Zacznij na niewielką skalę
Choć wspomniano o tym wcześniej, warto wrócić do niego jeszcze raz. Być może kuszące może być publiczne przedstawienie programu przez przedstawienie go całemu światu, a w przypadku programu wewnętrznego – upublicznienie zasad programu i formularza zgłoszenia. Może to być ryzykowne, bo nie daje szans na zaczęcie od małych kroków i zwiększanie skali działania. Niezależnie od tego, jak bardzo się przygotujesz, wprowadzenie VDP zawsze spowoduje niespodzianki. Możesz napotkać więcej luk w zabezpieczeniach, niż się spodziewasz, i nie będziesz w stanie nadążyć za tymi zmianami. Może połowa Twojego zespołu zachoruje i nie będzie w stanie pomóc w selekcjonowaniu błędów. Być może zapomniałeś przeprowadzić skanowanie uwierzytelnione, a gdy to zrobi, przypadkowo zalewa system,tworząc 100 000 nowych kont. Niezależnie od ewentualnych niespodzianek, lepiej zacząć od małych kroków i stopniowo zwiększać zasięg programu. Mogą występować problemy, co jest zupełnie normalne, ale najlepiej jest rozwiązywać je pojedynczo.
Jeśli chcesz utworzyć program samodzielnie, musisz umieścić w witrynie zasady programu i zgłosić formularz zgłoszeniowy. Być może jednak wolisz, aby hakerzy musieli się zalogować, zanim będą mogli go zobaczyć. Jeśli korzystasz z platformy innej firmy, automatycznie zajmie się ona zapraszaniem niewielkiej grupy badaczy zabezpieczeń. W obu przypadkach możesz utworzyć szablon zaproszenia, którego będziesz używać w celu zaproszenia hakerów do Twojego prywatnego VDP. Na przykład:
Dzień dobry, <nazwa Twojej organizacji> zaprasza Cię do wzięcia udziału w naszym prywatnym programie VDP. Zaczynamy od małych kroków w trybie prywatnym, aby móc korzystać z procesów VDP, aby oferować badaczom zabezpieczeń jak najlepsze doświadczenia. Zapoznaj się z zasadami programu, by poznać wytyczne i zakres testów. Jeśli masz jakieś uwagi na początkowych etapach VDP, daj nam znać.Raporty zaczną pojawiać się po zaproszeniu pierwszej grupy badaczy i udzieleniu dostępu do programu. Możesz też nie otrzymywać żadnych raportów, ale to nie problem. Załóżmy, że zapraszasz 5 badaczy ds. bezpieczeństwa. Możliwe, że 2 z nich są zbyt zajęte i zdecydują się w ogóle nie oglądać Twojego programu. Inny użytkownik może być na urlopie i całkowicie przegapić Twoją wiadomość z zaproszeniem. Czwarty i piąty haker może się przyglądać i testować przez dzień lub dwa, ale nie znajduje żadnych luk w zabezpieczeniach. Mogą wrócić do tego tematu po kilku tygodniach i coś zgłosić, ale zapoznawanie się z nimi przez cały proces, wysyłanie zaproszeń i nie otrzymywanie żadnych raportów może być szokujące. Nie martw się, jeśli tak się stanie. To zupełnie normalne i dlatego lepiej zacząć od małych kwot i stopniowo zwiększać skalę. Jeśli wyślesz 5 zaproszeń i nie otrzymasz zbyt wielu raportów, wyślij kolejne pięć, potem kolejne pięć, dziesięć czy nawet dwadzieścia. Jeśli korzystasz z platformy innej firmy, mają one zautomatyzowane mechanizmy, które z czasem będą stopniowo zapraszać hakerów na podstawie oczekiwanej liczby zgłoszeń. Z drugiej strony, gdy już po zapraszaniu 5 badaczy ds. bezpieczeństwa otrzymasz ogromną liczbę raportów o lukach w zabezpieczeniach, lepiej zaczekać, aż ich liczba spadnie.
Klasyfikowanie i powtarzanie
Przez pierwszy tydzień lub dwa od wprowadzenia VDP możesz potrzebować kilku dyżurujących osób jednocześnie, które pomogą Ci klasyfikować przychodzące raporty o lukach w zabezpieczeniach, zgłaszać błędy i komunikować się z badaczami. Zazwyczaj w chwili wprowadzenia programu jest dużo więcej zgłoszeń, ale z czasem jego poziom jest stabilny. Podczas klasyfikowania przychodzących raportów o lukach w zabezpieczeniach możesz otrzymywać opinie od hakerów, a także znajdować luki lub nieporozumienia w zasadach programu. Możesz też napotkać problemy z procesami i narzędziami. Zaczynasz od małych kroków, a w ciągu tych pierwszych tygodni wykazujesz się dużym zainteresowaniem i energią ze strony zespołu, więc wykorzystaj ten czas na szybkie powtórzenie i udoskonalenie programu. Po miesiącu lub dwóch okresach utkniesz, a płynne prowadzenie programu stanie się drugim.
Skalowanie w górę, publikowanie publicznie
W miarę jak Twój zespół przyzwyczai się do prowadzenia programu, zaprosimy do niego coraz więcej hakerów. Zakres raportu zakres jest szerszy, aby obejmowała wszystko, co wiesz (nawet o zasobach, o których być może nie wiesz). Być może dotrzesz do punktu, w którym masz zaproszonych stu, a nawet kilkuset hakerów, ale liczba raportów będzie maleć. Wysyłane raporty mają raczej małą lub średnią wagę. Rotacja pracowników wydaje się łatwa, a Twój zespół ma spore doświadczenie w klasyfikowaniu raportów o lukach w zabezpieczeniach, wymuszaniu ich rozwiązywania i komunikacji z hakerami. W tym momencie możesz już zapewnić swój program publicznie. Zanim to zrobisz, ponownie skontaktuj się ze wszystkimi zainteresowanymi osobami, aby upewnić się, że wiedzą o tym, że wprowadzasz je publicznie, i ich przyzwyczajenia. Podobnie jak w przypadku pierwszej prywatnej publikacji, przygotuj swój zespół na kolejny potencjalny wzrost liczby raportów, który udostępnimy publicznie. Jedną z głównych różnic w przypadku publicznego udostępnienia jest to, że każdy może przesłać Ci raport o lukach w zabezpieczeniach. Pamiętaj, że może to generować dużo szumu. Na przykład użytkownicy, którzy nie wiedzą, jak zalogować się na swoje konto, a nawet boty spamujące wypełniają formularze i automatycznie wysyłają e-maile, mogą przesyłać zgłoszenia do VDP. Warto mieć szablony, które pozwolą szybko zamykać typowe raporty niezwiązane z bezpieczeństwem. Możesz też je wcześniej wyprzedzać, dostosowując formularz w taki sposób, aby przekierowywał użytkowników w odpowiednie miejsce (np. do zespołu pomocy, który zajmuje się takimi kwestiami jak zapomniane hasła). Co więcej, jeśli udostępnisz swój program publicznie, wykwalifikowani hakerzy, którzy wcześniej nie mogli się z Tobą skontaktować, będą mogli to zrobić. Może to pomóc w wykryciu luk w zabezpieczeniach, o których wcześniej nie wiesz. Zapewnia to również wszystkie korzyści wymienione we wcześniejszej części tego przewodnika, w tym ustandaryzowany kanał dla globalnej społeczności hakerskiej do bezpośredniego ujawniania luk w zabezpieczeniach, co zmniejszy ryzyko naruszenia bezpieczeństwa i negatywne wyniki PR.
Podsumowanie
Gratulacje, przeszedłeś długą drogę i masz teraz publiczny VDP. Nie zapomnij świętować z zespołem i innymi zainteresowanymi osobami, które Ci w tym pomagały. To ważne, aby wyrazić wdzięczność i razem znaleźć sposób na świętowanie sukcesu. Oprócz świętowania publicznego udostępnienia VDP, nie zapomnij też wspomnieć o ważnych osiągnięciach, takich jak rocznica publicznego wydania aplikacji lub o wyróżnienie szczególnie interesujących i krytycznych błędów, które zostały znalezione i poprawione za pomocą VDP. Gromadzenie i zbieranie danych może pomóc w zademonstrowaniu sukcesu Twojego programu oraz podkreśleniu osiągnięć Twojej i zespołu.