Начните с малого
Хотя об этом уже говорилось ранее, к этому стоит вернуться. Может возникнуть соблазн запустить вашу программу «публично», объявив о ней всему миру, а в случае внутренней программы — сделав политику вашей программы и форму подачи отчета общедоступной. Это может быть рискованно, поскольку не дает вам возможности начать с малого и расширяться. Как бы вы ни готовились, при запуске VDP всегда будут сюрпризы. Вы можете получить больше уязвимостей, чем ожидалось, и не сможете справиться с ними. Возможно, половина вашей команды заболеет и не сможет помочь в выявлении ошибок. Возможно, вы забыли попробовать выполнить сканирование с аутентификацией, и когда исследователь это сделает, он случайно заполонит вашу систему, создав 100 000 новых учетных записей! Какими бы ни были сюрпризы, лучше начать с малого и постепенно расширять программу с течением времени. У вас возникнут проблемы, и это совершенно нормально, но лучше всего иметь достаточную пропускную способность для решения этих проблем по одной.
Если вы решили создать свою программу самостоятельно, вам все равно потребуется разместить политику программы и форму отправки отчета на своем веб-сайте, но вы можете потребовать от хакеров войти в систему, прежде чем они смогут ее увидеть. Если вы используете стороннюю платформу, они автоматически пригласят для вас небольшую группу исследователей безопасности. В любом случае вы можете создать шаблон приглашения для приглашения хакеров на ваш частный VDP, например:
Здравствуйте, <Название вашей организации> хотела бы пригласить вас принять участие в нашей частной программе VDP. Мы начинаем с малого в приватном режиме, чтобы мы могли опираться на наши процессы VDP и предоставлять наилучшие возможности исследователям безопасности. Пожалуйста, ознакомьтесь с политикой нашей программы, чтобы узнать рекомендации и объем тестирования. Если у вас есть какие-либо отзывы на ранних этапах реализации VDP, сообщите нам об этом.После того, как ваша первая группа исследователей будет приглашена и получит доступ к вашей программе, отчеты начнут поступать. Или вы можете не получать никаких отчетов, но это нормально. Допустим, вы приглашаете пять исследователей безопасности. Возможно, двое из них слишком заняты и решают вообще не смотреть вашу программу. Другой может быть в отпуске и совершенно пропустить ваше приглашение. Четвертый и пятый хакеры могут посмотреть и провести тестирование в течение дня или двух, но не найдут никаких уязвимостей. Они могут вернуться к этому через несколько недель и сообщить о чем-то, но все равно может быть шокирующим проходить всю эту работу, рассылать приглашения и не получать никаких отчетов. Если это произойдет, не волнуйтесь. Это совершенно нормально, и именно поэтому вы хотите начать с малого и расширяться. Если вы разослали пять приглашений и не видите большого объема отчетов, отправьте еще пять, затем еще пять, десять или даже двадцать. Если вы используете стороннюю платформу, у них есть автоматизированные механизмы, которые будут постепенно приглашать хакеров в зависимости от желаемого объема отчетов. С другой стороны, если вы получаете огромное количество отчетов об уязвимостях после того, как пригласили всего лишь пять исследователей безопасности, возможно, вам стоит отложить приглашение новых, пока объем отчетов не уменьшится.
Сортировка и итерация
В течение первой или двух недель после запуска VDP вам может потребоваться, чтобы одновременно дежурили два или более человека, которые помогали бы сортировать входящие отчеты об уязвимостях, регистрировать ошибки и общаться с исследователями. Обычно при запуске программы наблюдается большой всплеск отчетов, но со временем он успокаивается. Просматривая входящие отчеты об уязвимостях, вы можете получать отзывы от хакеров и выявлять пробелы или недопонимания в политике вашей программы. Вы также можете обнаружить проблемы в своих процессах и инструментах. Поскольку вы начинаете с малого и в первые пару недель ваша команда уделяет много внимания и энергии, используйте это время для быстрого повторения и улучшения вашей программы. Через месяц или два все утихнет, и бесперебойная работа вашей программы станет вашей второй натурой.
Масштабируйте, запускайте публично
По мере того, как ваша команда привыкнет к работе с вашей программой, вы будете приглашать к участию все больше и больше хакеров. Вы расширили свои возможности, включив в них все, о чем знаете (и даже активы, о существовании которых вы, возможно, даже не подозревали). В конце концов, вы можете дойти до того, что пригласили сотню или даже несколько сотен хакеров, но объем отчетов, похоже, сокращается. Все отправляемые отчеты имеют низкий или средний уровень серьезности. Ротация дежурств кажется довольно легкой, и ваша команда хорошо разбирается в обработке отчетов об уязвимостях, их разрешении и общении с хакерами. На этом этапе вы, вероятно, готовы опубликовать свою программу. Прежде чем вы это сделаете, восстановите связь со всеми заинтересованными сторонами, чтобы убедиться, что они знают и поддерживают ваш публичный запуск. Как и в случае с вашим первоначальным частным запуском, подготовьте свою команду к очередному потенциальному увеличению объема отчетов о вашем публичном запуске. Одним из ключевых отличий публичного запуска является то, что любой может отправить вам отчет об уязвимости. Имейте в виду, что это может создавать много шума. Например, пользователи, которые не понимают, как войти в свою учетную запись, или даже спам-боты, заполняющие формы и автоматически отправляющие электронные письма, могут отправлять отчеты в ваш VDP. Полезно иметь шаблоны для быстрого закрытия распространенных отчетов, не связанных с безопасностью, или даже упредить это, настроив форму так, чтобы она перенаправляла пользователей в нужное место (например, в службу поддержки для таких вещей, как забытые пароли). Положительная сторона: открыв вашу программу для публики, опытные хакеры, у которых раньше не было возможности связаться с вами, теперь смогут это сделать. Это может помочь вам обнаружить уязвимости высокой или критической серьезности, о существовании которых вы даже не подозревали. Он также обладает всеми преимуществами, упомянутыми ранее в этом руководстве, включая наличие стандартизированного канала для глобального хакерского сообщества, позволяющего раскрывать уязвимости непосредственно вам, что снижает риск взломов и негативного пиара.
Празднуйте
Поздравляем! Вы прошли долгий путь и теперь у вас есть публичная VDP. Не забудьте отпраздновать это событие вместе со своей командой и всеми заинтересованными сторонами, которые помогали вам на этом пути. Важно выразить свою благодарность и найти способ вместе отпраздновать свой успех. Помимо празднования публичного запуска вашего VDP, не забудьте отметить вехи на этом пути, например годовщину вашего публичного запуска, или выделить особенно интересные и критические ошибки, которые были обнаружены и исправлены с помощью вашего VDP. Сбор показателей по ходу работы может помочь продемонстрировать успех вашей программы и подчеркнуть достижения вас и вашей команды.