安全團隊
安全性團隊是對您 VDP 最重要的利害關係人。除了準備啟動及執行 VDP 的準備工作外,如果您的安全團隊尚未開始使用,就很難讓安全性團隊以外的人員購買。
推出 VDP 時,有時候會有驕傲或防禦性。此時安全性團隊可能會認為外部安全性研究人員發現他們遺漏的安全漏洞,可以藉此找出漏洞。公司有龐大複雜且複雜的攻擊面,而資安團隊無法達到完美的涵蓋率。敘述不應用手指或猥褻用語來指控他人。當研究人員發現安全漏洞時,您應該將這項資料做為可做為行動依據的意見回饋,協助您的團隊改善機構的安全防護機制。改變安全性團隊的思維,將外部駭客視為團隊的延伸,而非對手,至關重要。如前所述,您也想確保安全性團隊已主動討論如何處理與 VDP 相關的偵測和回應機制。
義大利
資訊技術對不同機構會有不同的影響,而每間公司都有一組 IT 相關角色。以本指南來說,我們假設 IT 是指負責設定、維護及支援商家所仰賴的系統與服務的個人和團隊。IT 團隊通常希望保持各項作業順利進行,這通常與成效指標直接相關 (例如中斷時間)。雖然邀請駭客針對他們維護的系統和服務進行測試雖然看起來很可怕,但其實 IT 團隊可帶來許多好處。犯罪只要建立標準化管道,讓理想的駭客與貴機構合作,就能提高識別及修正安全性問題的頻率,使安全性遭到惡意人士利用。資料侵害會帶來龐大的相關費用,包括 IT 和其他人員耗費的時間,以及因資料侵害而必須暫時關閉或區隔資產的潛在停機時間。制定 VDP 有助於降低資料侵害風險。此外,駭客重組也有助於發掘資產,並識別惡意系統和服務,而這類系統和服務不需要 IT 團隊的參與。
工程
除非安全性團隊會代表工程團隊處理安全漏洞修正工作,否則您要求工程機構加入 VDP。沒有人喜歡非預期工作,VDP 引進了工程團隊必須解決的新安全漏洞。請務必與工程部門主管合作,確保他們瞭解 VDP 推出時程,並取得他們的支持,以便投入資源來修正錯誤。VDP 推出後,通常一開始會有一些錯誤,然後會逐漸縮減為中等等級。只要在計畫的前幾週準備好修正大量錯誤,就能讓工程團隊、安全性團隊和參與 VDP 的駭客順利進行相關程序。由於您要求工程團隊進行額外工作,因此建議您說明 VDP 可為這些團隊帶來哪些好處。
Legal
法律團隊喜歡降低風險主動邀請駭客入侵貴機構 卻未取得其他背景資訊的概念,可能會具有風險。請務必諮詢您的法律團隊,瞭解 VDP 不僅能如何減少安全風險,同時也能降低法律風險。無論是否有 VDP,都會出現安全漏洞。如果沒有 VDP,駭客就無法正確與您聯絡並通知您問題。備妥 VDP 可讓安全性研究人員在安全漏洞成為法律問題前,協助您找出並修正問題。如果沒有接收安全漏洞報告的管道,辨別安全漏洞的人可能會放棄試圖回報這個問題,或是公開揭露問題,試圖吸引註意並確保問題已解決。
公共關係
視您的公開關係 (PR) 團隊對資訊安全的經驗而定,PR 團隊對於開始 VDP 提案的反應,可能從「何時開始?」開始受到驚嚇並徹底拒絕這個構想。雖然大眾對駭客的認知已開始逐漸改變,但「駭客」一詞仍然會對許多人造成負面影響。下表概略說明 PR 的常見問題與疑慮,以及應對方式的應對方式。
問題/推拒說法 | 可能的答案 |
---|---|
駭客不算邪惡嗎?邀請駭客入侵我們只是要求 我們出了問題? | 不會。犯罪者永遠存在,並想入侵及利用我們,但 VDP 提供了與希望採取正確做法的駭客合作的方式,幫助我們找出並修正安全漏洞。VDP 無法阻止 有人意圖惡作劇 |
萬一駭客入侵我們,而非幫助我們,該怎麼辦? | 如果使用者意圖不良的意圖,就不會參與 VDP。 反之,他們攻擊我們時可能會試圖保持去識別化狀態。 實施 VDP 可讓我們與有意協助的安全性研究人員合作。 |
因為要求駭客提供協助,我們是否承認我們的安全性是糟糕的? | 沒有任何機構能享有完美的安全防護。許多產業中許多非常知名的機構都會執行公開安全漏洞揭露程序或錯誤懸賞計畫,藉此強化現有安全性程序。善用全球駭客社群這項安全工具,就能找出並修正漏掉的漏洞。事實上,制定 VDP 可用於正面安全公關。 |
如果駭客公開揭露對我們發動的攻擊,該怎麼辦?我們不是壞事? | 這取決於揭露事項的敘事內容和性質。我們可以與駭客合作,針對揭露方式訂定雙方同意的條款。大多數機構都不希望公開揭露已發現的問題,直到問題修正為止,而且通常會與駭客合作撰寫說明書或網誌。如果不以有條理的方式接受安全漏洞報告,並與駭客進行此次對話,我們會比較容易受害者因無法與我們聯絡而感到挫折,並直通新聞媒體的風險。許多機構會積極鼓勵安全性研究人員寫下與機構合作的經驗,因為這可以突顯 VDP 的成功之處。也吸引社群中其他技術高超的駭客參與計畫。 |
我們要如何確保 VDP 適用於我們?如果我們公開對外發布 有時會發生不良行為,該怎麼辦? | 大部分的 VDP 一開始會設為「私人」模式,在不對外公布計畫的情況下,只會邀請少數駭客參與計畫。隨著時間的推移,受邀的駭客會越來越多,而這項計畫也逐漸向上擴充,直到達成「公開」的推出與公告為止。我們會既定時程表,也會讓您即時掌握計畫公開推出的時間。推出後,我們可將其標示為一個正面案例,說明機構如何與外部安全性研究人員社群合作,以改善安全性並保護使用者安全。 |
銷售
您的銷售團隊需要有證據,以證明貴公司相較於競爭對手的效益。在銷售過程中,機構通常會接受廠商安全性審查或稽核,以確保客戶的信任。制定 VDP 即可向客戶證明,您已採用成熟的安全性計畫,並與外部安全性研究人員合作,進一步強化該計畫。此外,如果您的密切競爭對手並未實施 VDP,您在與潛在客戶交談時,就能善用這一點。與銷售團隊合作,在機構安全性方面的疑慮時,建立提案並與潛在客戶分享。
比如
我們採用安全漏洞揭露計畫,強化現有穩固的安全程序 (如同安全網或鄰裡的監控器),以近乎即時的方式識別實際工作環境中的任何安全性問題。這有助於降低資料侵害發生的可能性,確保您的資料安全無虞。我們沒有推出安全漏洞揭露計畫,勝過我們的競爭對手。 |
財經
從 VDP 改用安全漏洞獎勵計畫 (VRP) 時,金融業可能會更投入,但如果您是透過第三方平台購買服務,則必須加入此計畫。如果您決定與第三方供應商合作,請對方協助您設定 VDP,很可能需要為這些服務編列預算。雖然這看似微不足道,但您也可以盡早與財務團隊討論,瞭解他們的程序。
溝通方式
如要達成相關人員的認同,您必須決定最適合貴機構的通訊方法。如果您預期大部分的機構都認同這個想法,通常就可以先執行一項提案、徵求意見回饋,然後舉行一場會議來討論任何疑問及疑慮。如果這個方法不適用於您的組織, 您可以與個別相關人員個別交流,討論他們的問題或疑慮。請準備好應對與啟動 VDP 相關的風險或疑慮。您在對整個機構提出 VDP 的概念時,必須銷售相關福利,並自信應對實際存在的風險。