Команда безопасности
Команда безопасности является наиболее важным участником вашего VDP. В дополнение к работе, необходимой для подготовки к запуску и запуску VDP, если вашей команды безопасности нет в наличии, сложнее привлечь к участию тех, кто не входит в команду безопасности.
Иногда, когда дело доходит до введения VDP, может возникнуть чувство гордости или оборонительной позиции. Команда безопасности может почувствовать, что внешние исследователи безопасности, обнаружившие пропущенные ими уязвимости, прольют свет на их ошибки. Компании имеют большие и сложные поверхности атак, и от команды безопасности просто нельзя ожидать идеального покрытия. Повествование не должно заключаться в том, чтобы указывать пальцем или обвинять кого-либо. Когда исследователи находят уязвимости, эти данные следует использовать в качестве действенной обратной связи, которая поможет вашей команде улучшить состояние безопасности вашей организации. Жизненно важно изменить мышление вашей команды безопасности, чтобы рассматривать внешних хакеров как продолжение вашей команды, а не как противников. Как упоминалось ранее, вам также необходимо убедиться, что ваша команда безопасности провела упреждающее обсуждение того, как использовать механизмы обнаружения и реагирования, связанные с вашим VDP.
ЭТО
Информационные технологии означают разные вещи для разных организаций, и каждая компания имеет свой собственный набор ролей, связанных с ИТ. Для целей настоящего руководства мы предполагаем, что ИТ-специалисты относятся к отдельным лицам и командам, ответственным за установку, обслуживание и поддержку систем и услуг, на которые опирается бизнес. ИТ-команды обычно хотят, чтобы все работало. Это часто напрямую связано с показателями успеха (например, временем непрерывной работы). Хотя идея приглашения хакеров для тестирования систем и сервисов, которые они поддерживают, может показаться пугающей, на самом деле это приносит огромную пользу ИТ-отделу. Преступники не соблюдают никаких правил и могут попытаться атаковать вашу организацию. Создав стандартизированный канал для работы хороших хакеров с вашей организацией, вы можете повысить шансы выявления и устранения проблем безопасности до того, как ими воспользуются преступники. Нарушения влекут за собой огромные затраты, включая время, потраченное ИТ-специалистами и другими лицами, а также потенциальное время простоя, если активы необходимо временно отключить или сегментировать в результате нарушения. Наличие VDP может помочь снизить риск нарушений. Кроме того, хакерская разведка может помочь в обнаружении активов и выявлении мошеннических систем и сервисов, которые были созданы без участия ИТ-команды.
Инженерное дело
Если ваша команда безопасности не возьмет на себя задачу устранения уязвимостей от имени вашей инженерной команды, вам понадобится ваша инженерная организация, которая будет участвовать в вашем VDP. Никто не любит неожиданную работу, и VDP создают новый поток уязвимостей, которые необходимо устранить командам разработчиков. Важно работать с руководством инженерной организации, чтобы убедиться, что они знают о сроках, связанных с запуском вашего VDP, а также получить от них согласие на выделение ресурсов для исправления ошибок. При запуске VDP обычно вначале возникает всплеск ошибок, а затем уровень снижается до умеренного уровня. Если инженеры будут готовы исправить множество ошибок в первые несколько недель работы вашей программы, это может помочь сделать процесс более плавным для команды разработчиков, группы безопасности и хакеров, участвующих в вашей программе VDP. Поскольку вы просите команду инженеров выполнить дополнительную работу, полезно проиллюстрировать, какие преимущества они получат от VDP.
Юридический
Юридические команды любят снижать риски. Идея активного приглашения хакеров для взлома вашей организации без дополнительного контекста может показаться очень рискованной. Важно работать со своей командой юристов, чтобы понять, как наличие VDP может снизить не только риски безопасности, но и юридические риски. Независимо от того, есть ли у вас VDP или нет, уязвимости будут присутствовать. Без VDP хакеры, которые хотят поступить правильно и сообщить вам о проблеме, не смогут связаться с вами стандартным способом. Наличие VDP дает исследователям безопасности возможность помочь вам найти и устранить уязвимости до того, как они потенциально станут проблемой юридического характера. Без канала для приема отчетов об уязвимостях лица, обнаружившие уязвимости, могут либо отказаться от попыток сообщить вам о них, либо, возможно, публично раскрыть проблему, пытаясь привлечь к ней внимание и обеспечить ее устранение.
Связи с общественностью
В зависимости от опыта вашей команды по связям с общественностью (PR) в области информационной безопасности, реакция вашей команды по связям с общественностью на предложение запустить VDP может варьироваться от « когда мы начнем? » до шока и полного отклонения этой идеи. Хотя общественное восприятие хакерства начало меняться в более позитивную сторону, слово « хакер» по-прежнему имеет для многих людей негативный оттенок. В следующей таблице представлены общие вопросы и опасения специалистов по связям с общественностью, а также способы реагирования на эти возражения.
| Вопрос/возражение | Вариант ответа |
|---|---|
| Разве хакеры не зло? Неужели предложение им взломать нас просто напрашивается на неприятности? | Нет. Преступники всегда будут существовать и захотят взломать и использовать нас, но VDP создает возможность для работы с хакерами, которые хотят поступать правильно и помогать нам находить и устранять уязвимости. Если кто-то хочет быть злым, VDP его не остановит. |
| Что, если хакер на самом деле взломает нас, вместо того, чтобы помочь нам? | Если у кого-то плохие намерения, он, скорее всего, не будет участвовать в VDP. Вместо этого они могут попытаться сохранить как можно более анонимную информацию при нападении на нас. Наличие VDP позволяет нам работать с исследователями безопасности, которые хотят помочь. |
| Прося хакеров о помощи, признаем ли мы, что наша собственная безопасность плоха? | Ни одна организация не имеет идеальной безопасности. Многие очень известные организации в различных отраслях реализуют программы публичного раскрытия уязвимостей или вознаграждения за обнаружение ошибок, чтобы улучшить существующие процессы обеспечения безопасности. Использование глобального хакерского сообщества — это сеть безопасности, которая поможет найти и исправить все, что ускользает от внимания. Фактически, наличие VDP можно использовать для позитивного пиара в области безопасности. |
| Что, если хакер публично расскажет, как они нас взломали? Не будем ли мы выглядеть плохо? | Это зависит от повествования и характера раскрытия. Нам предстоит работать с хакерами, чтобы определить приемлемые условия раскрытия информации. Большинство организаций не рекомендуют публично раскрывать выявленные проблемы до тех пор, пока они не будут устранены, и обычно они работают с хакером над записью или блогом. Без структурированных средств приема отчетов об уязвимостях и участия в этом диалоге с хакерами мы увеличиваем риск того, что кто-то разочаруется и обратится прямо к прессе из-за того, что не смог связаться с нами. Многие организации активно поощряют исследователей безопасности описывать свой опыт работы с организацией, поскольку это подчеркивает успех VDP. Это поощряет участие других опытных хакеров в сообществе. |
| Как мы можем быть уверены, что VDP подойдет нам? Что, если мы станем публичными и произойдет что-то плохое? | Большинство VDP запускаются в «приватном» режиме, когда о программе не объявляется публично, и к участию приглашается лишь горстка хакеров. Со временем приглашается больше хакеров, и программа постепенно расширяется до «публичного» запуска и объявления. Мы будем следить за графиком и держать вас в курсе, когда программа будет публично запущена. Когда это произойдет, мы сможем выделить это как положительную историю того, как организация работает с сообществом внешних исследователей безопасности для повышения безопасности и обеспечения безопасности пользователей. |
Продажи
Вашему отделу продаж нужны доказательства, демонстрирующие преимущества вашей компании перед конкурентами. В рамках процесса продаж организации часто проходят проверку или аудит безопасности поставщиков, чтобы обеспечить доверие клиентов. Наличие VDP демонстрирует вашим клиентам, что у вас есть зрелая программа безопасности, и вы можете дополнительно расширить ее, работая с внешними исследователями безопасности. Кроме того, если у ваших ближайших конкурентов нет VDP, это можно использовать как преимущество при общении с потенциальными клиентами. Работайте с командой отдела продаж, чтобы создать повествование, которым можно поделиться с потенциальными клиентами, когда возникнут вопросы о безопасности организации.
Например,
| Мы используем программу раскрытия уязвимостей, чтобы дополнить наши существующие надежные процессы обеспечения безопасности, которые действуют как сеть безопасности или наблюдение за соседями, помогая выявлять любые проблемы безопасности в производстве практически в реальном времени. Это помогает нам обеспечить безопасность ваших данных за счет снижения вероятности взлома. Это дает нам солидное преимущество перед конкурентами, у которых нет программы раскрытия уязвимостей. |
Финансы
Финансы, вероятно, будут более задействованы при переходе от VDP к программе вознаграждения за уязвимости (VRP), но их необходимо включить, если вы приобретаете услуги на сторонней платформе. Если вы решите обратиться к стороннему поставщику для помощи в настройке VDP, вам, вероятно, придется заложить в бюджет эти услуги. Это может показаться мелочью, но рекомендуется заранее поговорить с вашим финансовым отделом, чтобы понять их процесс.
Коммуникационный подход
Чтобы добиться поддержки заинтересованных сторон, вам необходимо определить лучшие методы коммуникации для вашей организации. Если вы ожидаете, что большая часть вашей организации будет согласна, то вы часто можете выступить с одним предложением, запросить обратную связь и провести одно собрание для обсуждения любых вопросов и проблем. Если этот подход не сработает в вашей организации, то лучшим подходом может быть встреча с заинтересованными сторонами индивидуально для обсуждения их личных вопросов или проблем. Будьте готовы ответить на возражения или вопросы, касающиеся рисков, связанных с запуском VDP. Продвигая идею VDP в своей организации, вам нужно будет рекламировать преимущества и уверенно устранять реальные и предполагаемые риски.