Team addetto alla sicurezza
Il team per la sicurezza è lo stakeholder più importante della tua VDP. Oltre al lavoro necessario per prepararsi al lancio e all'esecuzione di una VDP, se il team di sicurezza non è presente, è più difficile convincere chi non fa parte del team di sicurezza a partecipare.
A volte c'è un senso di orgoglio o difensività quando si tratta di introdurre una VDP. Il team di sicurezza potrebbe pensare che i ricercatori esterni che identificano le vulnerabilità che hanno perso illuminano i loro errori. Le aziende hanno grandi superfici di attacco complesse e il team di sicurezza non può aspettarsi una copertura perfetta. Lo scopo della narrazione non deve puntare le dita o incolpare nessuno. Man mano che i ricercatori trovano le vulnerabilità, questi dati dovrebbero essere utilizzati come feedback utili per aiutare il tuo team a migliorare la strategia di sicurezza della tua organizzazione. Sarà di vitale importanza cambiare la mentalità del team di sicurezza in modo che consideri gli hacker esterni come un'estensione del team e non come utenti malintenzionati. Come accennato in precedenza, dovrai anche assicurarti che il tuo team di sicurezza abbia parlato in modo proattivo di come gestire i meccanismi di rilevamento e risposta in relazione alla VDP.
IT
L'IT ha un significato diverso a seconda dell'organizzazione e ogni azienda ha un proprio insieme di ruoli IT. Ai fini di questa guida, si parte dal presupposto che per IT si intendono le persone e i team responsabili della configurazione, della manutenzione e del supporto dei sistemi e dei servizi a cui l'azienda fa affidamento. I team IT in genere vogliono mantenere il tutto operativo. Questo è spesso legato direttamente alle metriche di successo (ad esempio, tempo di attività ininterrotto). Sebbene l'idea di invitare gli hacker a eseguire test su sistemi e servizi che gestiscono può sembrare spaventoso, in realtà è un grosso vantaggio per l'IT. I criminali non rispettano alcuna regola e potrebbero tentare di attaccare la tua organizzazione. Creando un canale standardizzato in cui alcuni buoni hacker possano collaborare con la tua organizzazione, puoi aumentare le probabilità di identificare e risolvere i problemi di sicurezza prima che vengano sfruttati dai criminali. Le violazioni hanno costi enormi, tra cui il tempo speso dall'IT e altri, nonché potenziali tempi di inattività nel caso in cui gli asset debbano essere disattivati o segmentati temporaneamente a seguito di una violazione. Una VDP può contribuire a ridurre il rischio di violazioni. Inoltre, l'esplorazione degli hacker può aiutare a individuare gli asset e a identificare sistemi e servizi dannosi che sono stati creati senza il coinvolgimento del team IT.
Ingegneria
A meno che il tuo team di sicurezza non si occupi di correggere le vulnerabilità per conto del team tecnico, la tua organizzazione di progettazione dovrà essere integrata con la VDP. A nessuno piace il lavoro imprevisto e le VDP introducono un nuovo flusso di vulnerabilità che i team di tecnici devono affrontare. È importante collaborare con la dirigenza dell'organizzazione di progettazione per assicurarsi che siano a conoscenza delle tempistiche associate al lancio della VDP, nonché ottenere il consenso da parte loro per dedicare risorse alla correzione dei bug. Quando viene avviata una VDP, di solito c'è un picco di bug all'inizio, poi viene manomesso a un livello moderato. Disporre di ingegneri pronti a correggere molti bug nelle prime settimane del tuo programma può contribuire a rendere il processo molto più semplice per il team di progettazione, il team di sicurezza e gli hacker che partecipano alla VDP. Dal momento che chiedi al team di tecnici di svolgere un ulteriore lavoro, è utile illustrare quali vantaggi otterranno da una VDP.
Ambito legale
Ai team legali piace ridurre i rischi. Il concetto di invitare proattivamente gli hacker ad attaccare l'organizzazione, senza ulteriore contesto, può sembrare molto rischioso. È importante collaborare con il tuo team legale per capire in che modo avere una VDP possa ridurre non solo i rischi per la sicurezza, ma anche quelli legali. Indipendentemente dal fatto che tu abbia o meno una VDP, saranno presenti vulnerabilità. Senza una VDP, gli hacker che vogliono fare la cosa giusta e informarti del problema non avranno un modo standard per contattarti. L'implementazione di una VDP consente ai ricercatori di sicurezza di aiutarti a trovare e risolvere le vulnerabilità prima che diventino problemi legali. Senza un canale per accettare i report sulle vulnerabilità, le persone che identificano le vulnerabilità potrebbero smettere di segnalare il problema o divulgarlo pubblicamente per tentare di attirarne l'attenzione e assicurarsi che venga risolto.
Pubbliche relazioni
A seconda dell'esperienza del team di pubbliche relazioni (PR) in materia di sicurezza delle informazioni, le reazioni del team PR alla proposta di avviare una VDP potrebbero variare da "quando iniziamo?", a essere scioccati e a rifiutare del tutto l'idea. Sebbene la percezione pubblica della pirateria informatica abbia iniziato a cambiare in modo più positivo, il termine hacker ha ancora connotazioni negative per molte persone. La seguente tabella illustra le domande e i dubbi comuni dei PR, nonché come gestire queste obiezioni.
| Domanda/obiezione | Possibile risposta |
|---|---|
| Gli hacker non sono malvagi? Invitarli ad hackerare ci sta solo chiedendo problemi? | No. I criminali esisteranno sempre e vorranno hackerare e sfruttarci, ma una VDP crea un modo per lavorare con gli hacker che vogliono fare la cosa giusta e aiutarci a trovare e risolvere le vulnerabilità. Se qualcuno vuole essere malvagio, una VDP non lo fermerà. |
| E se un hacker ci comprometta invece di aiutarci? | Se una persona ha cattive intenzioni, probabilmente non parteciperà alla VDP. Invece, potrebbero cercare di rimanere anonimi il più possibile quando ci attaccano. Avere una VDP ci consente di collaborare con i ricercatori sulla sicurezza che vogliono aiutare. |
| Chiedendo aiuto agli hacker ammettiamo che la nostra sicurezza sia scadente? | Nessuna organizzazione ha una sicurezza perfetta. Molte organizzazioni molto note di vari settori eseguono programmi di divulgazione pubblica di vulnerabilità o ricompense per i bug per aumentare i processi di sicurezza esistenti. Sfruttare la community globale di pirateria informatica è una rete di sicurezza che aiuta a trovare e sistemare tutto ciò che succede. Infatti, avere una VDP può essere usata per una valutazione positiva della sicurezza. |
| Cosa succede se un hacker rivela pubblicamente in che modo ci ha compromesso? Non staremo male? | Ciò dipende dalla narrazione e dalla natura dell'informativa. Spetta a noi collaborare con gli hacker per definire termini accettabili sul funzionamento della divulgazione. La maggior parte delle organizzazioni scoraggia la divulgazione pubblica dei problemi identificati fino a quando non sono stati risolti e in genere collaborano con l'hacker sul blog o sul resoconto. Senza un mezzo strutturato di accettare segnalazioni di vulnerabilità e di dialogo con gli hacker, aumenta il rischio che qualcuno si senta frustrato e vada dritto alla stampa perché non è riuscito a contattarci. Molte organizzazioni incoraggiano proattivamente i ricercatori sulla sicurezza a scrivere la propria esperienza di lavoro con l'organizzazione, poiché evidenzia il successo della VDP. Ciò incoraggia la partecipazione di altri hacker esperti nella community. |
| Come possiamo essere sicuri che la VDP funzionerà per noi? Cosa succede se la pubblicazione è in pubblico e succede qualcosa di brutto? | La maggior parte delle VDP inizia in modalità "privata", in cui il programma non viene annunciato pubblicamente e solo alcuni hacker sono invitati a partecipare. Nel corso del tempo, vengono invitati sempre più hacker e il programma viene lentamente alzato verso un lancio e un annuncio "pubblici". Rimarremo allineati sulle tempistiche e ti aggiorneremo su quando il programma verrà lanciato pubblicamente. In tal caso, possiamo sottolinearlo come una storia positiva sul modo in cui l'organizzazione collabora con la community esterna di ricercatori sulla sicurezza per migliorare la sicurezza e mantenere gli utenti al sicuro. |
Vendite
Il tuo team di vendita ha bisogno di prove che dimostrino i vantaggi che la tua azienda ha da offrire rispetto alla concorrenza. Nell'ambito del processo di vendita, le organizzazioni spesso vengono sottoposte a una verifica o un controllo di sicurezza del fornitore per garantire la fiducia dei clienti. L'implementazione di una VDP dimostra ai tuoi clienti che hai un programma di sicurezza maturo in atto e lo amplia ulteriormente collaborando con ricercatori esterni per la sicurezza. Inoltre, se i tuoi concorrenti più stretti non hanno una VDP, può essere utilizzata come vantaggio quando si parla con i potenziali clienti. Collabora con il team di vendita per creare una narrazione da condividere con i potenziali clienti in caso di domande sulla sicurezza dell'organizzazione.
Ad esempio:
| Usiamo un programma di divulgazione delle vulnerabilità per potenziare i nostri solidi processi di sicurezza esistenti, che funzionano come una rete di sicurezza o un controllo di quartiere per aiutare a identificare eventuali problemi di sicurezza in produzione quasi in tempo reale. Questo ci aiuta a garantire la sicurezza dei tuoi dati riducendo la probabilità di violazioni. Questo ci offre un solido vantaggio rispetto ai nostri concorrenti che non hanno un programma di divulgazione delle vulnerabilità. |
Finanza
Il settore finanziario sarà probabilmente più coinvolto quando passi da una VDP a un programma a premi per vulnerabilità (VRP), ma dovrà essere incluso se acquisti servizi da una piattaforma di terze parti. Se decidi di avvalerti di un fornitore di terze parti per configurare la VDP, probabilmente dovrai impostare un budget per questi servizi. Potrebbe sembrare una cosa da poco, ma è una buona idea parlare subito con il tuo team finanziario per capire come funziona.
Approccio alla comunicazione
Per ottenere il consenso degli stakeholder, devi determinare i migliori metodi di comunicazione per la tua organizzazione. Se prevedi che la maggior parte della tua organizzazione sarà accettabile, spesso puoi procedere con una singola proposta, sollecitare il feedback e condurre una singola riunione per discutere di eventuali domande e dubbi. Se questo approccio non funziona nella tua organizzazione, un approccio migliore potrebbe essere incontrare le parti interessate singolarmente per discutere delle loro domande o preoccupazioni personali. Preparati a gestire le obiezioni o le domande sui rischi associati all'avvio di una VDP. Nel presentare l'idea di una VDP all'interno della tua organizzazione, devi venderne i vantaggi e affrontare con sicurezza i rischi reali e percepiti.