ऐसा तरीका होना चाहिए जिससे वे सीधे आपको रिपोर्ट सबमिट कर सकें. अगर आपने अपना प्रोग्राम खुद बनाया है, तो आपको इसे खुद बनाना होगा. यह कोई ऐसा ईमेल पता हो सकता है जो समस्या को ट्रैक करने वाले टूल (जैसे कि security@example.com) में अपने-आप टिकट या गड़बड़ी बनाता है या यह ज़रूरी फ़ॉर्म फ़ील्ड वाला वेब फ़ॉर्म हो सकता है. यह फ़ॉर्म फ़ील्ड, प्रोग्राम की नीति वाले पेज पर या उस पेज से लिंक किया गया होना चाहिए. रिपोर्ट किसी भी फ़ॉर्मैट में होनी चाहिए, यह सही है कि आप हैकर को उस फ़ॉर्मैट के बारे में जानकारी दें. ध्यान रखें कि हैकर से किसी खास फ़ॉर्मैट में रिपोर्ट सबमिट करने के लिए कहना, हमेशा इस बात की गारंटी नहीं देता कि वे ऐसा करेंगे. हालांकि, हैकर से शिकायत करने में कोई परेशानी नहीं होती. यहां एक उदाहरण दिया गया है कि रिपोर्ट सबमिशन फ़ॉर्म में आपको किस तरह की जानकारी चाहिए:
टाइटल: [कृपया समस्या का एक लाइन में ब्यौरा जोड़ें, जैसे कि "mail.example.com में XSS फ़ॉर्मैट
सेशन चोरी के नतीजे"]
1.
2.
3.
हमले की स्थिति और असर: [इसका फ़ायदा कैसे उठाया जा सकता है? सुरक्षा पर इस
समस्या का क्या असर पड़ता है?]
समाधान से जुड़ी सलाह: [अगर आपके पास इस समस्या को ठीक
करने के बारे में कोई सलाह है, तो उसे यहां जोड़ें.]