השקת VDP

התחלה בַּקטנה

הנושא הזה הוזכר בעבר, אבל כדאי לחזור ולבדוק אותו. ייתכן שמפתה להשיק את התוכנית באופן "פומבי" אם מכריזים עליה לעולם, ואם מדובר בתוכנית פנימית, אפשר להנגיש לציבור את מדיניות התוכנית וטופס השליחה לדיווח. זה עלול להיות מסוכן, כי זה לא נותן לכם הזדמנות להתחיל בקטן ולהגדיל את היקף הפעילות. לא משנה כמה תכינו, תמיד יהיו הפתעות כשתשיקו VDP. יכול להיות שיהיו לכם יותר נקודות חולשה מהצפוי ולא תוכלו לעמוד בקצב. יכול להיות שמחצית מהצוות חולה ולא יכול לעזור באיתור באגים. אולי שכחתם להפעיל סריקות מאומתות, וכשאחד מהחוקרים מנסה ליצור 100, 000 חשבונות חדשים,המערכת הציפה בטעות את המערכת. לא משנה מה ההפתעות, תמיד עדיף להתחיל בקטן ולהגדיל את התוכנית באיטיות במשך הזמן. עלולות להיות בעיות, זה נורמלי לחלוטין, אבל עדיף שרוחב הפס יטפל בהן בנפרד.

אם החלטתם לפתח את התוכנית באופן פנימי, עדיין תרצו לציית למדיניות התוכנית ולשלוח טופס לדיווח באתר, אבל אולי תרצו לדרוש מהאקרים להתחבר לאתר כדי שתוכלו לראות אותה. אם אתם משתמשים בפלטפורמה של צד שלישי, הם יטפלו באופן אוטומטי בהזמנת קבוצה קטנה של חוקרי אבטחה. בכל מקרה, תוכלו ליצור תבנית הזמנה שתשמש להזמנת האקרים אל ה-VDP הפרטי שלכם, באופן הבא:

שלום, <שם הארגון> רוצה להזמין אותך להשתתף בתוכנית VDP הפרטית שלנו. אנחנו מתחילים את המצב הפרטי במצב פרטי כדי שנוכל לפתח את תהליכי ה-VDP שלנו ולספק את החוויה הטובה ביותר לחוקרי אבטחה. עיינו במדיניות התוכנית שלנו כדי לקבל הנחיות לביצוע הבדיקה וההיקף שלה. אם יש לכם משוב שיעזור לנו בשלבים הראשונים של ה-VDP, נשמח אם תפנו אלינו.

אחרי שסדרת החוקרים הראשונה תוזמנו ותינתן להם גישה לתוכנית, יתחילו להגיע דוחות. לחלופין, יכול להיות שלא תקבלו דוחות, אבל זה בסדר. נניח שאתם מזמינים חמישה חוקרי אבטחה. יכול להיות ששניים מהם עסוקים מדי ויחליטו לא לבחון את התוכנית שלך בכלל. אדם אחר עלול להיות בחופשה ולהחמץ לחלוטין את הודעת ההזמנה שלך. ההאקרים הרביעיים והחמישים עשויים לבצע בדיקות במשך יום או יומיים, אבל לא לאתר נקודות חולשה. יכול להיות שהם יחזרו אליה כמה שבועות אחר כך ומדווחים על משהו, אבל עדיין יכול להיות מפתיע לעבור על כל התהליך, לשלוח הזמנות בלי לקבל דיווחים. אם זה קורה, אל דאגה. זה לגמרי נורמלי, והסיבה שבגללה כדאי להתחיל בקטן ולהגדיל את היקף החשיפה. אם שלחתם חמש הזמנות ולא קיבלתם כמות גדולה של דיווחים, שלחו עוד חמש, ואז עוד חמש, עשר, או אפילו עשרים. אם אתם משתמשים בפלטפורמה של צד שלישי, יש להם מנגנונים אוטומטיים שמפנים האקרים לאט עם הזמן על סמך נפח הדוחות הרצוי. מצד שני, אם מקבלים מספר עצום של דוחות על נקודות חולשה אחרי שמזמינים רק חמישה חוקרי אבטחה, מומלץ להמתין עד שנפח הדוחות יקטן.

מיון וחזרה

בשבוע או שבועיים הראשונים אחרי השקת ה-VDP, יכול להיות שתרצו ששני אנשים או יותר יהיו עובדים באותו זמן כדי לטפל בדיווחים על נקודות חולשה, לדווח על באגים וליצור קשר עם חוקרים. בדרך כלל יש עלייה חדה בדוחות אחרי השקת תוכנית, ואז היא מצליחה להתייעל עם הזמן. כשאתם מטפלים בשליחה של דיווחים נכנסים על נקודות חולשה, אתם עשויים לקבל משוב מהאקרים ולזהות פערים או אי-הבנות במדיניות התוכנית. יכול להיות גם שתגלו בעיות בתהליכים ובכלים שלכם. בשבועיים הראשונים, הצוות יקדיש לכם תשומת לב רבה ואנרגיה רבה. תוכלו לנצל את הזמן הזה כדי לחזור על התוכנית ולשפר אותה במהירות. אחרי חודש או חודשיים הדברים ייעלמו, והפעלת התוכנית בצורה חלקה תהפוך לטבע השני.

להרחיב את הפעילות העסקית, להשיק באופן ציבורי

ככל שהצוות שלכם יתרגל לנהל את התוכנית, תוכלו להזמין עוד ועוד האקרים להשתתף. הרחבתם את ההיקף כך שיכלול את כל מה שאתם יודעים על קיומם (גם נכסים שאולי לא ידעתם על קיומם). בסופו של דבר, יכול להיות שתזמינו מאה או אפילו כמה מאות האקרים, אבל נראה שנפח הדיווחים הולך ופוחת. מידת החומרה של הדוחות שנשלחים היא נמוכה או בינונית. רוטציית אנשי קשר היא די פשוטה, ולצוות שלכם יש ניסיון רב באיתור דיווחים על נקודות חולשה, עידוד הטיפול בהם והתקשורת עם האקרים. בשלב זה, אתם ככל הנראה מוכנים להשיק את התוכנית שלכם באופן ציבורי. לפני שעושים את זה, כדאי לחדש את הקשר עם כל בעלי העניין כדי לוודא שהם מודעים להשקה הציבורית וקונים דרכה. בדומה להשקה הראשונית והפרטית, הצוות שלכם מתכונן לעלייה פוטנציאלית נוספת בנפח הדוחות לקראת ההשקה הציבורית. אחד ההבדלים העיקריים בהשקה לציבור הוא שכולם יכולים לשלוח לכם דוח על נקודות חולשה. חשוב לזכור שהדבר עשוי ליצור הרבה רעש. לדוגמה, משתמשים שלא יודעים איך להיכנס לחשבון או אפילו בוטים של ספאם שממלאים טפסים ושולחים אימיילים באופן אוטומטי עשויים לשלוח דוחות ל-VDP. כדאי להכין תבניות לסגירה מהירה של דוחות נפוצים שלא קשורים לאבטחה, או אפילו למזער זאת מראש על ידי שינוי הטופס כך שיפנה את המשתמשים למקום הנכון (לדוגמה, צוות התמיכה לדברים כמו שכחת סיסמאות). חוץ מזה, אם תפתחו את התוכנית לקהל הרחב, האקרים מיומנים שלא הייתה להם דרך ליצור איתכם קשר לפני כן יוכלו לעשות זאת, כדי לאתר נקודות חולשה בחומרה גבוהה או קריטיות שלא ידעתם על קיומם. יש לו גם את כל היתרונות שמוזכרים במדריך הזה, כולל ערוץ סטנדרטי כך שקהילת ההאקינגים ברחבי העולם תחשוף נקודות חולשה באופן ישיר אליכם, וכך תפחיתו את הסיכון לפרצות וליחסי יחסי ציבור שליליים.

חגיגה

ברכות, עברת דרך ארוכה, ועכשיו יש לך ת"ז ציבורי. אל תשכחו לחגוג עם הצוות שלכם ועם כל בעלי העניין שעזרו לכם לאורך הדרך. חשוב להביע את הכרת התודה ולמצוא דרך לחגוג את ההצלחה שלכם יחד. מעבר לחגיגה של ההשקה הציבורית של ה-VDP, חשוב לזכור לציין גם אבני דרך לאורך הדרך, כמו שנת השנה להשקה הציבורית, או על ידי הדגשת באגים מעניינים וקריטיים במיוחד שנמצאו ותוקנו באמצעות ה-VDP. איסוף המדדים לאורך הדרך יכול לעזור להדגים את הצלחת התוכנית ולהדגיש את ההישגים שלכם ושל הצוות.