Nhóm bảo mật
Nhóm bảo mật là bên liên quan quan trọng nhất trong Chương trình thông báo lỗ hổng (VDP). Ngoài những việc cần làm để chuẩn bị cho việc triển khai và vận hành VDP, nếu nhóm bảo mật của bạn chưa tham gia, thì sẽ càng khó để thuyết phục những người không thuộc nhóm bảo mật đồng ý.
Đôi khi, việc triển khai Chương trình thông báo lỗ hổng (VDP) có thể mang đến cảm giác tự hào hoặc bảo vệ. Nhóm bảo mật có thể sẽ cảm thấy rằng các nhà nghiên cứu bảo mật bên ngoài xác định được các lỗ hổng mà họ bỏ sót sẽ làm sáng tỏ lỗi của họ. Các công ty có bề mặt tấn công lớn và phức tạp, còn nhóm bảo mật thì không thể có khả năng thu thập dữ liệu một cách chính xác. Câu chuyện không nên chỉ trỏ hay đổ lỗi cho bất kỳ ai. Khi các nhà nghiên cứu tìm thấy lỗ hổng, dữ liệu này nên được dùng làm phản hồi hữu ích để giúp nhóm của bạn cải thiện tình trạng bảo mật của tổ chức. Việc thay đổi tư duy của nhóm bảo mật để coi tin tặc bên ngoài là một phần mở rộng của nhóm, chứ không phải đối thủ, sẽ rất quan trọng. Như đã đề cập trước đó, bạn cũng nên đảm bảo nhóm bảo mật đã chủ động trao đổi về cách xử lý cơ chế phát hiện và phản hồi vì cơ chế này có liên quan đến VDP của bạn.
IT
Công nghệ thông tin mang ý nghĩa khác nhau đối với các tổ chức khác nhau và mỗi công ty có một bộ vai trò riêng liên quan đến CNTT. Trong mục đích của hướng dẫn này, chúng tôi giả định đội ngũ CNTT là những cá nhân và nhóm chịu trách nhiệm thiết lập, duy trì, hỗ trợ các hệ thống và dịch vụ mà doanh nghiệp sử dụng. Các nhóm CNTT thường có trách nhiệm đảm bảo mọi hoạt động đều diễn ra suôn sẻ. Điều này thường liên quan trực tiếp đến các chỉ số thành công (ví dụ: thời gian hoạt động không bị gián đoạn). Mặc dù ý tưởng mời tin tặc thử nghiệm các hệ thống và dịch vụ mà chúng duy trì có vẻ đáng sợ, nhưng thực ra việc đó mang lại lợi ích rất lớn cho CNTT. Tội phạm không tuân theo bất kỳ quy tắc nào và có thể tìm cách tấn công tổ chức của bạn. Khi tạo một kênh chuẩn hoá để những tin tặc giỏi làm việc với tổ chức của bạn, bạn có thể nâng cao cơ hội phát hiện và khắc phục các vấn đề bảo mật trước khi tội phạm lợi dụng các vấn đề đó. Các lần rò rỉ sẽ gây tốn kém rất nhiều thời gian, bao gồm cả thời gian dành cho bộ phận CNTT và các hoạt động khác, cũng như có thể ngừng hoạt động nếu cần giảm hoặc phân đoạn tài sản tạm thời do xảy ra rò rỉ dữ liệu. Việc triển khai VDP có thể giúp giảm nguy cơ rò rỉ dữ liệu. Ngoài ra, đội ngũ trinh sát của tin tặc có thể giúp phát hiện tài sản cũng như xác định các hệ thống và dịch vụ giả mạo phát sinh mà không có sự can thiệp của nhóm CNTT.
Kỹ sư
Nếu nhóm bảo mật của bạn không thay mặt cho nhóm kỹ thuật đảm nhận nhiệm vụ sửa lỗ hổng, thì bạn sẽ cần nhóm kỹ thuật tham gia với VDP. Không ai thích công việc bất ngờ và VDP tạo ra một luồng lỗ hổng mới mà các nhóm kỹ thuật cần phải giải quyết. Bạn phải làm việc với ban lãnh đạo trong tổ chức kỹ thuật để đảm bảo họ nắm rõ tiến trình triển khai VDP, cũng như thu thập sự đồng ý của họ nhằm dành nguồn lực cho việc sửa lỗi. Khi VDP ra mắt, ban đầu thường có số lỗi tăng đột biến, sau đó sẽ giảm xuống ở mức độ trung bình. Việc chuẩn bị sẵn sàng cho bộ kỹ thuật để khắc phục nhiều lỗi trong những tuần đầu tiên của chương trình có thể giúp quá trình diễn ra suôn sẻ hơn nhiều cho nhóm kỹ thuật, nhóm bảo mật và tin tặc tham gia vào VDP. Vì bạn đang yêu cầu nhóm kỹ thuật thực hiện thêm một số công việc, nên sẽ rất hữu ích nếu bạn minh hoạ những lợi ích mà VDP sẽ nhận được.
Pháp lý
Nhóm pháp lý muốn giảm thiểu rủi ro. Việc chủ động mời tin tặc tấn công tổ chức của bạn mà không có thêm bối cảnh có thể sẽ rất rủi ro. Bạn cần phải làm việc với nhóm pháp lý của mình để xem việc triển khai VDP có thể làm giảm chỉ các rủi ro bảo mật mà còn cả rủi ro pháp lý như thế nào. Dù bạn có triển khai VDP hay không, vẫn luôn có các lỗ hổng. Nếu không có VDP, những tin tặc muốn làm điều đúng đắn và thông báo cho bạn về vấn đề sẽ không có cách thức thông thường để liên hệ với bạn. Việc triển khai VDP sẽ giúp các nhà nghiên cứu bảo mật có thể tìm và khắc phục các lỗ hổng bảo mật trước khi chúng có thể trở thành vấn đề pháp lý. Nếu không có kênh để nhận báo cáo lỗ hổng bảo mật, những cá nhân xác định lỗ hổng bảo mật có thể từ bỏ việc báo cáo cho bạn hoặc có thể tiết lộ công khai vấn đề để thu hút sự chú ý và đảm bảo rằng vấn đề được khắc phục.
Quan hệ công chúng
Tuỳ thuộc vào kinh nghiệm của nhóm quan hệ công chúng (PR) về bảo mật thông tin, phản ứng của nhóm quan hệ công chúng về đề xuất bắt đầu VDP có thể từ "khi nào chúng tôi bắt đầu?" cho đến bị sốc và hoàn toàn từ chối ý tưởng đó. Mặc dù quan điểm của công chúng về việc xâm nhập đã bắt đầu chuyển hướng tích cực hơn, nhưng từ tin tặc vẫn tồn tại những ý nghĩa tiêu cực đối với nhiều người. Bảng sau đây trình bày những câu hỏi và mối lo ngại thường gặp của bộ phận PR, cũng như cách xử lý những phản ứng tiêu cực này.
| Câu hỏi/Ý kiến phản đối | Câu trả lời khả thi |
|---|---|
| Không phải tin tặc là xấu sao? Có phải việc mời họ xâm nhập vào hệ thống của chúng ta chỉ gây rắc rối không? | Không. Tội phạm sẽ luôn tồn tại và muốn tấn công và lợi dụng chúng ta, nhưng VDP sẽ tạo ra một cách để hợp tác với những tin tặc muốn làm điều đúng đắn và giúp chúng tôi tìm ra và khắc phục các lỗ hổng bảo mật. Nếu ai đó muốn làm điều xấu thì VDP sẽ không ngăn được họ. |
| Điều gì sẽ xảy ra nếu một tin tặc thực sự xâm nhập chúng ta, thay vì giúp đỡ chúng ta? | Nếu ai đó có ý định xấu, họ có thể sẽ không tham gia VDP. Thay vào đó, chúng sẽ cố ẩn danh khi tấn công chúng ta. VDP cho phép chúng tôi hợp tác với các nhà nghiên cứu bảo mật có mong muốn trợ giúp. |
| Khi nhờ tin tặc trợ giúp, chúng ta có thừa nhận rằng cơ chế bảo mật của chính mình kém chất lượng không? | Không tổ chức nào có khả năng bảo mật tuyệt đối. Nhiều tổ chức rất nổi tiếng trong nhiều ngành triển khai chương trình công bố lỗ hổng công khai hoặc chương trình săn lỗi để tăng cường bảo mật cho các quy trình bảo mật hiện có của họ. Việc tận dụng cộng đồng tấn công toàn cầu là một biện pháp an toàn để giúp tìm và khắc phục bất cứ điều gì có thể bị lọt qua. Trên thực tế, việc triển khai VDP có thể được dùng cho hoạt động quảng bá tích cực về bảo mật. |
| Nếu một tin tặc tiết lộ công khai cách họ xâm nhập vào chúng ta thì sao? Chẳng phải chúng ta sẽ trông như thế nào? | Điều này phụ thuộc vào câu chuyện và bản chất của thông tin công bố. Chúng tôi có trách nhiệm làm việc với tin tặc để xác định các điều khoản hợp lý về cách hoạt động của thông tin công bố. Hầu hết các tổ chức không khuyến khích việc tiết lộ công khai các vấn đề đã xác định cho đến khi khắc phục xong. Họ thường hợp tác với tin tặc trên trang viết hoặc blog. Nếu không có một phương thức có cấu trúc để chấp nhận báo cáo lỗ hổng và tương tác với tin tặc, có khả năng họ sẽ cảm thấy khó chịu và lên báo vì không thể liên lạc với chúng tôi. Nhiều tổ chức chủ động khuyến khích các nhà nghiên cứu bảo mật chia sẻ kinh nghiệm làm việc với tổ chức, vì điều này nêu bật thành công của VDP. Điều này khuyến khích sự tham gia của các tin tặc khác có kỹ năng trong cộng đồng. |
| Làm cách nào để đảm bảo VDP sẽ mang lại hiệu quả? Nếu chúng ta công khai và có điều xấu xảy ra thì sao? | Hầu hết các VDP đều bắt đầu ở chế độ "riêng tư" và không công bố thông tin về chương trình này và chỉ một số ít tin tặc được mời tham gia. Theo thời gian, sẽ có thêm nhiều tin tặc tham gia và chương trình sẽ dần được mở rộng cho đến khi ra mắt và thông báo "công khai". Chúng tôi sẽ luôn thống nhất về thời gian và thông báo cho bạn biết thời điểm chương trình ra mắt công khai. Khi làm được như vậy, chúng tôi có thể nêu bật trải nghiệm này như một câu chuyện tích cực về cách tổ chức hợp tác với cộng đồng nhà nghiên cứu bảo mật bên ngoài để cải thiện khả năng bảo mật và giữ an toàn cho người dùng. |
Bán hàng
Đội ngũ bán hàng cần có bằng chứng để chứng minh những lợi ích mà công ty của bạn mang lại so với đối thủ cạnh tranh. Trong quá trình bán hàng, các tổ chức thường phải trải qua quy trình đánh giá hoặc kiểm tra tính bảo mật của nhà cung cấp để đảm bảo niềm tin của khách hàng. Việc triển khai VDP sẽ chứng minh cho khách hàng của bạn thấy rằng bạn đã triển khai một chương trình bảo mật hoàn thiện, đồng thời làm việc với các nhà nghiên cứu bảo mật bên ngoài để củng cố chương trình này hơn nữa. Ngoài ra, nếu đối thủ cạnh tranh thân thiết của bạn không có VDP thì bạn có thể tận dụng lợi thế này khi thảo luận với khách hàng tiềm năng. Làm việc với nhóm bán hàng để tạo thông điệp nhằm chia sẻ với khách hàng tiềm năng khi phát sinh các câu hỏi về bảo mật của tổ chức.
Ví dụ:
| Chúng tôi triển khai chương trình thông báo lỗ hổng để tăng cường các quy trình bảo mật mạnh mẽ hiện có của mình. Chương trình này hoạt động như một lưới an toàn hoặc đồng hồ vùng lân cận để giúp xác định mọi vấn đề bảo mật đang được triển khai theo thời gian gần như thực. Việc này giúp chúng tôi đảm bảo dữ liệu của bạn được an toàn bằng cách giảm khả năng rò rỉ dữ liệu. Điều này mang lại cho chúng tôi một lợi thế vững chắc so với những đối thủ cạnh tranh không có chương trình thông báo lỗ hổng. |
Tài chính
Nhiều khả năng bạn sẽ phải chịu ảnh hưởng liên quan đến hoạt động tài chính khi chuyển từ VDP sang chương trình trao thưởng phát hiện lỗ hổng (VRP). Tuy nhiên, nếu bạn mua dịch vụ từ một nền tảng của bên thứ ba thì bạn cần phải đưa các chỉ số này vào. Nếu quyết định hợp tác với một nhà cung cấp bên thứ ba để giúp thiết lập VDP, thì có thể bạn sẽ cần lập ngân sách cho những dịch vụ này. Việc này có vẻ đơn giản nhưng bạn nên trao đổi sớm với nhóm tài chính của mình để tìm hiểu quy trình của họ.
Phương pháp trao đổi thông tin
Để thu hút được các bên liên quan, bạn cần xác định các phương thức giao tiếp tốt nhất cho tổ chức của mình. Nếu tin rằng hầu hết tổ chức của mình sẽ tán thành, thì thông thường, bạn có thể tiến hành một đề xuất duy nhất, yêu cầu phản hồi và tiến hành một cuộc họp để thảo luận về mọi thắc mắc và mối lo ngại. Nếu phương pháp này không hiệu quả trong tổ chức của bạn, thì phương pháp họp riêng với các bên liên quan để thảo luận về câu hỏi hoặc mối lo ngại cá nhân của họ có thể là phương pháp hiệu quả hơn. Hãy chuẩn bị để xử lý các ý kiến phản đối hoặc thắc mắc về những rủi ro liên quan đến việc triển khai VDP. Khi trình bày ý tưởng triển khai VDP cho toàn bộ tổ chức của mình, bạn cần phải bán được các lợi ích và tự tin giải quyết những rủi ro thực tế và nhận thấy được.