安全团队
安全团队是 VDP 中最重要的利益相关方。除了为发布和运行 VDP 做准备的工作之外,如果您的安全团队不参与进来,让安全团队之外的人参与会更加困难。
有时,在推出 VDP 时,用户会感到有一种自豪或防卫感。安全团队可能会认为,外部安全研究人员如果发现了他们遗漏的漏洞,就可以指出他们的错误之处。公司面临大型且复杂的攻击面,安全团队无法指望拥有完美的覆盖。言论中不应指责任何人或指责任何人当研究人员发现漏洞时,应将这些数据用作切实可行的反馈,以帮助您的团队改善组织的安全状况。将您的安全团队的思维转变为将外部黑客视为团队的扩展,而不是对手,这一点至关重要。如前所述,您还需要确保安全团队主动讨论如何处理与您的 VDP 相关的检测和响应机制。
IT
信息技术对不同组织意味着不同的含义,并且每家公司都有自己的一组 IT 相关角色。在本指南中,我们假设 IT 是指负责设置、维护和支持业务所依赖的系统和服务的个人和团队。IT 团队通常希望确保一切正常运行。这通常与成功指标(例如不间断的正常运行时间)直接相关。虽然邀请黑客针对他们所维护的系统和服务进行测试的想法看起来可能会吓人,但实际上对 IT 有很大帮助。犯罪分子不遵守任何规则,并且可能会尝试攻击您的组织。通过创建标准化渠道,让好黑客与您的组织合作,您可以提高在安全问题被犯罪分子利用之前发现并解决安全问题的几率。数据泄露会带来巨大的成本,包括 IT 和其他人员花费的时间,以及由于数据泄露而需要暂时关闭或拆分资产时的潜在停机时间。制定 VDP 有助于降低违规风险。此外,黑客侦察还可以帮助您发现资产,识别无 IT 团队参与而启动的流氓系统和服务。
工程
除非您的安全团队代表工程团队承担修复漏洞的任务,否则您需要让工程组织参与 VDP。没有人喜欢出人意料的工作,而 VDP 会带来很多工程团队需要解决的新漏洞。请务必与工程部门的领导层合作,确保他们了解与 VDP 相关的时间表,并得到他们的支持,将资源用于修复 bug。VDP 推出后,在刚开始时通常会出现大量错误,然后会篡改到中等程度。让工程团队准备好在计划的头几周内修复大量 bug 有助于工程团队、安全团队和参与 VDP 的黑客变得更加顺畅。由于您要求工程团队做额外的工作,因此说明他们将从 VDP 获得哪些好处会很有帮助。
Legal
法务团队希望降低风险。在没有额外背景信息的情况下,主动邀请黑客入侵您的组织的概念似乎非常危险。请务必与您的法务团队沟通,了解制定 VDP 不仅可以如何降低安全风险,还可以降低法律风险。无论您是否有 VDP,漏洞都会存在。如果没有 VDP,那些想采取正确做法并向您告知相关问题的黑客就无法通过标准方式与您联系。通过推出 VDP,安全研究人员可帮助您发现并修复漏洞,避免漏洞成为法律问题。如果没有接受漏洞报告的渠道,发现漏洞的人员可能会放弃尝试向您报告,或者公开披露问题,试图引起人们的关注并确保问题得到修复。
公共关系
根据您的公共关系 (PR) 团队在信息安全方面的经验,公关团队对启动 VDP 的提案的反应可能从“我们什么时候开始?”到感到震惊甚至完全拒绝该想法。虽然公众对黑客攻击的看法开始更加积极,但“黑客”一词仍然会对许多人产生负面影响。下表列出了来自 PR 的常见问题和顾虑,以及如何处理这些异议。
问题/异议 | 可能的答案 |
---|---|
黑客不是恶意的吗?邀请他们入侵我们不就是为了出问题吗? | 不,犯罪分子总是存在,他们想要入侵我们、利用我们,但 VDP 创造了一种途径,可以与想做正确的事情并帮助我们查找并修复漏洞的黑客合作。如果有人心怀邪恶,VDP 无法阻止他们。 |
如果黑客真的入侵了我们,而不是帮助我们,该怎么办? | 如果有人心怀恶意,他们很可能不会参与 VDP。 相反,他们在攻击我们时可能会尽量保持匿名。 通过推出 VDP,我们能够与想要提供帮助的安全研究人员合作。 |
向黑客寻求帮助,是不是我们承认自己的安全状况不好? | 没有哪个组织能做到完美的安全性。各行各业的许多知名组织都实施了漏洞公开披露或 bug 奖励计划,以增强其现有的安全流程。利用全球黑客社区是一道安全网,可帮助找到并修复任何不足之处。事实上,推出 VDP 可用于积极的安全 PR。 |
如果黑客公开披露了入侵我们的方式,该怎么办?我们看起来是不是不好? | 这取决于披露声明的陈述和性质。我们需要与黑客合作,针对披露的运作方式制定可接受的条款。 大多数组织都不鼓励在发现的问题得到解决之前进行公开披露,并且他们通常会与黑客合作撰写相关文章或博客。如果缺乏条理清晰的途径来接受漏洞报告并与黑客进行这种对话,我们增加了因无法联系我们而感到沮丧并直接联系新闻机构的风险。许多组织会主动鼓励安全研究人员将他们与该组织合作的经历写下来,因为它突显了 VDP 的成功。这可鼓励社区中其他技术高超的黑客参与进来。 |
我们如何才能确保 VDP 发挥效用?如果我们上市后出现了不良后果,该怎么办? | 大多数 VDP 都是在“不公开”模式下启动的,在这种模式下,该计划不会公开公布,只有少数黑客受邀参与。随着时间的推移,会邀请更多黑客,该计划会逐渐扩大到“公开”发布和公告。我们会在时间安排方面协调一致,并让您及时了解该计划何时公开发布。届时,我们可以将它作为正面故事重点介绍,说明组织如何与外部安全研究人员社区合作来提高安全性并保障用户的安全。 |
销售
您的销售团队需要有证据证明您的公司比竞争对手具有优势。在销售流程中,组织通常会进行供应商安全审核或审核,以确保客户的信任。推出 VDP 可以向客户证明您具备成熟的安全计划,并通过与外部安全研究人员合作来进一步强化该计划。此外,如果您的近似竞争对手没有 VDP,您可以在与潜在客户交流时将此视为一项优势。当潜在客户对组织的安全性提出疑问时,与销售团队合作制作叙事内容,与潜在客户分享。
例如,
我们利用漏洞披露计划来增强我们现有可靠的安全流程,该计划充当着安全网或社区监控,可以近乎实时地识别生产环境中的任何安全问题。这有助于我们降低遭入侵的可能性,确保您的数据安全无虞。 与没有漏洞披露计划的竞争对手相比,这使我们有了坚实的优势。 |
财经
从 VDP 过渡到漏洞奖励计划 (VRP) 后,财务工作将更加投入,但如果您从第三方平台购买服务,则需要将他们包含在内。如果您决定与第三方供应商合作以制定 VDP,您可能需要为这些服务设定预算。这似乎是一件小事,但您最好尽早与财务团队沟通以了解其流程。
沟通方式
为了获得利益相关方的认可,您需要确定适合自己组织的最佳沟通方法。如果您预计组织中的大多数人都会感到满意,那么通常就可以着手制定一份提案,征求反馈,在一次会议上讨论任何问题和顾虑。如果此方法不适用于您的组织,则最好与利益相关方单独会谈,讨论他们个人的问题或疑虑。请准备好应对与启动 VDP 相关的风险相关的异议或问题。在向整个组织推介 VDP 的构想时,您需要说明具体好处,并自信地应对实际风险和可感知的风险。