Zacznij na niewielką skalę
Jak już wspomnieliśmy, warto to zrobić jeszcze raz. Mogą być kuszące do publicznego udostępnienia przez uczestników, ogłaszając go światu, a w przypadku programu wewnętrznego – upubliczniając zasady i formularz zgłoszenia. Może to być ryzykowne, ponieważ nie daje możliwości rozpoczęcia niewielkiego kroku w górę i skalowania. Bez względu na to, jak się przygotujesz, wprowadzenie VDP zawsze będzie niespodzianką. Możesz otrzymywać więcej luk w zabezpieczeniach, niż się spodziewasz, i nie być w stanie nadążyć za nimi. Być może połowa osób z Twojej grupy zmaga się z błędami, ale nie potrafi usuwać błędów. Być może zdarzyło Ci się zapomnieć uruchomić uwierzytelnione skanowanie, a gdy badacz to zrobił, zalewa Twój system przez utworzenie 100 000 nowych kont. Niezależnie od tego, jakie mogą być niespodzianki, lepiej jest zacząć od małego programu i stopniowo go zwiększać. Mogą wystąpić zupełnie normalne problemy, ale najlepiej jest mieć jeden łącznik do jednego subskrybowania,
Nawet jeśli tworzysz własny program, musisz przestrzegać zasad programu oraz formularza zgłaszania witryny, ale możesz też poprosić hakerów o zalogowanie się, zanim to się stanie. Jeśli korzystasz z platformy innej firmy, będzie ona automatycznie zajmować się zapraszaniem niewielkiej grupy badaczy bezpieczeństwa. W obu przypadkach możesz utworzyć szablon zaproszenia używany do zapraszania hakerów do prywatnego VDP. Możesz to zrobić w ten sposób:
Cześć, <nazwa Twojej organizacji> zaprasza Cię do udziału w naszym prywatnym VDP. Zaczynamy w trybie prywatnym, więc możemy wykorzystać nasze procesy VDP, by zapewnić badaczom bezpieczeństwa jak najlepsze wrażenia. Zapoznaj się z zasadami programu dotyczącymi wytycznych i zakresu testowania. Jeśli chcesz przekazać nam swoją opinię na wczesnym etapie procesu VDP, daj nam znać.Raporty z raportami zaczną pojawiać się po otrzymaniu zaproszenia do pierwszej grupy badawczej i uzyskaniu dostępu do programu. Możesz też nie otrzymywać żadnych raportów, ale nie ma problemu. Załóżmy, że zapraszasz 5 badaczy bezpieczeństwa. Być może dwa z nich są zbyt zajęci i zdecydowali się nie sprawdzać Twojego programu. Inna osoba może być na wakacjach i całkowicie przegapić wiadomość z zaproszeniem. Czwarty i piąty haker może sprawdzić witrynę i przetestować ją przez 1–2 dni, ale nie znajdzie żadnych luk w zabezpieczeniach. Kilka tygodni później może do niego wrócić i zgłosić coś, ale może to być szokujące, jeśli wykona całą swoją pracę, wyśle zaproszenia i nie otrzyma żadnych raportów. Jeśli tak się stanie, nie martw się. To zupełnie normalne, dlaczego chcesz zacząć od małych rozmiarów i zwiększać skalę kampanii. Jeśli wyślesz 5 zaproszeń i nie widzisz dużej liczby raportów, wyślij jeszcze 5 kolejnych, a następnie 5, 10, a nawet 20. Jeśli korzystasz z platformy innej firmy, ma ona automatyczne mechanizmy, które będą powoli wysyłać hakerom zmiany w zależności od planowanej liczby raportów. Z drugiej strony, jeśli po otrzymaniu zaproszenia do 5 badaczy bezpieczeństwa okaże się, że dostajesz ogromną liczbę raportów o lukach w zabezpieczeniach, możesz nie wysyłać kolejnych zaproszeń, dopóki liczba raportów się zmniejszy.
Klasyfikowanie i powtarzanie
Przez pierwszy tydzień lub dwa od wprowadzenia VDP warto zatrudnić jednocześnie co najmniej 2 pracowników, którzy pomogą w optymalizowaniu raportów o lukach w zabezpieczeniach, zgłaszania błędów i kontaktowaniu się z badaczami. Zwykle po uruchomieniu programu pojawia się duży wzrost, a następnie ustępuje. Dzięki temu możesz otrzymywać raporty o lukach w zabezpieczeniach, co pomoże Ci rozpoznać działania hakerów i wykryć luki w zasadach programu. Mogą się też pojawić problemy z procesami i narzędziami. Zacznij od małych kroków, a Twój zespół w pierwszych tygodniach zajmuje dużo uwagi i energii, wykorzystaj ten czas na wprowadzenie poprawek i poprawę programu. Po upływie miesiąca lub dwóch wszystko umknie, a płynne prowadzenie programu stanie się drugą naturą.
Skaluj w górę, uruchamiaj publicznie
Gdy Twój zespół przyzwyczai się do prowadzenia programu, zapraszasz do niej coraz więcej osób. Rozszerzasz zakres, aby uwzględnić wszystko, co wiesz (również zasoby, o których nawet nie masz pojęcia). W pewnym momencie osiągniesz poziom, w którym zaprosiłeś sto, a nawet kilkuset hakerów, ale liczba raportów będzie się zmniejszać. wszystkie wysyłane raporty mają niską lub średnią wagę. Wygląda na to, że rotacja zadań jest dość prosta, a zespół ma wiedzę na temat usuwania raportów o lukach w zabezpieczeniach, eskalowania ich do rozwiązania i komunikacji z hakerami. Teraz możesz już publicznie udostępnić swój program. Zanim to zrobisz, ponownie skontaktuj się ze wszystkimi zainteresowanymi osobami, aby upewnić się, że są świadome i kupione. Podobnie jak w przypadku premiery prywatnej, przygotuj swój zespół na kolejny potencjalny wzrost liczby zgłoszeń związanych z premierą publiczną. Główna różnica polega na tym, że wszyscy mogą przesyłać raporty o lukach w zabezpieczeniach. Pamiętaj, że może to skutkować dużym poziomem szumu. Na przykład użytkownicy, którzy mają wątpliwości, jak zalogować się na swoje konto, czy nawet spamerzy, którzy wypełniają formularze i automatycznie wysyłają e-maile, mogą przesyłać raporty do VDP. Przydatne może być użycie szablonów, które pozwalają szybko zamykać typowe raporty niezwiązane z bezpieczeństwem, a nawet, aby tego uniknąć, dostosowując formularz w taki sposób, by przekierowywał użytkowników do odpowiedniego miejsca (np. pracowników działu pomocy w przypadku zapomnianych haseł). A co ważne, otwarcie programu i zdobycie wykwalifikowanego hakera, który nie mógł wcześniej się z Tobą skontaktować, pomoże Ci w tym. Może to pomóc w wykrywaniu luk w zabezpieczeniach o dużym lub krytycznym znaczeniu. To również wszystkie korzyści wspomniane wcześniej w tym przewodniku, w tym ustandaryzowany kanał globalnej społeczności ds. hakowania, który bezpośrednio ujawnia luki w zabezpieczeniach. Zmniejsza to ryzyko naruszenia zasad i negatywnego PR-a.
Podsumowanie
Gratulacje! Udało Ci się pokonać długą drogę. Masz teraz publiczną platformę VDP. Nie zapomnij świętować ze swoim zespołem i wszystkimi zaangażowanymi osobami, które Ci w tym pomogły. Ważne jest, aby wyrazić wdzięczność i znaleźć wspólny sposób na uhonorowanie sukcesu. Pamiętaj, aby świętować ważne kroki, takie jak rocznica wprowadzenia na rynek, oraz wyróżniać szczególnie interesujące i krytyczne błędy, które zostały wykryte w Twoim programie VDP. Gromadzenie danych przez cały czas może pomóc Ci zademonstrować sukces programu i osiągnięcia osiągnięte przez Ciebie i Twój zespół.