ทีมความปลอดภัย
ทีมรักษาความปลอดภัยคือผู้มีส่วนเกี่ยวข้องที่สำคัญที่สุดต่อ VDP ของคุณ นอกเหนือจากงานที่ต้องใช้เพื่อเตรียมพร้อมสำหรับการเปิดตัวและการเรียกใช้ VDP หากทีมรักษาความปลอดภัยไม่ได้เริ่มต้นใช้งาน ก็ยากขึ้นที่จะชักชวนให้คนนอกทีมรักษาความปลอดภัยเข้ามาซื้อ
ในบางครั้ง ความรู้สึกภาคภูมิใจหรือปกป้องตัวเองเมื่อพูดถึงการเปิดตัว VDP ทีมความปลอดภัยอาจรู้สึกว่านักวิจัยด้านความปลอดภัยภายนอกที่ระบุช่องโหว่ ที่พลาดไปจะทำให้เห็นถึงข้อบกพร่องที่เกิดขึ้น บริษัทต่างๆ มีแพลตฟอร์มการโจมตีที่ใหญ่และซับซ้อน และทีมความปลอดภัยก็ไม่สามารถคาดหวังได้ว่ามีความครอบคลุมโดยสมบูรณ์ เรื่องเล่าไม่ควรเป็นการ ชี้นิ้วหรือกล่าวโทษใคร เมื่อนักวิจัยพบช่องโหว่ คุณควรใช้ข้อมูลนี้เป็นความคิดเห็นที่นำไปใช้ได้จริงเพื่อช่วยให้ทีมของคุณปรับปรุงระดับความปลอดภัยขององค์กรได้ การเปลี่ยนกรอบความคิดของทีมรักษาความปลอดภัยให้มองว่าแฮ็กเกอร์ภายนอกเป็นเหมือนส่วนขยายของทีมก็มีความสำคัญมาก ดังที่กล่าวไว้ก่อนหน้านี้ คุณจะต้องตรวจสอบว่าทีมรักษาความปลอดภัยมีการสนทนาเชิงรุกเกี่ยวกับวิธีจัดการกลไกการตรวจจับและการตอบสนองที่เกี่ยวข้องกับ VDP ของคุณ
ไอที
เทคโนโลยีสารสนเทศมีความหมายแตกต่างกันไปสำหรับแต่ละองค์กร และทุกบริษัทมีบทบาทเกี่ยวกับไอทีของตนเอง สำหรับจุดประสงค์ของคู่มือนี้ เราสันนิษฐานว่าฝ่ายไอทีหมายถึงบุคคลและทีมที่รับผิดชอบในการตั้งค่า บำรุงรักษา และสนับสนุนระบบและบริการที่ธุรกิจต้องใช้ โดยทั่วไปแล้วทีมไอทีต้องการจัดการสิ่งต่างๆ ให้ทำงานได้อย่างต่อเนื่อง กรณีนี้มักเกี่ยวข้องกับเมตริกวัดความสำเร็จโดยตรง (เช่น เวลาที่กิจกรรมไม่ขาดตอน) แม้ว่าการประชาสัมพันธ์ให้แฮ็กเกอร์ทดสอบระบบและบริการที่พวกเขาดูแลอยู่อาจดูน่ากลัว แต่จริงๆ แล้วข้อมูลนี้จะเป็นประโยชน์อย่างมากต่อฝ่ายไอที อาชญากรไม่ปฏิบัติตามกฎ และอาจพยายามโจมตีองค์กรของคุณ การสร้างช่องทางที่เป็นมาตรฐานเพื่อให้แฮ็กเกอร์ที่ดีในการทำงานร่วมกับองค์กรของคุณจะช่วยให้คุณเพิ่มโอกาสในการระบุและแก้ไขปัญหาด้านความปลอดภัยก่อนที่แฮ็กเกอร์เหล่านี้จะถูกอาชญากรแสวงหาประโยชน์ได้ การละเมิดนั้นก่อให้เกิดความเสียหายมากมาย เช่น เวลาที่ฝ่ายไอทีและฝ่ายอื่นๆ ต้องใช้ รวมถึงเวลาที่ฝ่ายไอทีและฝ่ายอื่นๆ ต้องใช้งาน ตลอดจนช่วงเวลาที่อาจใช้งานไม่ได้หากจำเป็นต้องปิดการทำงานหรือแบ่งกลุ่มเนื้อหาชั่วคราวอันเป็นผลมาจากการละเมิด การมี VDP ช่วยลดความเสี่ยง จากการละเมิดได้ นอกจากนี้ การสอดแนมแฮ็กเกอร์ยังช่วยในการค้นพบเนื้อหา รวมถึงระบุระบบและบริการหลอกลวงที่คิดขึ้นมาโดยที่ทีมไอทีไม่ได้เข้ามาเกี่ยวข้อง
วิศวกรรมศาสตร์
คุณจะต้องให้องค์กรวิศวกรรมของคุณปฏิบัติตาม VDP แล้ว เว้นแต่ว่าทีมรักษาความปลอดภัยของคุณจะรับหน้าที่แก้ไขช่องโหว่ในนามของทีมวิศวกร ไม่มีใครชอบผลงานที่คาดไม่ถึง และ VDP ทำให้เกิดช่องโหว่ใหม่ๆ ที่ทีมวิศวกรต้องจัดการ การทำงานร่วมกับผู้นำในองค์กรวิศวกรรมจะช่วยให้พวกเขาทราบถึงลำดับเวลาที่เกี่ยวข้องกับการเปิดตัว VDP ของคุณ รวมถึงขอความเห็นชอบจากพวกเขาเพื่อใช้ทรัพยากรในการแก้ไขข้อบกพร่องโดยเฉพาะ เมื่อ VDP เปิดตัว ปกติแล้วจะมีข้อบกพร่องเพิ่มขึ้นอย่างรวดเร็วในช่วงต้น จากนั้นจะค่อยๆ ลดลงจนถึงระดับปานกลาง การมีฝ่ายวิศวกรรมที่พร้อมจะแก้ไขข้อบกพร่องจำนวนมากในช่วง 2-3 สัปดาห์แรกของโปรแกรมจะช่วยให้กระบวนการราบรื่นยิ่งขึ้นสำหรับทีมวิศวกร ทีมรักษาความปลอดภัย และแฮ็กเกอร์ที่เข้าร่วม VDP ของคุณ เนื่องจากคุณขอให้ทีมวิศวกรทํางานเพิ่ม การอธิบายประโยชน์ที่พวกเขาจะได้รับจาก VDP ก็อาจเป็นประโยชน์
กฎหมาย
ทีมกฎหมายต้องการลดความเสี่ยง แนวคิดในเชิงรุกที่เชิญแฮ็กเกอร์ให้มาแฮ็กองค์กรของคุณ โดยไม่มีบริบทเพิ่มเติมเลยอาจดูมีความเสี่ยงสูง คุณต้องทำงานร่วมกับทีมกฎหมายเพื่อดูว่าการมี VDP จะช่วยลดความเสี่ยงด้านความปลอดภัย ไม่ใช่แค่ความเสี่ยงด้านความปลอดภัย แต่รวมถึงความเสี่ยงทางกฎหมายด้วย ไม่ว่าคุณจะมี VDP หรือไม่ก็ตาม ก็จะมีช่องโหว่อยู่ หากไม่มี VDP แฮกเกอร์ที่ต้องการดำเนินการอย่างถูกต้องและแจ้งให้คุณทราบถึงปัญหา ก็ไม่มีวิธีมาตรฐานที่จะเข้าถึงคุณ การมี VDP ให้ไว้เป็นแนวทางสำหรับนักวิจัยด้านความปลอดภัยในการช่วยคุณค้นหาและแก้ไขช่องโหว่ก่อนที่จะกลายเป็นปัญหาทางกฎหมาย หากไม่มีช่องทางสำหรับการยอมรับรายงานช่องโหว่ บุคคลที่ตรวจพบช่องโหว่อาจเลิกพยายามรายงานปัญหาให้คุณหรืออาจเปิดเผยปัญหาต่อสาธารณะเพื่อดึงดูดความสนใจและตรวจสอบว่าปัญหาได้รับการแก้ไขแล้ว
การประชาสัมพันธ์
ความรู้สึกจากทีมประชาสัมพันธ์เกี่ยวกับข้อเสนอให้เริ่ม VDP อาจมีตั้งแต่ "เราจะเริ่มต้นเมื่อใด" ไปจนถึงตกตะลึงและปฏิเสธแนวคิดโดยสิ้นเชิง ทั้งนี้ขึ้นอยู่กับประสบการณ์ของทีมประชาสัมพันธ์ (PR) เกี่ยวกับความปลอดภัยข้อมูล แม้ว่าการรับรู้ของสาธารณชนเกี่ยวกับการแฮ็กเริ่มเปลี่ยนแปลงไปในเชิงบวกมากขึ้น แต่คำว่าแฮ็กเกอร์ก็ยังมีความหมายโดยนัยในเชิงลบต่อผู้คนจำนวนมาก ตารางต่อไปนี้สรุปคำถามที่พบบ่อยและข้อกังวลจากฝ่ายประชาสัมพันธ์ รวมถึงวิธีจัดการกับการปฏิเสธ
คำถาม/การปฏิเสธ | คำตอบที่เป็นไปได้ |
---|---|
แฮ็กเกอร์ไม่ชั่วเหรอ การเชิญให้พวกเขาแฮ็กเราเป็นเพียง ปัญหาใช่ไหม | ไม่ อาชญากรจะมีอยู่และพร้อมจะแฮ็กและแสวงหาประโยชน์จากเราเสมอ แต่ VDP สร้างพื้นที่สำหรับทำงานกับแฮ็กเกอร์ที่ต้องการทำในสิ่งที่ถูกต้อง และช่วยเราค้นหาและแก้ไขช่องโหว่ หากมีใครอยากมีความชั่วร้าย VDP จะไม่หยุดยั้งพวกเขา |
จะเกิดอะไรขึ้นหากแฮ็กเกอร์แฮ็กเราจริงๆ แทนที่จะช่วยเรา | หากผู้ใดมีเจตนาที่ไม่ดี ก็ไม่มีแนวโน้มที่จะเข้าร่วม VDP แต่พวกเขาอาจพยายามไม่เปิดเผยตัวตนที่สุดเท่าที่จะเป็นไปได้เมื่อโจมตีเรา การมี VDP ช่วยให้เราทำงานร่วมกับนักวิจัยด้านความปลอดภัยที่ต้องการให้ความช่วยเหลือได้ |
การขอความช่วยเหลือจากแฮกเกอร์ ทำให้เรายอมรับว่าการรักษาความปลอดภัยของเราเองนั้นแย่ใช่ไหม | ไม่มีองค์กรใดที่มีการรักษาความปลอดภัยที่สมบูรณ์แบบ องค์กรซึ่งเป็นที่รู้จักกันดีในหลายๆ อุตสาหกรรมหลายแห่งใช้การเปิดเผยข้อมูลช่องโหว่สาธารณะหรือกำหนดโปรแกรมเงินรางวัลจากข้อบกพร่องเพื่อเสริมกระบวนการรักษาความปลอดภัยที่มีอยู่ขององค์กร การใช้ประโยชน์จาก ชุมชนการแฮ็กระดับโลกเป็นเครือข่ายความปลอดภัยที่ช่วยค้นหาและแก้ไขทุกสิ่งที่ล้มเหลว อันที่จริง การมี VDP สามารถใช้ในการประชาสัมพันธ์ ด้านความปลอดภัยเชิงบวกได้ |
จะเกิดอะไรขึ้นหากแฮ็กเกอร์เปิดเผยวิธีแฮ็กเราต่อสาธารณะ จะไม่เจ๋งเหรอ | ขึ้นอยู่กับวาทะและลักษณะของการเปิดเผยข้อมูล มันขึ้นอยู่กับเราที่จะทำงานร่วมกับแฮ็กเกอร์ เพื่อกำหนดคำศัพท์ที่เป็นที่ยอมรับเกี่ยวกับวิธีการเปิดเผยข้อมูล องค์กรส่วนใหญ่ไม่สนับสนุนการเปิดเผยปัญหาที่ระบุต่อสาธารณะจนกว่าปัญหาจะได้รับการแก้ไข และโดยปกติแล้วจะทำงานร่วมกับแฮกเกอร์ในการเขียนหรือบล็อก เมื่อไม่มีวิธีการที่เป็นโครงสร้างในการยอมรับรายงานช่องโหว่และมีส่วนร่วมในบทสนทนากับแฮ็กเกอร์นี้ เราจะเพิ่มความเสี่ยงที่บุคคลหนึ่งจะไม่พอใจและติดต่อกับสื่อโดยตรงเพราะพวกเขาไม่สามารถติดต่อเราได้ องค์กรจำนวนมากสนับสนุนให้นักวิจัยด้านการรักษาความปลอดภัยเขียนประสบการณ์ของตนในการทำงานร่วมกับองค์กรอย่างกระตือรือร้น เพื่อเน้นย้ำถึงความสำเร็จของ VDP ซึ่งส่งเสริมการมีส่วนร่วม จากแฮกเกอร์ที่มีทักษะคนอื่นๆ ในชุมชน |
เราจะแน่ใจได้อย่างไรว่า VDP จะได้ผลสำหรับเรา ถ้าเราออกเป็นสาธารณะแล้ว มีบางอย่างแย่เกิดขึ้น | VDP ส่วนใหญ่เริ่มต้นในโหมด "ส่วนตัว" ซึ่งจะไม่มีการประกาศโปรแกรมต่อสาธารณะ และมีแฮ็กเกอร์ไม่กี่รายเท่านั้นที่ได้รับเชิญให้เข้าร่วม เมื่อเวลาผ่านไป จะมีการเชิญแฮ็กเกอร์มากขึ้น และโปรแกรมจะค่อยๆ ขยายการให้บริการ เพื่อเปิดตัวและประกาศแบบ "สาธารณะ" เราจะแจ้งเรื่องต่างๆ ให้คุณทราบทันเวลา และคอยอัปเดตให้คุณทราบถึงเวลาที่โปรแกรมจะเปิดตัวต่อสาธารณะ เมื่อมีโอกาสแล้ว เราก็สามารถนำเสนอเรื่องราวเชิงบวกเกี่ยวกับวิธีที่องค์กรทำงานร่วมกับชุมชนนักวิจัยด้านความปลอดภัยภายนอกเพื่อปรับปรุงความปลอดภัยและทำให้ผู้ใช้ปลอดภัยอยู่เสมอ |
ยอดขาย
ทีมขายของคุณต้องการหลักฐานเพื่อแสดงให้เห็นว่าบริษัทของคุณมีประโยชน์มากกว่าคู่แข่ง ในฐานะส่วนหนึ่งของกระบวนการขาย องค์กรต่างๆ มักต้องผ่านการตรวจสอบหรือตรวจสอบความปลอดภัยของผู้ให้บริการเพื่อให้แน่ใจว่าลูกค้าไว้วางใจ การมี VDP แสดงให้ลูกค้าทราบว่าคุณมีโปรแกรมความปลอดภัยที่สมบูรณ์แล้ว และเพิ่มขีดความสามารถโดยการทำงานร่วมกับนักวิจัยด้านความปลอดภัยภายนอก นอกจากนี้ หากคู่แข่งที่ใกล้เคียงกันไม่มี VDP ให้คุณอยู่ ข้อมูลนี้อาจถือเป็นข้อได้เปรียบในการพูดคุยกับผู้มีโอกาสเป็นลูกค้า ทำงานร่วมกับทีมฝ่ายขายเพื่อสร้างเรื่องเล่าที่จะแชร์กับผู้มีโอกาสเป็นลูกค้าเมื่อมีคำถามเกี่ยวกับ ความปลอดภัยขององค์กร
ตัวอย่างเช่น
เราใช้โปรแกรมการเปิดเผยช่องโหว่ในการเสริมกระบวนการรักษาความปลอดภัยที่แข็งแกร่งที่มีอยู่แล้ว ซึ่งทำหน้าที่เหมือนตาข่ายนิรภัยหรือนาฬิกาท้องถิ่นเพื่อช่วยระบุปัญหาด้านความปลอดภัยในการผลิตได้แบบเรียลไทม์เกือบทั้งหมด การทำแบบนี้ช่วยให้เรามั่นใจว่าข้อมูลของคุณจะปลอดภัยโดยลดโอกาสในการละเมิด ทำให้เรามีข้อได้เปรียบเหนือคู่แข่งที่ไม่มีโปรแกรมการเปิดเผยข้อมูลช่องโหว่ |
การเงิน
การเงินมีแนวโน้มที่จะมีส่วนร่วมมากขึ้นเมื่อคุณเปลี่ยนจาก VDP ไปใช้โปรแกรมรางวัลสำหรับช่องโหว่ (VRP) แต่โปรแกรมเหล่านี้จำเป็นต้องรวมไว้หากคุณซื้อบริการจากแพลตฟอร์มของบุคคลที่สาม หากคุณตัดสินใจให้ผู้ให้บริการบุคคลที่สามช่วยตั้งค่า VDP คุณอาจต้องตั้งงบประมาณสำหรับบริการเหล่านี้ อาจฟังดูเป็นเรื่องเล็กๆ แต่ขอแนะนำให้คุณพูดคุยกับทีมการเงินตั้งแต่เนิ่นๆ เพื่อทำความเข้าใจกระบวนการ
วิธีการสื่อสาร
เพื่อให้ได้รับความเห็นชอบจากผู้มีส่วนเกี่ยวข้อง คุณจะต้องระบุวิธีการสื่อสารที่ดีที่สุดสำหรับองค์กรของคุณ ถ้าคิดว่าองค์กรของคุณส่วนใหญ่จะเห็นด้วยกับการใช้ข้อเสนอเดียว ขอความคิดเห็น และนัดประชุมครั้งเดียวเพื่อพูดคุยถึงคำถามและข้อกังวลต่างๆ ได้ หากวิธีนี้ใช้ไม่ได้กับองค์กรของคุณ ให้พูดคุยกับผู้มีส่วนเกี่ยวข้องเป็นรายบุคคลเพื่อพูดคุยเกี่ยวกับคำถามหรือข้อกังวลส่วนตัว ซึ่งอาจเป็นวิธีที่ดีกว่า เตรียมตัวรับมือกับคำปฏิเสธหรือคำถามเกี่ยวกับความเสี่ยงที่เกี่ยวข้องกับการเริ่ม VDP เมื่อคุณนำเสนอแนวคิดเกี่ยวกับ VDP ให้กับทั้งองค์กร คุณจะต้องขายผลประโยชน์ต่างๆ และจัดการกับความเสี่ยงที่แท้จริงและที่รับรู้ได้อย่างมั่นใจ