Equipe de segurança
A equipe de segurança é a parte interessada mais importante para o VDP. Além do trabalho necessário para se preparar para lançar e executar um VDP, se a equipe de segurança não estiver integrada, será mais difícil conseguir que pessoas de fora da equipe de segurança concordem.
Às vezes, pode haver um sentimento de orgulho ou ficar na defensiva quando se trata de apresentar um VDP. A equipe de segurança pode sentir que os pesquisadores de segurança externos, que identificaram vulnerabilidades, apontaram as falhas deles. As empresas têm superfícies de ataque grandes e complexas, e não se pode esperar que a equipe de segurança tenha uma cobertura perfeita. A narrativa não deve ser apontar o dedo ou culpar ninguém. À medida que os pesquisadores encontram vulnerabilidades, esses dados devem ser usados como um feedback acionável para ajudar sua equipe a melhorar a postura de segurança da organização. Será fundamental mudar a mentalidade de sua equipe de segurança para considerar hackers externos como uma extensão da equipe, e não adversários. Conforme mencionado anteriormente, verifique também se a equipe de segurança teve uma conversa proativa sobre como lidar com os mecanismos de detecção e resposta relacionados ao VDP.
TI
A tecnologia da informação tem significados diferentes para cada organização, e cada empresa tem o próprio conjunto de funções relacionadas à TI. Neste guia, presumimos que TI se refere aos indivíduos e equipes responsáveis por configurar, manter e oferecer suporte aos sistemas e serviços de que a empresa confia. As equipes de TI geralmente querem manter tudo funcionando. Isso geralmente está vinculado diretamente às métricas de sucesso (por exemplo, tempo de atividade ininterrupto). Convidar hackers para testar os sistemas e serviços mantidos por eles pode parecer assustadora, mas isso beneficia muito a TI. Os criminosos não respeitam nenhuma regra e podem tentar atacar sua organização. Ao criar um canal padronizado para que bons hackers trabalhem com sua organização, você aumenta as chances de identificar e corrigir problemas de segurança antes que eles sejam explorados por criminosos. As violações têm enormes custos associados a elas, incluindo o tempo gasto pela TI e por outras pessoas, além do possível tempo de inatividade se os recursos precisarem ser desativados ou segmentados temporariamente como resultado de uma violação. Ter um VDP pode ajudar a reduzir o risco de violações. Além disso, o reconhecimento de hackers pode ajudar na descoberta de recursos e na identificação de sistemas e serviços maliciosos que foram ativados sem o envolvimento da equipe de TI.
Engenharia
A menos que sua equipe de segurança assuma a tarefa de corrigir vulnerabilidades em nome da equipe de engenharia, sua organização de engenharia precisa trabalhar com o VDP. Ninguém gosta de trabalho inesperado, e os VDPs apresentam um novo fluxo de vulnerabilidades que as equipes de engenharia precisam resolver. É importante trabalhar com a liderança da organização de engenharia para garantir que eles estejam cientes do cronograma associado ao lançamento do VDP, além de conseguir a adesão dela para dedicar recursos à correção de bugs. Quando um VDP é iniciado, normalmente há um pico de bugs no início, depois ele é adulterado para um nível moderado. Ter a engenharia pronta para corrigir muitos bugs nas primeiras semanas do programa pode tornar o processo muito mais fácil para a equipe de engenharia, a equipe de segurança e os hackers que participam do VDP. Como você está pedindo à equipe de engenharia para trabalhar mais, é útil ilustrar os benefícios de um VDP.
Jurídico
As equipes jurídicas gostam de reduzir riscos. O conceito de convidar hackers proativamente para invadir sua organização, sem contexto adicional, pode parecer muito arriscado. É importante trabalhar com sua equipe jurídica para ver como ter um VDP pode reduzir não apenas os riscos de segurança, mas também o risco jurídico. Mesmo que você não tenha um VDP, há vulnerabilidades. Sem um VDP, os hackers que querem fazer a coisa certa e informar sobre o problema não terão uma maneira padrão de entrar em contato com você. Ter um VDP fornece meios para que os pesquisadores de segurança ajudem você a encontrar e corrigir vulnerabilidades antes que elas possam se tornar um problema jurídico. Sem um canal para aceitar relatórios de vulnerabilidade, as pessoas que identificam vulnerabilidades podem desistir de reportar a você ou possivelmente divulgar publicamente o problema na tentativa de chamar atenção para ele e garantir que ele seja corrigido.
Relações públicas
Dependendo da experiência da sua equipe de relações públicas (RP) com segurança da informação, as reações da equipe sobre uma proposta para iniciar um VDP podem variar de "quando começamos?" até ficar chocado e rejeitar totalmente a ideia. Embora a percepção pública sobre invasão tenha começado a mudar de forma mais positiva, a palavra hacker ainda tem conotações negativas para muitas pessoas. A tabela a seguir descreve perguntas e preocupações comuns de RP e como lidar com essas objeções.
Pergunta/objeção | Possível resposta |
---|---|
Os hackers não são maus? Convidar eles a nos invadirem só pedir problemas? | Não. Os criminosos sempre existem e querem nos invadir e explorar, mas um VDP cria uma maneira de trabalhar com hackers que querem fazer a coisa certa e nos ajudar a encontrar e corrigir vulnerabilidades. Se alguém quer ser mau, um VDP não vai pará-lo. |
E se um hacker nos invadir em vez de ajudar? | Se alguém tiver más intenções, provavelmente não participará do VDP. Em vez disso, eles podem tentar permanecer o mais anônimo possível ao nos atacar. Ter um VDP permite trabalhar com pesquisadores de segurança que querem ajudar. |
Ao pedir ajuda a hackers, estamos admitindo que nossa própria segurança é ruim? | Nenhuma organização tem a segurança perfeita. Muitas organizações muito conhecidas em vários setores executam programas de divulgação de vulnerabilidade pública ou de recompensa para bugs para aumentar os processos de segurança atuais. O uso da comunidade global de hackers é uma rede de segurança que ajuda a encontrar e corrigir qualquer problema. Ter um VDP pode ser usado para uma RP de segurança positiva. |
E se um hacker divulgar publicamente como nos invadiu? Não será que não passaremos mal? | Isso depende da narrativa e da natureza da divulgação. Cabe a nós trabalhar com hackers para definir termos agradáveis sobre como a divulgação funciona. A maioria das organizações desencoraja a divulgação pública de problemas identificados até que eles sejam corrigidos, e geralmente trabalha com o hacker na redação ou no blog. Sem uma forma estruturada de aceitar relatórios de vulnerabilidade e se envolver nesse diálogo com os hackers, aumentamos o risco de alguém se frustrar e ir direto à imprensa porque não conseguiu entrar em contato conosco. Muitas organizações incentivam os pesquisadores de segurança a escrever sobre sua experiência em trabalhar com a organização, porque isso destaca o sucesso do VDP. Isso incentiva a participação de outros hackers habilidosos da comunidade. |
Como podemos ter certeza de que o VDP funcionará para nós? E se entrarmos em público e algo ruim acontecer? | A maioria dos VDPs começa no modo "privado", em que o programa não é anunciado publicamente, e apenas alguns hackers são convidados a participar. Com o tempo, mais hackers são convidados e o programa é lentamente dimensionado para um lançamento e anúncio públicos. Vamos ficar alinhados quanto ao cronograma e atualizar você sobre quando o programa será lançado publicamente. Quando isso acontece, podemos destacar como uma história positiva no modo como a organização trabalha com a comunidade externa de pesquisadores de segurança para melhorar a segurança e manter os usuários seguros. |
Vendas
A equipe de vendas precisa de evidências para demonstrar os benefícios que sua empresa tem a oferecer em relação aos concorrentes. Como parte do processo de vendas, as organizações geralmente passam por uma análise ou auditoria de segurança de fornecedores para garantir a confiança do cliente. Ter um VDP demonstra aos seus clientes que você tem um programa de segurança maduro em vigor e o amplia ainda mais trabalhando com pesquisadores de segurança externos. Além disso, se os concorrentes próximos não tiverem um VDP, isso pode ser usado como uma vantagem ao falar com clientes em potencial. Trabalhe com a equipe de vendas para criar uma narrativa a ser compartilhada com clientes em potencial quando surgirem dúvidas sobre a segurança da organização.
Por exemplo,
Empregamos um programa de divulgação de vulnerabilidade para aprimorar nossos processos robustos de segurança, que atuam como uma rede de proteção ou vigilância para ajudar a identificar problemas de segurança na produção quase em tempo real. Isso nos ajuda a garantir que seus dados estejam seguros, reduzindo a probabilidade de violações. Isso nos dá uma vantagem sólida em relação aos nossos concorrentes que não têm um programa de divulgação de vulnerabilidades. |
Finanças
As finanças provavelmente vão estar mais envolvidas quando você migra de um VDP para um Programa de recompensa para descobertas de vulnerabilidades (VRP, na sigla em inglês), mas eles precisam ser incluídos se você comprar serviços de uma plataforma de terceiros. Se você decidir entrar em contato com um fornecedor terceirizado para ajudar a configurar o VDP, provavelmente precisará fazer um orçamento para esses serviços. Pode parecer pouca coisa, mas é uma boa ideia falar com a equipe financeira logo no início para entender o processo.
Abordagem de comunicação
Para conseguir a adesão das partes interessadas, você precisará determinar os melhores métodos de comunicação para sua organização. Se você estima que a maior parte da organização seja agradável, poderá prosseguir com uma única proposta, solicitar feedback e conduzir uma única reunião para discutir dúvidas e preocupações. Se essa abordagem não funcionar na sua organização, uma reunião com as partes interessadas individualmente para discutir questões ou preocupações pessoais pode ser uma abordagem melhor. Prepare-se para lidar com objeções ou perguntas sobre os riscos associados ao início de um VDP. Ao apresentar a ideia de um VDP em toda a organização, você precisará vender os benefícios e abordar com confiança os riscos reais e percebidos.