¿Cuáles son los enfoques para establecer relaciones sólidas con los investigadores de seguridad?
Por ejemplo, ¿está publicando una clave pública de PGP en la página "contáctenos" del sitio web de una empresa por altos niveles de riesgo relacionados con la práctica estándar de seguridad?
Aquí hay varios pasos que podría tomar para alentar a los investigadores de seguridad a revelarle vulnerabilidades:
Renuncie a la responsabilidad. Prometa no demandar a los investigadores que le revelen las vulnerabilidades de manera responsable. En la actualidad, muchos investigadores informan que les preocupa que informar sobre una vulnerabilidad a una empresa podría demandarlos, por lo que a veces simplemente no informan sobre las vulnerabilidades que encuentran. Al comprometerse prominentemente y públicamente a no hacer eso, puede ayudar a los investigadores de seguridad a sentirse más cómodos contactándolo. Consulte aquí , here , here , aquí , aquí , here , y aquí .
Agradezca a los investigadores. Reconozca públicamente y de manera prominente a los investigadores que le han informado sobre vulnerabilidades, en anuncios de vulnerabilidad y otros foros. Muchos investigadores que reportan vulnerabilidades lo hacen por un sentido de responsabilidad y servicio a la comunidad, y el único quid pro quo es posiblemente un reconocimiento público. Una política de reconocimiento público a los reporteros no cuesta nada y anima a otros a informar en el futuro.
Establezca una dirección de informe de seguridad. Indique claramente cómo informar las vulnerabilidades de seguridad a su equipo. (Le sorprendería saber cuántos lugares no dan este simple paso).
Actúe con prontitud en los informes de errores. Cuando se reporte un problema de seguridad, actúe en un plazo razonable. Si los investigadores le informan de un error y usted no realiza ninguna acción, o si arrastra los pies, entonces los investigadores pueden estar hartos de usted, decir "a la mierda" y dejar de informarle de las vulnerabilidades (por ejemplo, en lugar de eso, simplemente liberarlos públicamente ). Para elegir un ejemplo reciente, consulte cómo respondió Yelp a un informe de un problema de seguridad con su sitio móvil ; Esa es una respuesta ejemplar y sobresaliente.
Pagar por informes de errores. Establezca un programa de recompensas que proporcione pago a aquellos que primero le reportan un problema grave de seguridad (si no se ha divulgado previamente o simultáneamente en público) .
No puedes formar una buena relación con los investigadores de seguridad.
El primer problema está dentro de su propia empresa. Cuando informan sobre un error, los empleados de su empresa entran en una fase de negación, tratando de demostrar que no es un error. No importa cómo te sientas, incluso si eres el CEO. Una razón para esto es que, de hecho, la mayoría de las vulnerabilidades reportadas por los investigadores de seguridad son falsas. Debe separar las vulnerabilidades válidas de una gran cantidad de vulnerabilidades no válidas.
El segundo problema es que la mayoría de los investigadores que informan sobre vulnerabilidades no están interesados en una "relación sólida". Ellos torcerán la vulnerabilidad y su respuesta a ella de tal manera que demuestren que usted es una compañía mala y estúpida.
Las dos cosas más importantes son las primeras, que use una dirección de correo electrónico estándar ("[email protected]") a la que puedan enviar información de vulnerabilidad, que tenga una persona responsable en el otro extremo que responderá dentro de una empresa día. Lo segundo es que su tren cuenta con soporte técnico para que cuando reciban un informe de una vulnerabilidad de seguridad, no exijan que la persona sea un cliente. (Ese es el problema más común: un investigador llama al soporte técnico e informa sobre la vulnerabilidad, luego el soporte técnico los ignora porque no son clientes).
Más allá de eso, espere que los informes vulnerables terminen mal.
Lea otras preguntas en las etiquetas zero-day incident-response research vulnerability-markets