צוות האבטחה
צוות האבטחה הוא בעל העניין החשוב ביותר ב-VDP. בנוסף לעבודה שנדרשת כדי להתכונן להשקה ולהפעלה של VDP, אם צוות האבטחה שלכם לא נמצא שם, קשה יותר לגייס אנשים מחוץ לצוות האבטחה כדי להצטרף.
לפעמים יכולה להיות תחושה של גאווה או הגנה בכל הנוגע להצגת VDP. ייתכן שצוות האבטחה ירגיש שחוקרי אבטחה חיצוניים שמזהים נקודות חולשה שהחמיצו, יבהירו להם על הכשל שלהם. לחברות יש משטחי תקיפה גדולים ומורכבים, וצוות האבטחה פשוט לא צפוי לקבל כיסוי מושלם. הנרטיב לא צריך להיות להצביע או להאשים מישהו. כאשר חוקרים מזהים נקודות חולשה, כדאי להשתמש בנתונים האלה כמשוב מעשי כדי לעזור לצוות לשפר את מצב האבטחה בארגון. חשוב מאוד לשנות את הלך הרוח של צוות האבטחה כך שיתייחס להאקרים חיצוניים כהרחבה של הצוות, ולא ליריבים. כפי שצוין קודם לכן, כדאי לוודא שצוות האבטחה שוחח באופן יזום על האופן שבו צריך לטפל במנגנוני זיהוי ותגובה בהקשר של VDP.
IT
לטכנולוגיית מידע יש תפקידים שונים לארגונים שונים, ולכל חברה יש תפקידים משלה ב-IT. למטרת המדריך הזה, נניח שמחלקת ה-IT מתייחסת לאנשים ולצוותים שאחראים להגדרה, לתחזוקה ולתמיכה של מערכות ושירותים שהעסק מסתמך עליהם. באופן כללי, צוותי ה-IT מעוניינים שהכול יפעל כמו שצריך. בדרך כלל הדבר קשור ישירות למדדי ההצלחה (למשל, זמן פעילות ללא הפרעה). אמנם הרעיון של הזמנת האקרים לבדוק מערכות ושירותים שהם מחזיקים בהם יכול להיראות מפחיד, אבל למעשה הוא מועיל מאוד ל-IT. פושעים לא מצייתים לכללים כלשהם, והם עלולים לנסות לתקוף את הארגון שלכם. על ידי יצירת ערוץ סטנדרטי שבאמצעותו האקרים טובים יוכלו לעבוד עם הארגון, תוכלו להגביר את הסיכויים לזיהוי ולתיקון של בעיות אבטחה לפני שפושעים ינצלו אותן. לפריצות יש עלויות עצומות, כולל זמן השימוש של מחלקת ה-IT וגורמים אחרים, וכן זמן השבתה אפשרי אם צריך להשבית או לפלח באופן זמני נכסים בגלל פריצה. שימוש ב-VDP יכול לעזור להפחית את הסיכון של פריצות. בנוסף, האיסוף של האקרים יכול לעזור בזיהוי נכסים ובזיהוי מערכות ושירותים בעייתיים שהופעלו ללא מעורבות של צוות ה-IT.
הנדסה
אלא אם צוות האבטחה שלכם לוקח על עצמו את המשימה של תיקון נקודות חולשה מטעם צוות מהנדסי התוכנה שלכם, הארגון ההנדסי שלכם צריך להיות כפוף ל-VDP. אף אחד לא אוהב עבודות לא צפויות, ו-VDP יוצר מצב חדש של נקודות חולשה שצוותי ההנדסה צריכים לטפל בהן. חשוב לעבוד יחד עם ההנהלה בארגון מהנדסי התוכנה כדי לוודא שהם מודעים ללוחות הזמנים של השקת ה-VDP, וכדי לשכנע אותם לשריין לעצמם משאבים לטיפול בבאגים. כשמשיקים VDP, בדרך כלל יש עלייה חדה בבאגים בהתחלה, ואז היא מצטמצמת לרמה בינונית. כשמתכננים את מהנדסי התוכנה לתיקון הרבה באגים בשבועות הראשונים של התוכנית, התהליך יכול להיות הרבה יותר חלק לצוות ההנדסה, לצוות האבטחה ולהאקרים שמשתתפים בתוכנית VDP. מאחר שאתם מבקשים מצוות מהנדסי התוכנה לבצע פעולות נוספות, חשוב להמחיש את היתרונות שהם יכולים להפיק מה-VDP.
משפטי
בצוותים משפטיים אוהבים להפחית את הסיכון. הרעיון של הזמנה יזומה של האקרים לפרוץ לארגון, ללא הקשר נוסף, יכול להיראות מאוד מסוכן. חשוב לעבוד עם הצוות המשפטי כדי לבדוק איך התקנה של VDP יכולה להפחית לא רק את סיכוני האבטחה, אלא גם את הסיכון המשפטי. גם אם יש לכם VDP וגם אם לא, יש נקודות חולשה. ללא VDP, להאקרים שרוצים לעשות את הדבר הנכון ולהודיע לכם על הבעיה לא תהיה להם דרך רגילה ליצור איתכם קשר. הקמה של VDP היא אמצעי שבו חוקרי אבטחה יכול לעזור לכם למצוא נקודות חולשה ולתקן אותן לפני שהן הופכות לבעיה משפטית. בלי ערוץ לקבלת דיווחים על נקודות חולשה, אנשים שמזהים נקודות חולשה עשויים לוותר על הניסיון לדווח על כך, או לחשוף את הבעיה באופן פומבי בניסיון למשוך אליה תשומת לב ולהבטיח שהיא תיפתר.
יחסי ציבור
בהתאם לחוויה של צוות יחסי הציבור (PR) עם אבטחת המידע, התגובות מצוות יחסי הציבור לגבי הצעה להתחיל תצ"ל עשויות לנוע בין מתי מתחילים? לבין התרגשות ולדחות את הרעיון לגמרי. בעוד שהתפיסה הציבורית לגבי פריצה החלה להשתנות באופן חיובי יותר, למילה האקר עדיין יש הקשר שלילי לאנשים רבים. בטבלה הבאה מפורטות השאלות הנפוצות והחששות של מחלקת יחסי הציבור, ודרכים להתמודד עם ההתנגדויות האלה.
שאלה/התנגדות | תשובה אפשרית |
---|---|
האם ההאקרים הם לא רעים? האם להזמין אותם לפרוץ לנו רק ולבקש מהם בעיה? | לא. פושעים תמיד יהיו קיימים והם ירצו לפרוץ ולנצל את נקודות החולשה שלנו, אבל VDP יוצר דרך לעבוד עם האקרים שרוצים לעשות את הדברים הנכונים ולעזור לנו למצוא נקודות חולשה ולתקן אותן. אם מישהו רוצה להיות רשע, ה-VDP לא יעצור אותו. |
מה קורה אם האקר באמת פורץ לנו, במקום לעזור לנו? | אם למישהו יש כוונות רעות, סביר להניח שהוא לא ישתתף ב-VDP. במקום זאת, הם עשויים לנסות להישאר אנונימיים כשהם תוקפים אותנו. השימוש ב-VDP מאפשר לנו לעבוד עם חוקרי אבטחה שרוצים לעזור. |
כשאנחנו מבקשים עזרה מהאקרים, האם אנחנו מודים שהאבטחה שלנו פגומה? | לאף ארגון אין אבטחה מושלמת. ארגונים רבים וידועים מאוד בענפים שונים מפעילים תוכניות לגילוי נקודות חולשה ציבוריות או לאיתור באגים, כדי להעשיר את תהליכי האבטחה הקיימים שלהם. המינוף של קהילת הפריצה הגלובלית מספק רשת ביטחון כדי לעזור לאתר ולתקן כל דבר שנופל בין הסדקים. למעשה, אפשר להשתמש ב-VDP לצורך יחסי ציבור חיוביים. |
מה קורה אם האקר חושף בציבור איך הוא פרץ לנו? לא נראה רע? | הדבר תלוי בנרטיב של החשיפה ובאופי של הגילוי הנאות. ובאחריותנו לשתף פעולה עם האקרים כדי להגדיר תנאים מוסכמים לגבי אופן הפעולה של גילוי נאות. רוב הארגונים לא מעודדים חשיפה של בעיות שזוהו באופן גלוי לכולם עד שהן יתוקנו, ובדרך כלל הם עובדים עם ההאקר בכתיבה או בבלוג. בלי אמצעי מובנה לקבל דיווחים על נקודות חולשה ולנהל את הדו-שיח הזה עם האקרים, אנחנו מגבירים את הסיכון לכך שמישהו יתסכל ויגיע ישירות לעיתונות מפני שהוא לא הצליח ליצור איתנו קשר. ארגונים רבים מעודדים חוקרי אבטחה לכתוב את ניסיונם בעבודה עם הארגון, כדי להדגיש את ההצלחה של ה-VDP. כך תעודדו את ההשתתפות של האקרים מיומנים אחרים בקהילה. |
איך אנחנו יכולים להיות בטוחים שה-VDP יעבוד בשבילנו? מה אם נפרסם את הציבור ויקרה משהו רע? | רוב מכונות ה-VDP מתחילות במצב "פרטי", שבו התוכנית לא הוצהרה באופן ציבורי ורק קומץ האקרים מוזמנים להשתתף. עם הזמן, האקרים נוספים מוזמנים, והתוכנית מתפתחת בהדרגה לקראת השקה והכרזה על המצב הציבורי. נמשיך להתאים את עצמנו לתזמון, ונעדכן אתכם מתי התוכנית תושק לציבור. כשהדבר נכון, אנחנו יכולים להדגיש זאת כסיפור חיובי על האופן שבו הארגון עובד עם קהילת חוקרי האבטחה החיצונית כדי לשפר את האבטחה ולשמור על בטיחות המשתמשים. |
מכירות
צוות המכירות שלכם צריך הוכחות שממחישות את היתרונות שהחברה יכולה להציע על פני המתחרים. כחלק מתהליך המכירות, ארגונים עוברים לעיתים קרובות ביקורת או ביקורת אבטחה של ספקים כדי להבטיח את אמון הלקוחות. השימוש ב-VDP מוכיח ללקוחות שיש לכם תוכנית אבטחה למבוגרים, ומחזק אותה עוד יותר באמצעות עבודה עם חוקרי אבטחה חיצוניים. בנוסף, אם למתחרים הקרובים שלכם אין VDP, ניתן להשתמש בכך ליתרון כשאתם מדברים עם לקוחות פוטנציאליים. מומלץ לעבוד עם צוות המכירות כדי ליצור נרטיב ולשתף אותו עם לקוחות פוטנציאליים כשיש שאלות לגבי האבטחה של הארגון.
לדוגמה,
אנחנו משתמשים בתוכנית לגילוי נקודות חולשה כדי להעשיר את תהליכי האבטחה הקיימים שלנו, ולהשתמש בהם כמו רשת ביטחון או שעון שכונתי כדי לזהות בעיות אבטחה בסביבת הייצור כמעט בזמן אמת. כך אנחנו מצמצמים את הסיכוי לפרצות כדי לוודא שהנתונים שלכם בטוחים. כך יש לנו יתרון יציב על פני המתחרים שלנו שאין להם תוכנית לחשיפת נקודות חולשה. |
פיננסים
סביר להניח שמחלקת כספים תהיה מעורבת יותר כשתעברו מ-VDP לתוכנית תגמול על נקודות חולשה (VRP), אבל תצטרכו לכלול אותם אם תרכשו שירותים מפלטפורמה של צד שלישי. אם תחליטו להיעזר בספק מצד שלישי שיעזור לכם להגדיר את ה-VDP, סביר להניח שתצטרכו להגדיר תקציב לשירותים האלה. זה אולי נשמע לך דבר קטן, אבל כדאי לדבר עם צוות הכספים שלך בשלב מוקדם כדי להבין את התהליך שלו.
גישה לתקשורת
כדי למשוך את תשומת הלב של בעלי העניין, תצטרכו להחליט מהן שיטות התקשורת הטובות ביותר לארגון. אם אתם מצפים שרוב הארגון שלכם יהיה מרוצה, תוכלו בדרך כלל להמשיך עם הצעה אחת, לבקש משוב ולערוך פגישה אחת כדי לדון בשאלות או בחששות שלכם. אם הגישה הזו לא תעבוד בארגון, כדאי להיפגש עם כל בעלי העניין באופן אישי כדי לדון בשאלות או בחששות האישיים שלהם. להיות מוכנים להתמודד עם התנגדויות או שאלות בנוגע לסיכונים הקשורים להתחלת VDP. כשאתם מציגים את הרעיון של תיאור VDP בארגון, עליכם למכור את היתרונות שלו ולטפל בסיכונים אמיתיים ומהימנים.