制定详细的漏洞报告制度
市场研究机构IDC负责安全研究的副总裁Pete Lindstrom说,企业应当确保向所有有意向其报告安全或隐私问题的外部机构明确告知企业的漏洞报告制度,阐明企业期望外部机构以负责任的方式通报漏洞,并提供电子邮件地址、电话号码等外部机构可以向其通报安全或隐私问题的方式。
企业还应对外阐明其处理、调查和解决这些报告或信息的方式,并让第三方机构了解企业审查和解决问题的速度或时间,以便让他们知道自己提供的信息没有被忽视。此外,企业还应向第三方机构阐明企业的政策,如果通报的情况属实,企业将会给予奖励。如果情况不属实,那么企业也要明确地告知他们不会对其提供的情况给予奖励。
Lindstrom说:“管理好第三方的期望对企业的成功和声誉至关重要。因此,当第三方向企业提供安全或隐私问题时,准确地知道他们期望得到什么,对于企业来说很重要。”
标准普尔全球市场情报公司(S&P Global Market Intelligence)信息安全研究主管Scott Crawford建议,企业应该利用ISO/IEC 30111标准中的指南来指导漏洞处理工作。Crawford指出,在处理第三方漏洞报告时,这些标准可为如何制定处置规则提供指导。
02
制定内部漏洞管理计划
Lindstrom称,不管企业是否希望从外部获得安全情报,都应在内部建立起应用程序安全和漏洞管理程序。对于企业来说,部署最佳实践(例如定期进行漏洞扫描,打上安全补丁等)非常重要,这样可以有效降低风险,先于外部机构发现各种漏洞。他说:“企业应积极地将部署最佳实践作为自身安全计划的一个重要组成部分。在考虑与外部研究人员合作之前,应在内部先形成合力。”
Hellickson也指出:“对于企业来说,针对不同的示例场景进行测试也是一种不错的做法,这样可以发现一些问题,并让执行团队和法律顾问参与其中。桌面演练也是安全意识教育一个重要手段。”
03
在事件管理流程中建立外部安全通报响应机制
确保企业的事件管理团队制定有响应(漏洞搜寻者、业务合作伙伴、执法部门或客户的)外部安全通报的机制。Hellickson说:“企业事故处理团队制定有响应来自内部安全工具、计算系统、网络传感器等警报的机制。和事故处理团队一样,企业也需要制定调查和响应外部安全通报的机制。所有的事件处理和响应机制都应有一个明确的流程,以对情报来源进行优先排序、审查和分类,直至问题被解决。”
Hellickson认为,这个机制还应有一个内置的升级程序,并提前明确团队成员在此类事件中的角色和职责。考虑到网络攻击种类繁多,企业应制定清晰的事件处理和响应计划,对事件信息接收的每个环节进行详细说明并对这些信息进行适当分类。
Pathlock的董事长Kevin Dunne指出,如果需要对生产代码中的漏洞进行响应,那么事件管理团队需要做好全力以赴的准备。他说:“若不对这些漏洞加以解决,那么这些漏洞很快就会在黑市上被出售。如果补救不及时,那么这些漏洞就可能被不法分子利用。”
04
做好从其他部门抽调人员的准备
那些用于接收外部安全通报的邮箱和电话号码必须由IT或安全部门负责。这两个部门要做好随时调查和修补问题的准备。制定一个在需要时可快速从企业其他部门抽调人手的计划同样非常重要。Lindstrom指出,这是因为在与外部安全研究人员或漏洞搜寻者合作时,谁都无法预测事件将会如何发展。
例如,外部研究人员可能希望通过报告漏洞而获得奖励,但是企业没有关于处理此类漏洞报告的明确规定。在这种情况下,安全团队可能需要法务部门的人员与外部研究人员进行谈判。Lindstrom说:“漏洞报告处理不当可能会损害企业的声誉和品牌。让沟通团队和营销团队的成员参与进来可能会起到意想不到的效果。在漏洞报告处理方面,存在着大量的变量。整个事情的处理实际上与沟通交流和声誉有着密切地联系。”
05
制定漏洞托管协作/漏洞奖励计划
大型企业和具有重要公众形象的机构应考虑与HackerOne和BugCrowd等漏洞披露机构签约。此类计划为外部各方提供了一种机制。在这种机制下,外部能够以负责任的方式向企业通报他们发现的漏洞或隐私泄露问题。
标准普尔全球情报公司的Crawford指出,企业可以通过漏洞通报计划将整个漏洞发现工作外包出去。虽然有了这些计划,但是企业仍然需要有良好的内部事件响应能力,因为它们可以在初始阶段帮助企业接收和响应由外部漏洞研究人员提供的信息并与之沟通交流。此外,Crawford还指出,这些项目可让第三方研究人员和漏洞搜寻者有计划的寻找企业应用程序和服务中的漏洞,从而最大限度地降低企业面临的风险。
Dunne说:“如今,许多企业都对外公布了自己的漏洞赏金或漏洞发现计划,以向独立的第三方研究人员征集漏洞信息。”通常情况下,如果企业拥有一个或多个面向消费者的服务,那么这些企业往往比较容易征集到漏洞信息。像酒店业、零售业、旅游业和消费金融业等行业通常都会制定极具吸引力的漏洞赏金项目。
与此同时,Dunne还指出:“如果企业常常会收到第三方研究人员主动提供的漏洞信息,但是却还没有建立起相应的确认机制,那么他们现在应当考虑建立起来这种机制。”即使企业不会为已识别出的漏洞提供奖励,他们也最好制定一个计划,以响应并确认通报的漏洞信息,并将补救计划及时告知研究人员和客户。他说:“如果漏洞信息已经被通报,但是企业却无动于衷,那么这对企业是极为不利的。不对通报的漏洞信息进行确认,那么就相当于承认企业没有认真对待安全问题,也不重视客户的数据。”
06
征集威胁情报时需明确一些问题
Dunne 指出,与独立的研究人员和漏洞搜寻者合作以获取漏洞信息和威胁情报的企业应当认真考虑几个关键问题。例如,企业需要决定是让所有的人都知道企业的漏洞发现项目,还是只向特定的研究人员公开。企业必须确定自己对哪些类型的安全问题或隐私问题最为感兴趣。企业需要提前制定计划以对报告的安全问题展开测试。此外,企业还要确定是在生产环境中展开测试,还是在独立的模拟生产环境中进行测试。
此外,企业还必须要提前明确是否愿意为漏洞信息报告者提供奖励,以及奖励金额是固定的还是根据问题的严重程度进行调整。即,这些奖金是不是高于这些漏洞在黑市上的售价。
