Klein anfangen
Auch wenn wir dies bereits erwähnt haben, lohnt es sich, es noch einmal durchzugehen. Es mag verlockend sein, Ihr Programm „öffentlich“ zu starten, indem Sie es der Welt ankündigen. Im Fall eines internen Programms machen Sie Ihre Programmrichtlinien und Ihr Formular zur Einreichung für Berichte öffentlich zugänglich. Dies kann riskant sein, da Sie nicht klein anfangen und später skalieren können. Ganz gleich, wie viel Sie sich vorbereiten, es wird immer Überraschungen geben, wenn Sie ein VDP starten. Möglicherweise erhalten Sie mehr Sicherheitslücken als erwartet und können damit nicht mithalten. Vielleicht fällt die Hälfte Ihres Teams krank und kann nicht bei der Einordnung von Programmfehlern helfen. Vielleicht haben Sie vergessen, authentifizierte Scans auszuführen. Wenn ein Forscher dies tut, überflutet es versehentlich Ihr System und erstellt 100.000 neue Konten. Was auch immer die Überraschungen sein mögen, es ist besser, klein zu beginnen und Ihr Programm nach und nach auszubauen. Dies ist völlig normal, aber es ist am besten, wenn Sie genügend Bandbreite haben, um diese Probleme einzeln zu lösen.
Wenn du dich entschieden hast, dein Programm intern zu erstellen, solltest du deine Programmrichtlinien beibehalten und das Formular zum Einreichen von Meldungen auf deiner Website einreichen. Möglicherweise ist es aber auch sinnvoll, dass sich Hacker anmelden müssen, bevor sie das Programm sehen können. Wenn Sie eine Drittanbieterplattform verwenden, übernimmt dieser automatisch das Einladen einer kleinen Gruppe von Sicherheitsexperten für Sie. In beiden Fällen kannst du eine Einladungsvorlage erstellen, um Hacker zu deinem privaten VDP einzuladen:
Hallo, <Name deiner Organisation> möchte dich zur Teilnahme an unserem privaten VDP einladen. Wir fangen klein im privaten Modus an, damit wir unsere VDP-Prozesse weiter ausbauen können, um den Sicherheitsforschern die bestmögliche Erfahrung zu bieten. In unseren Programmrichtlinien finden Sie die Richtlinien und den Umfang von Tests. Wenn du uns zu Beginn unseres VDP Feedback geben möchtest, lass es uns wissen.Nachdem Ihre ersten Forscher eingeladen wurden und Zugriff auf Ihr Programm erhalten haben, erhalten Sie Berichte. Oder Sie erhalten keine Berichte, aber das ist in Ordnung. Nehmen wir an, Sie laden fünf Sicherheitsexperten ein. Es ist möglich, dass zwei von ihnen zu beschäftigt sind und sich entscheiden, Ihr Programm überhaupt nicht anzusehen. Ein anderer ist vielleicht im Urlaub und verpasst deine Einladungsnachricht vollständig. Der vierte und fünfte Hacker sehen sich das möglicherweise an und führen ein oder zwei Tage lang Tests durch, finden aber keine Sicherheitslücken. Einige Wochen später berichten sie davon vielleicht, aber es kann immer noch schockierend sein, die ganze Arbeit durchzugehen, Einladungen zu versenden und keine Berichte zu erhalten. Keine Sorge, wenn dies passiert. Das ist völlig normal und der Grund dafür, dass Sie klein anfangen und hochskalieren sollten. Wenn Sie nur fünf Einladungen versenden und das Berichtsvolumen nicht hoch ist, sollten Sie fünf weitere Einladungen und dann weitere fünf, zehn oder sogar zwanzig verschicken. Wenn Sie eine Drittanbieterplattform verwenden, hat diese automatisierte Mechanismen, die Hacker nach und nach entsprechend dem gewünschten Berichtsvolumen einladen. Wenn Sie andererseits eine große Anzahl von Berichten zu Sicherheitslücken erhalten, nachdem Sie nur fünf Sicherheitsexperten eingeladen haben, sollten Sie mit der Einladung warten, bis das Berichtsvolumen abnimmt.
Triage und Iterieren
In den ersten ein bis zwei Wochen nach dem Start deines VDP empfiehlt es sich, zwei oder mehr Personen gleichzeitig im Einsatz zu haben, die dir beim Sichten eingehender Meldungen zu Sicherheitslücken, beim Melden von Programmfehlern und bei der Kommunikation mit den Forschern helfen. Zu Beginn eines Programms gibt es in der Regel sehr viele Berichte, die sich nach und nach abgleichen. Bei der Einordnung eingehender Berichte zu Sicherheitslücken erhalten Sie möglicherweise Feedback von Hackern und identifizieren Lücken oder Missverständnisse in Ihren Programmrichtlinien. Möglicherweise finden Sie auch Probleme in Ihren Prozessen und Tools. Da Sie in den ersten Wochen klein anfangen und viel Aufmerksamkeit und Energie von Ihrem Team erhalten haben, nutzen Sie diese Zeit, um Ihr Programm schnell zu iterieren und zu verbessern. Nach ein bis zwei Monaten werden die Dinge abklingen und die reibungslose Durchführung Ihres Programms wird zur Selbstverständlichkeit werden.
Hochskalieren, öffentlich verfügbar
Wenn sich Ihr Team an die Ausführung des Programms gewöhnt, laden Sie immer mehr Hacker zur Teilnahme ein. Ihren Umfang erweitern Irgendwann kommen Sie vielleicht so weit, dass Sie einhundert oder sogar einige hundert Hacker eingeladen haben, aber das Berichtsvolumen scheint zu sinken. Die gesendeten Meldungen scheinen nur einen geringen oder mittleren Schweregrad zu haben. Die Dienstrotation scheint relativ einfach zu sein und Ihr Team ist gut darin, Meldungen zu Sicherheitslücken zu bewerten, diese zu einer Lösung zu bringen und mit Hackern zu kommunizieren. Jetzt sind Sie wahrscheinlich bereit, Ihr Programm zu veröffentlichen. Stellen Sie vorher wieder mit allen Stakeholdern in Kontakt, um sicherzustellen, dass sie über die öffentliche Markteinführung informiert sind und diese gekauft haben. Ähnlich wie bei der ersten privaten Markteinführung sollten Sie Ihr Team auf einen weiteren potenziellen Anstieg des Berichtsvolumens für Ihre öffentliche Markteinführung vorbereiten. Ein wichtiger Unterschied beim öffentlichen Start besteht darin, dass jeder Ihnen einen Bericht zu Sicherheitslücken senden kann. Beachten Sie, dass das sehr viele Daten erzeugen kann. Nutzer, die unsicher sind, wie sie sich in ihrem Konto anmelden können, oder sogar Spam-Bots, die Formulare ausfüllen und automatisch E-Mails senden, können Berichte an dein VDP senden. Mithilfe von Vorlagen können Sie häufig nicht sicherheitsrelevante Berichte schnell schließen oder diese sogar vorab nutzen, indem Sie das Formular so anpassen, dass Nutzer an die richtige Stelle weitergeleitet werden (z. B. für Supportmitarbeiter, wenn sie Passwörter vergessen haben). Positiv ist zu bedenken: Wenn Sie Ihr Programm der Öffentlichkeit zugänglich machen, können erfahrene Hacker, die Sie zuvor nicht kontaktieren konnten, dies jetzt tun. Dies kann Ihnen helfen, Sicherheitslücken mit hohem oder kritischem Schweregrad aufzudecken, von denen Sie nicht wussten, dass sie existieren. Sie bietet außerdem alle Vorteile, die weiter oben in diesem Leitfaden erwähnt wurden. Dazu gehört auch ein standardisierter Kanal, über den die globale Hacking-Community Sicherheitslücken direkt an Sie weitergeben kann. Dadurch wird das Risiko von Datenpannen und negativer PR reduziert.
Potenzial ausschöpfen
Glückwunsch! Du hast viel gelernt und du hast jetzt ein öffentliches VDP. Vergessen Sie nicht, mit Ihrem Team und all den Stakeholdern zu feiern, die Ihnen auf diesem Weg geholfen haben. Es ist wichtig, Ihre Dankbarkeit zum Ausdruck zu bringen und einen Weg zu finden, Ihren Erfolg gemeinsam zu feiern. Neben der öffentlichen Einführung deines VDP solltest du auch Meilensteine feiern, z. B. den Jahrestag der Einführung. Außerdem solltest du besonders interessante und kritische Fehler hervorheben, die über dein VDP gefunden und behoben wurden. Das Erfassen von Messwerten kann dabei helfen, den Erfolg Ihres Programms zu demonstrieren und die Leistungen von Ihnen und Ihrem Team hervorzuheben.