别人先发现了你们公司的安全漏洞，你该怎么办？( 二 )

03
【别人先发现了你们公司的安全漏洞，你该怎么办？】在事件管理流程中建立外部安全通报响应机制
确保企业的事件管理团队制定有响应（漏洞搜寻者、业务合作伙伴、执法部门或客户的）外部安全通报的机制。 Hellickson说：“企业事故处理团队制定有响应来自内部安全工具、计算系统、网络传感器等警报的机制。和事故处理团队一样，企业也需要制定调查和响应外部安全通报的机制。所有的事件处理和响应机制都应有一个明确的流程，以对情报来源进行优先排序、审查和分类，直至问题被解决。 ”
Hellickson认为，这个机制还应有一个内置的升级程序，并提前明确团队成员在此类事件中的角色和职责。考虑到网络攻击种类繁多，企业应制定清晰的事件处理和响应计划，对事件信息接收的每个环节进行详细说明并对这些信息进行适当分类。
Pathlock的董事长KevinDunne指出，如果需要对生产代码中的漏洞进行响应，那么事件管理团队需要做好全力以赴的准备。他说：“若不对这些漏洞加以解决，那么这些漏洞很快就会在黑市上被出售。如果补救不及时，那么这些漏洞就可能被不法分子利用。 ”
04
做好从其他部门抽调人员的准备
那些用于接收外部安全通报的邮箱和电话号码必须由IT或安全部门负责。这两个部门要做好随时调查和修补问题的准备。制定一个在需要时可快速从企业其他部门抽调人手的计划同样非常重要。 Lindstrom指出，这是因为在与外部安全研究人员或漏洞搜寻者合作时，谁都无法预测事件将会如何发展。

文章图片
例如，外部研究人员可能希望通过报告漏洞而获得奖励，但是企业没有关于处理此类漏洞报告的明确规定。在这种情况下，安全团队可能需要法务部门的人员与外部研究人员进行谈判。 Lindstrom说：“漏洞报告处理不当可能会损害企业的声誉和品牌。让沟通团队和营销团队的成员参与进来可能会起到意想不到的效果。在漏洞报告处理方面，存在着大量的变量。整个事情的处理实际上与沟通交流和声誉有着密切地联系。 ”
05
制定漏洞托管协作/漏洞奖励计划
大型企业和具有重要公众形象的机构应考虑与HackerOne和BugCrowd等漏洞披露机构签约。此类计划为外部各方提供了一种机制。在这种机制下，外部能够以负责任的方式向企业通报他们发现的漏洞或隐私泄露问题。
标准普尔全球情报公司的Crawford指出，企业可以通过漏洞通报计划将整个漏洞发现工作外包出去。虽然有了这些计划，但是企业仍然需要有良好的内部事件响应能力，因为它们可以在初始阶段帮助企业接收和响应由外部漏洞研究人员提供的信息并与之沟通交流。此外， Crawford还指出，这些项目可让第三方研究人员和漏洞搜寻者有计划的寻找企业应用程序和服务中的漏洞，从而最大限度地降低企业面临的风险。
Dunne说：“如今，许多企业都对外公布了自己的漏洞赏金或漏洞发现计划，以向独立的第三方研究人员征集漏洞信息。 ”通常情况下，如果企业拥有一个或多个面向消费者的服务，那么这些企业往往比较容易征集到漏洞信息。像酒店业、零售业、旅游业和消费金融业等行业通常都会制定极具吸引力的漏洞赏金项目。
与此同时， Dunne还指出：“如果企业常常会收到第三方研究人员主动提供的漏洞信息，但是却还没有建立起相应的确认机制，那么他们现在应当考虑建立起来这种机制。 ”即使企业不会为已识别出的漏洞提供奖励，他们也最好制定一个计划，以响应并确认通报的漏洞信息，并将补救计划及时告知研究人员和客户。他说：“如果漏洞信息已经被通报，但是企业却无动于衷，那么这对企业是极为不利的。不对通报的漏洞信息进行确认，那么就相当于承认企业没有认真对待安全问题，也不重视客户的数据。 ”