Lanzamiento del VDP

Empieza de a poco

Si bien esto se mencionó antes, vale la pena volver a revisarlo. Puede ser tentador lanzar el programa "de forma pública" anunciándolo al mundo y, en el caso de un programa interno, hacer que la política del programa y el formulario de envío de informes sean de acceso público. Esto puede ser riesgoso, ya que no te da la oportunidad de comenzar de a poco y escalar verticalmente. Sin importar cuánto te prepares, siempre encontrarás sorpresas cuando lances un VDP. Es posible que recibas más vulnerabilidades de lo esperado y no puedas seguir el ritmo. Tal vez la mitad de tu equipo se enferme y no pueda ayudar a clasificar los errores. Quizás olvidaste intentar ejecutar análisis autenticados y, cuando un investigador lo hace, inunda tu sistema de forma accidental y crea 100,000 cuentas nuevas. Cualesquiera que sean las sorpresas, es mejor comenzar de a poco y escalar gradualmente el programa con el tiempo. Tendrás problemas, lo cual es totalmente normal, pero es mejor tener el ancho de banda suficiente para manejarlos uno a la vez.

Si decidiste crear el programa internamente, te recomendamos que mantengas la política del programa y el formulario de envío de informes en tu sitio web. Sin embargo, es posible que solicites a los hackers que accedan para poder verlo. Si usas una plataforma de terceros, esta se encargará de invitar automáticamente a un pequeño conjunto de investigadores de seguridad. En cualquier caso, puedes crear una plantilla de invitación para invitar a hackers a tu VDP privado, como se muestra a continuación:

Hola: <El nombre de tu organización> quiere invitarte a participar en nuestro VDP privado. Comenzaremos de a poco en modo privado para que podamos desarrollar nuestros procesos de VDP y proporcionar la mejor experiencia posible a los investigadores de seguridad. Consulta nuestra política del programa para conocer los lineamientos y el alcance de las pruebas. Si tienes comentarios durante las primeras etapas del VDP, comunícate con nosotros.

Después de que se invite a tu primer grupo de investigadores y se te otorgue acceso al programa, comenzarán a recibir informes. También es posible que no recibas informes, pero no te preocupes. Supongamos que invitas a cinco investigadores de seguridad. Es posible que dos de ellos estén demasiado ocupados y decidan no mirar tu programa en absoluto. Otra puede estar de vacaciones y perder por completo tu mensaje de invitación. Es posible que el cuarto y quinto hackers eche un vistazo y haga algunas pruebas durante uno o dos días, pero no encuentra ninguna vulnerabilidad. Es posible que lo vuelvan a revisar unas semanas después y notifiquen algo, pero, de todos modos, puede ser impactante hacer todo este trabajo, enviar invitaciones y no recibir informes. Si esto sucede, no te preocupes. Esto es totalmente normal, por lo que quieres empezar de a poco y escalar verticalmente. Si envías cinco invitaciones y no ves mucho volumen de informes, envía cinco más y, luego, otras cinco, diez o incluso veinte. Si usas una plataforma de terceros, estos tienen mecanismos automatizados que invitarán a los hackers lentamente a lo largo del tiempo según el volumen de informes deseado. Por otro lado, si recibes una gran cantidad de informes de vulnerabilidad después de haber invitado solo a cinco investigadores de seguridad, te recomendamos postergar las invitaciones hasta que el volumen de informes disminuya.

Clasifica y repite

Durante las primeras dos semanas después del lanzamiento del VDP, te recomendamos contar con dos o más personas al mismo tiempo de trabajo para que te ayuden a clasificar los informes de vulnerabilidades entrantes, registrar errores y comunicarte con los investigadores. Por lo general, hay un gran aumento de informes en el lanzamiento de un programa y, luego, se disminuye con el tiempo. A medida que clasifiques los informes de vulnerabilidad entrantes, es posible que recibas comentarios de hackers, además de identificar brechas o malentendidos en la política del programa. También es posible que encuentres problemas en tus procesos y herramientas. Si comienzas poco a poco y cuentas con mucha atención y energía de tu equipo durante estas primeras semanas, aprovecha este tiempo para iterar y mejorar rápidamente el programa. Después de uno o dos meses, las cosas se agotarán, y ejecutar tu programa sin problemas se volverá algo natural.

Escala verticalmente y lanza públicamente

A medida que tu equipo se acostumbre a ejecutar el programa, invitarás a más y más hackers a participar. Ampliaste tu alcance para incluir todo lo que sabes (incluso recursos que quizás no sabías que existían). Con el tiempo, podrías llegar a invitar a cien o incluso a cientos de hackers, pero el volumen de informes parece estar disminuyendo. Los informes que se envían parecen ser de gravedad baja o media. La rotación de servicios parece ser bastante ligera, y tu equipo tiene las capacidades para clasificar informes de vulnerabilidad, forzarlos a resolverlos y comunicarse con los hackers. En este punto, es probable que estés listo para lanzar tu programa públicamente. Antes de hacerlo, vuelve a conectarte con todas las partes interesadas para asegurarte de que estén al tanto de tu lanzamiento público y acepten tu decisión. Al igual que con el lanzamiento privado inicial, prepara a tu equipo para otro posible aumento repentino en el volumen de informes del lanzamiento público. Una diferencia clave cuando se hace un lanzamiento público es que cualquier persona puede enviarte un informe de vulnerabilidad. Ten en cuenta que esto puede generar mucho ruido. Por ejemplo, es posible que los usuarios que no saben cómo acceder a sus cuentas o los bots de spam que completan formularios y envían correos electrónicos automáticamente pueden enviar informes a tu VDP. Es útil contar con plantillas que permitan cerrar rápidamente informes comunes que no estén relacionados con la seguridad, o incluso adelantarlos con el ajuste del formulario a fin de redireccionar a los usuarios al lugar correcto (por ejemplo, al personal de asistencia para cuestiones como contraseñas olvidadas). La buena noticia es que los hackers calificados que antes no tenían forma de comunicarse contigo ahora podrán hacerlo. Esto podría ayudarte a descubrir vulnerabilidades de gravedad alta o crítica que no sabías que existían. También incluye todos los beneficios mencionados anteriormente en esta guía, como tener un canal estandarizado para que la comunidad global de hackers te divulgue las vulnerabilidades de forma directa, lo que reduce el riesgo de violaciones de seguridad y relaciones públicas negativas.

Celebra

Felicitaciones. Has recorrido un largo camino y ahora tienes un VDP público. No te olvides de celebrar con tu equipo y todos los interesados que te ayudaron en el camino. Es importante expresar tu gratitud y encontrar una manera de celebrar juntos tu éxito. Además de celebrar el lanzamiento público del VDP, no olvides celebrar los hitos durante el proceso, como el aniversario de ese lanzamiento al público, o destacar errores particularmente interesantes y críticos que se encontraron y se solucionaron a través del VDP. Recopilar métricas a lo largo del proceso puede ayudar a demostrar el éxito del programa y destacar tus logros y los de tu equipo.