Quali sono gli approcci per formare solide relazioni con i ricercatori di sicurezza?
Ad esempio, la pubblicazione di una chiave PGP pubblica nella pagina "contattaci" del sito Web di un'azienda presenta elevati livelli di rischio correlati alla pratica standard di sicurezza?
Ecco alcuni passaggi che potresti intraprendere per incoraggiare i ricercatori di sicurezza a rivelare vulnerabilità:
Rinuncia a responsabilità. prometti di non citare in giudizio i ricercatori che rivelano vulnerabilità a te in modo responsabile. Al momento, molti ricercatori segnalano di preoccuparsi che segnalare una vulnerabilità a un'azienda possa farli causa, e quindi a volte semplicemente non segnalano le vulnerabilità che trovano. Impegnandosi in maniera prominente e pubblicamente a non farlo, puoi aiutare i ricercatori di sicurezza a sentirti più a tuo agio nel contattarti. Vedi qui , qui , qui , qui , qui , qui e qui .
Ringrazia i ricercatori. Riconoscere pubblicamente e in modo prominente i ricercatori che hanno segnalato vulnerabilità a te, negli annunci di vulnerabilità e in altri forum. Molti ricercatori che segnalano le vulnerabilità lo fanno per senso di responsabilità e servizio alla comunità, e l'unico quid pro quo è forse un riconoscimento pubblico. Una politica di riconoscimento pubblico dei giornalisti non costa nulla e incoraggia gli altri a riferire in futuro.
Stabilisci un indirizzo per i rapporti sulla sicurezza. Indica chiaramente come segnalare le vulnerabilità della sicurezza al tuo team. (Saresti sorpreso da quanti posti non fanno questo semplice passo.)
Agisci tempestivamente sulle segnalazioni di bug. Quando viene segnalato un problema di sicurezza, agisci entro un ragionevole lasso di tempo. Se i ricercatori segnalano un bug a te e non intraprendi alcuna azione o trascini i piedi, i ricercatori potrebbero essere stufi di te, dire "diamine con esso" e smettere di segnalarti vulnerabilità (ad esempio, invece, semplicemente pubblicandoli pubblicamente ). Per scegliere un esempio recente, guarda come ha risposto Yelp a un rapporto di un problema di sicurezza con il loro sito mobile ; questa è una risposta esemplare ed eccezionale.
Paga per segnalazioni di bug. Stabilisci un programma di taglie che fornirà il pagamento a coloro che per primi segnalano un serio problema di sicurezza a te (se non è stato divulgato in precedenza o simultaneamente in pubblico) .
Non puoi creare buoni rapporti con i ricercatori di sicurezza.
Il primo problema è nella tua stessa azienda. Quando segnalano un bug, i dipendenti della tua compagnia entrano in una fase di denialismo, cercando di dimostrare che non è un bug. Non importa come ti senti, anche se sei il CEO. Una delle ragioni è che, in effetti, la maggior parte dei vulns riportati dai ricercatori di sicurezza sono falsi. Devi selezionare i vulns validi da un numero elevato di vulns non validi.
Il secondo problema è che la maggior parte dei ricercatori che segnalano vulns non sono interessati a una "relazione solida". Torceranno il vuln e la tua risposta ad esso in modo tale da dimostrare che sei una cattiva, stupida compagnia.
Le due cose più importanti sono le prime, che usi un indirizzo email standard ("[email protected]") a cui possono inviare informazioni sulla vulnerabilità, che ha una persona responsabile dall'altra parte che risponderà all'interno di un'azienda giorno. La seconda cosa è che il tuo supporto tecnico per i treni in modo che quando ricevono una segnalazione di un messaggio di sicurezza, non esigono che la persona sia un cliente. (Questo è il problema più comune: un ricercatore chiama il supporto tecnico e segnala il virus, quindi il supporto tecnico li ignora perché non sono clienti).
Oltre a ciò, aspettati che i rapporti su Internet terminino male.
Leggi altre domande sui tag research zero-day incident-response vulnerability-markets