Programul de Responsible Disclosure _
Lucrați cu profesioniștii pentru a gestiona programele de tip Responsible Disclosure sau de bug bounty pentru a reduce efortul intern.
Cercetătorii în domeniul securității cibernetice explorează internetul, depistează vulnerabilitățile, le raportează și ajută organizațiile să le rezolve în timp util. Face parte din misiunea lor profesională.
Echipa noastră de la Bit Sentinel are experiența și capacitatea de a vă ajuta să gestionați eficient ciclul complet de viață al oricărui raport de vulnerabilitate.
Managementul programului de Responsible Disclosure
Dezvăluirea responsabilă (responsible disclosure) este procesul prin care hackerii etici contactează compania care prezintă o vulnerabilitate și, uneori, chiar o ajută să o remedieze, de obicei contra cost.
Dacă organizația nu răspunde în vreun fel și nu ia în considerare raportul, cercetătorii aleg uneori să dezvăluie public problema, astfel încât compania să fie motivată să o rezolve.
Acest lucru se întâmplă deoarece astfel de probleme de securitate afectează un număr mare de oameni și pot provoca pierderi și daune semnificative dacă sunt exploatate de către infractorii cibernetici.
Compania dvs. are un proces de primire al notificărilor de vulnerabilitate de la hackerii etici ce nu sunt parte din echipa dvs.?
Echipa dvs. poate face diferența între raportările valide și cele fals pozitive?
Un astfel de program oferă cercetătorilor în domeniul securității cibernetice un set transparent de reguli pe care îl pot utiliza pentru a trimite vulnerabilități legate de infrastructura și activele dvs.
În acest fel, vă asigurați de câteva lucruri importante:
- că aveți un canal de comunicare pe care cercetătorii infosec îl pot utiliza pentru a vă contacta
- că echipele dvs. de securitate internă, dezvoltare și PR știu să gestioneze aceste notificări într-o manieră constructivă
- că aveți un punct de contact tehnic care poate verifica dacă rapoartele conțin vulnerabilități valide sau dacă sunt probleme fals pozitive.
Iată câteva dintre avantajele pe care le puteți avea lucrând la configurarea unui program ca acesta.
6 moduri în care un Program de Responsible Disclosure vă poate ajuta compania
1. Descoperiți punctele oarbe pe care echipa dvs. le ratează și descoperiți consecințele vulnerabilităților cu impact mare asupra configurației dvs. de securitate.
2. Beneficiați de expertiza amplă în domeniul securității cibernetice pe care o au cercetătorii, simplificând procesul prin care aceștia raportează vulnerabilitățile și alte probleme de securitate.
3. Minimizați impactul problemelor de securitate din activele dvs. sau instrumentele și serviciile terților.
4. Fiți conștient și remediați vulnerabilități precum:
- Cross Site Scripting
- SQL Injection
- Bug-uri de acces la sistemul de fișiere de pe server
- Probleme de autentificare
- Probleme de autorizare
- Account Hijacking
- Vulnerabilități ce permit execuția de cod pe server
5. Obțineți ajutor proactiv în detectarea și remedierea problemelor de securitate înainte de a se transforma într-un compromis complet, care vă pune compania într-o poziție dificilă.
6. Construiți și consolidați o relație reciproc benefică cu comunitatea de cercetători infosec, care vă poate ajuta să găsiți specialiști potriviți cu care să lucrați în viitor.
De ce majoritatea organizațiilor nu reușesc să gestioneze anunțuri de divulgare responsabilă
Fără o procedură clară în vigoare, majoritatea companiilor nu reușesc să gestioneze notificările de vulnerabilitate de la hackerii etici.
Iată câteva dintre cele mai frecvente greșeli pe care le-am observat la organizații:
- Nu furnizează informații de contact care pot fi utilizate în mod specific pentru probleme de securitate – asta înseamnă că dezvăluirea vulnerabilității ajunge, de obicei, la departamentul de vânzări sau de marketing, care nu sunt calificate pentru a oferi un răspuns
- Nu răspund deloc la aceste notificări, lăsând cercetătorul într-o stare de nemulțumire
- Transmit un răspuns superficial, care arată că nu iau în serios problema dezvăluită
- Nu rezolvă vulnerabilitatea, făcând cercetătorul să se simtă ignorat și / sau îngrijorat de consecințele legale
- Nu știu dacă vulnerabilitatea raportată este legitimă sau nu.
Când o companie nu reacționează sau nu răspunde la o astfel de notificare, cercetătorul decide adesea să facă publice descoperirile după ce acordă organizației suficient timp pentru a remedia problema. Scopul publicării este de a pune presiune pe companie ca aceasta să abordeze problema și să o rezolve.
Puteți evita complicațiile și beneficiați de o relație profesională bună cu hackerii etici creând o politică care vă permite să abordați situații ca acestea.
Cum contribuie Bit Sentinel la crearea și gestionarea programului dvs. de Responsible Disclosure și Bug Bounty
Evitați să aflați din mass-media că aplicația sau infrastructura dvs. este vulnerabilă și lucrați cu noi pentru a vă stabiliți politica de dezvăluire responsabilă.
Elementele de bază pe care le abordăm în construirea acestui program sunt:
Scopul programului, incluzând obiective, livrabile, funcții, sarcini, termene și costuri
O serie de reguli care comunică hackerilor etici care sunt vulnerabilitățile pe care le pot exploata și care sunt activele în afara limitelor
Factorii care fac o vulnerabilitate eligibilă pentru raportare, astfel încât să vă asigurați că bug-urile nesemnificative nu vă alertează inutil echipa de securitate
Recompensele alocate vulnerabilităților cu impact major, aspect care poate motiva cercetătorii să acorde o atenție specială organizației tale
Limitările tehnice și legale ale programului – acest lucru economisește timpul echipelor legale și de dezvoltare ca să nu răspundă la întrebări de la caz la caz; mai mult, oferă context și rapiditate echipei dvs. de PR atunci când abordează probleme potențiale legate de divulgarea responsabilă, inclusiv o politică de dezvăluire conformă ISO 29147
Infrastructura care permite companiei dvs. să primească rapoartele de la cercetătorii de securitate, să creeze tichete și să le gestioneze intern pe parcursul întregului ciclu de viață al corecției și închiderii problemei
Efortul de a elimina rapoarte fals pozitive sau duplicate, de a păstra legătura cu cercetătorul de securitate și multe alte aspecte sunt acoperite de echipa noastră de experți.
Compania dvs. este pregătită să se ocupe de notificări de dezvăluire responsabilă?