Gör ”Responsible disclosure” enkelt för etiska hackare (White hat-hackare) så att de på ett ansvarsfullt sätt kan rapportera identifierade sårbarheter.
Ransomware, Website defacement, Denial of Service (DoS) och andra former av utpressning är vardagliga företeelser vi alla fruktar. Men det är faktiskt möjligt att samarbeta med några av de krafter som annars skulle fungera mot oss.
Genom att definiera hur vi vill hantera en upptäckt sårbarhet och till och med erbjuda en belöning kan vi hoppas få fram det bästa hos människor – särskilt de som är nyfikna nog att hitta felaktiga konfigurationer i våra system. Denna väg har vi på Conscia valt.
För att möta dina motståndare måste en process inrättas för hur du ska agera och hantera kommunikationen. Därför kommer jag nu att ta dig igenom denna process och försöka visa hur den goda processen och dialogen skapas:
Du fick mejl om en sårbarhet – vad händer nu?
Om du har en del på din webbplats som tydligt förklarar vad White hat-hackare ska göra, om de identifierar en sårbarhet och hur du kommer att hantera begäran, har du kommit långt. För istället för att stänga av öppnar du upp för vänskapliga attacker, och därmed får du nu en viktig roll.
Håll deadlines till etiska hackare
Jag vet att du har en hektisk vardag – men håll alltid de tidsfrister som anges i din policy. Det är så du behandlar din etiska hackare med respekt och det är så du bäst hjälper dig själv. Om du håller emot riskerar du att din hackare delar din sårbarhet offentligt – och därmed agerar som en Black hat-hackare. Och då ligger du plötsligt mycket sämre till.
Förklara nästa steg för etiska hackare
Tänk alltid på nästa steg i processen och kommunicera detta tydligt i e -postkorrespondensen med din White hat-hackare. Realistiska och gemensamma förväntningar är avgörande för att behålla den goda tonen och respekten för varandra.
Var öppen om ackreditering och resolutionsdatum
Var ärlig om möjligheterna för både ackreditering för att hitta denna sårbarhet såväl som den förväntade lösningstiden. Alla sårbarheter har inte högsta prioritet, och det är okej att vara öppen med det.
Var tydlig med förväntningar
Var noga med att definiera det etablerade förhållandet. Det bör vara klart att en etisk hackare inte förväntas fortsätta testa infrastrukturen och tjänsterna och att inga särskilda privilegier kommer att beviljas i framtiden.
Respektera etiska hackare
Visa respekt. Du har att göra med människor som respekterar ditt företag eller ditt varumärke tillräckligt för att avslöja sårbarheter på dina villkor – istället för att sprida dem vitt och brett på internet. Du borde vara tacksam för detta. Om du inte visar respekt kommer du förmodligen att få betala dina motståndare på deras villkor istället för dina i framtiden.
Extra tips för den flitiga läsaren
Om du vill göra arbetet med ”Responsible disclosure” lättare för dig själv, skulle jag rekommendera dig att skapa en textfil vid namn ”security.txt”. Läs mer om den här.
Hur gör vi med White hat-hackare?
På Conscia har vi definierat en informationspolicy så att många av våra motståndare inte frestas att utnyttja våra sårbarheter för att få ekonomisk vinning. I stället uppmuntrar vi ett öppet förhållningssätt så att vi (förhoppningsvis) får en chans att lösa offentligt tillgängliga sårbarheter innan kränkningar inträffar hos oss. Vi är en del av ”Responsible disclosure”.
Du hittar vår skriftliga policy här.