چگونه می توانم یک سیاست امنیتی بنویسم؟

برای اینکه واقعاً چگونگی نوشتن یک سیاست امنیتی خوب را توضیح دهیم ، از سیاست امنیتی Security.txt به عنوان نمونه استفاده خواهیم کرد.

شرح پروژه

خط مشی امنیتی خود را با توضیحات مختصری درباره شرکت یا پروژه خود شروع کنید. این معادل شرح متا تگ توضیحات در وب سایت است. این به شکارچی اجازه می دهد تا مختصراً از آنچه انجام می دهید ، بداند.

سیاست افشای اطلاعات

دقیقاً توضیح دهید که سیاست افشای شما چیست.

 مثال : 

ما گزارش های ارسالی را بررسی خواهیم کرد و تمام تلاش خود را برای حل سریع آسیب پذیری ها انجام خواهیم داد. برای تشویق گزارش دهی مسئولانه شما پاداش خواهیم داد و همچنین ، علیه شما اقدام قانونی نخواهیم کرد و از نیروی انتظامی و دادگاه نیز درخواستی نخواهیم کرد که شما را در مورد تعقیب قضایی قرار دهد لطفا از موارد زیر پیروی کنند: در این کار حسن نیت انجام دهید تا از نقض حریم خصوصی ، تخریب داده ها و قطع شدن یا تخریب خدمات ما جلوگیری کنید.

روند

security.txt از این بخش برای روشن شدن روندهای افشای ، گزارش اولیه تا رفع نهایی و دریافت پاداش، استفاده می کنند. این برنامه در واقع شامل یک نمودار برای توصیف فرایندهاست که در زیر می بینید:

زبان ها

این یک بخش اختیاری است و با الهام از برنامه پاداش آسیب پذیری (Google (VRP. بخشی را درج کنید که شامل همه زبان های مختلفی است که شما گزارش های خود را در آن پذیرش می کنید. به یاد داشته باشید برخی شکارچیان در توصیف یافتن خود به زبان مادری خود احساس راحتی بیشتری می کنند ، بنابراین  زبان می تواند کمک بزرگی باشد.

محدوده

یک شکارچی خردمند یک بار گفت:

محدوده خونین کجاست ؟!

من شک دارم که برای هر برنامه ای می خواهد در مورد سیاست امنیتی آن بنویسید کار های تکراری انجام دهید. بنابراین برای حل این مشکل یک راز طلایی دارم که به طور مستقیم با برنامه نمونه ای که در این توضیحات استفاده می کنم مرتبط است. برای تعریف دامنه و محدوده خود از پرونده های Security.txt استفاده کنید. سپس تمام شکارچیان و تیم شما باید برای بررسی صحت بررسی محدوده این کارها اقدام کنند:

$ curl http://example.com/.well-known/security.txt

# This project is in scope!

Contact: secur[email protected] Policy: https://example.com/security-policy.html

Signature: https://example.com/.well-known/security.txt.sig

همچنین ، بیان کنید که چه دارایی در محدوده نیست. ضروری است که شما همچنین شکارچیان را تشویق کنید که با پاداش دادن به آنها نباید ، از محدوده خارج شوند. به نظر من ، یک استثناء قابل قبول از این قاعده در صورتی است که آسیب پذیری در دامنه محدوده بحرانی باشد.

پاداش

اکنون می توانید از پاداش و پول صحبت کنید . دستورالعمل های مربوط به “چگونه می توانم مبلغ پاداش را تعیین کنم؟” و یک جدول با تمامی مبلغ پاداش خود را در این بخش قرار دهید.

توافق سطح سرویس (انتظارات عملکرد)

الگوی زیر را با آنچه شکارچی باید از عملکرد برنامه شما انتظار داشته باشد پر کنید.

Time to first response: 2 business days or less.

Time to triage: 3 business days or less.

Time to resolution: 5 business days or less.

استثنائات

برای این بخش از خط مشی امنیتی خود می توانید بیان کنید که چه نوع آزمایشی و سپس چه محدوده برنامه bug bounty شما حذف شده اند. انواع آزمون شامل استراتژی هایی است که هکرها ممکن است هنگام شکار از آن استفاده کنند. انواع  دسته های آسیب پذیری هستند که برنامه شما معمولاً آن را نمی پذیرد. ، می توانید از نمونه های زیر استفاده کرده و طبق قوانین برنامه خود را تطبیق دهید.

The following test types are excluded from the scope:

1. Findings from physical testing such as office access (e.g. open doors, tailgating).
2. Findings derived primarily from social engineering (e.g. phishing, vishing).
3. Findings from applications or systems not listed in the “Scope” section.
4. Vulnerability reports with video only proof of concepts.
5. Reports that state that software is out of date or vulnerable without a proof of concept.
6. Highly speculative reports about theoretical damage. Be concrete.
7. Vulnerabilities as reported by automated tools without additional analysis as to how they’re an issue.
8. Issues in third-party services should be reported to the respective team.

وقتی صحبت از بخش انواع مسئله  آسیب پذیری می شود ، بهتر است که شما فقط انواع مشکلات را ذکر نکنید ، بلکه دلیل دقیقی را بیان کنید که چرا آن یافته ها را قبول نمی کنید – یادتان باشد که ارتباط مهم است. برنامه bug bounty با استفاده از یک جدول Markdown برای تحقق این هدف استفاده می کند.

اثبات مفاهیم (poc)

از این بخش از خط مشی خود استفاده کنید تا آنچه را می خواهید شکارچی در اثبات مفهوم خود نشان دهد ، توصیف کنید. به عنوان مثال ، برای تعیین سریع محل آسیب پذیری برنامه نویسی در سطح سایت ، alert(document.domain) متداول ترین روش تأیید سریع است.

یاهو به شکارچیان اجازه می دهد دسترسی ریشه ای را بدون تأثیرگذاری بر خدماتشان نشان دهند.

Security.txt از یک جدول استفاده می کند.

توصیه

به شکارچیان توصیه کنید که حداقل 2 کتابی که در “چه کتابهایی باید بخوانم؟” معرفی کردیم را بخوانند. و لینک آنها را در    Security.txt  قرار دهید .  سپس بیان می کنید که اگر شکارچی سوالی داشته باشد می تواند در هر زمان با تیم شما تماس بگیرد.

ما هکرها را تشویق می کنیم تا Web Hacking 101 و Breaking into Security Information را بخوانند

واژه شناسی

از آنجا که بسیاری از اصطلاحات ممکن است به صورت متناوب مورد استفاده قرار گیرد ، ایده خوبی است که برای جلوگیری از هرگونه سردرگمی احتمالی ، اصطلاحات خود را در Security.txt  تعریف کنید.  اصطلاحات “شدت” ، “تأثیر” و “اولویت” را تعریف می کنید – اصطلاحات اساسی ، که اغلب در طی فرآیند افشاء استفاده می شود. ( “severity”, “impact” ,”priority” )