چگونه می توانم یک سیاست امنیتی بنویسم؟

برای اینکه واقعاً چگونگی نوشتن یک سیاست امنیتی خوب را توضیح دهیم ، از سیاست امنیتی Security.txt به عنوان نمونه استفاده خواهیم کرد.
شرح پروژه
خط مشی امنیتی خود را با توضیحات مختصری درباره شرکت یا پروژه خود شروع کنید. این معادل شرح متا تگ توضیحات در وب سایت است. این به شکارچی اجازه می دهد تا مختصراً از آنچه انجام می دهید ، بداند.
سیاست افشای اطلاعات
دقیقاً توضیح دهید که سیاست افشای شما چیست.
مثال :
ما گزارش های ارسالی را بررسی خواهیم کرد و تمام تلاش خود را برای حل سریع آسیب پذیری ها انجام خواهیم داد. برای تشویق گزارش دهی مسئولانه شما پاداش خواهیم داد و همچنین ، علیه شما اقدام قانونی نخواهیم کرد و از نیروی انتظامی و دادگاه نیز درخواستی نخواهیم کرد که شما را در مورد تعقیب قضایی قرار دهد لطفا از موارد زیر پیروی کنند: در این کار حسن نیت انجام دهید تا از نقض حریم خصوصی ، تخریب داده ها و قطع شدن یا تخریب خدمات ما جلوگیری کنید.
روند
security.txt از این بخش برای روشن شدن روندهای افشای ، گزارش اولیه تا رفع نهایی و دریافت پاداش، استفاده می کنند. این برنامه در واقع شامل یک نمودار برای توصیف فرایندهاست که در زیر می بینید:
زبان ها
این یک بخش اختیاری است و با الهام از برنامه پاداش آسیب پذیری (Google (VRP. بخشی را درج کنید که شامل همه زبان های مختلفی است که شما گزارش های خود را در آن پذیرش می کنید. به یاد داشته باشید برخی شکارچیان در توصیف یافتن خود به زبان مادری خود احساس راحتی بیشتری می کنند ، بنابراین زبان می تواند کمک بزرگی باشد.
محدوده
یک شکارچی خردمند یک بار گفت:
محدوده خونین کجاست ؟!
من شک دارم که برای هر برنامه ای می خواهد در مورد سیاست امنیتی آن بنویسید کار های تکراری انجام دهید. بنابراین برای حل این مشکل یک راز طلایی دارم که به طور مستقیم با برنامه نمونه ای که در این توضیحات استفاده می کنم مرتبط است. برای تعریف دامنه و محدوده خود از پرونده های Security.txt استفاده کنید. سپس تمام شکارچیان و تیم شما باید برای بررسی صحت بررسی محدوده این کارها اقدام کنند:
$ curl http://example.com/.well-known/security.txt
# This project is in scope!
Contact: secur[email protected] Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
همچنین ، بیان کنید که چه دارایی در محدوده نیست. ضروری است که شما همچنین شکارچیان را تشویق کنید که با پاداش دادن به آنها نباید ، از محدوده خارج شوند. به نظر من ، یک استثناء قابل قبول از این قاعده در صورتی است که آسیب پذیری در دامنه محدوده بحرانی باشد.
پاداش
اکنون می توانید از پاداش و پول صحبت کنید . دستورالعمل های مربوط به “چگونه می توانم مبلغ پاداش را تعیین کنم؟” و یک جدول با تمامی مبلغ پاداش خود را در این بخش قرار دهید.
توافق سطح سرویس (انتظارات عملکرد)
الگوی زیر را با آنچه شکارچی باید از عملکرد برنامه شما انتظار داشته باشد پر کنید.
Time to first response: 2 business days or less.
Time to triage: 3 business days or less.
Time to resolution: 5 business days or less.
استثنائات
برای این بخش از خط مشی امنیتی خود می توانید بیان کنید که چه نوع آزمایشی و سپس چه محدوده برنامه bug bounty شما حذف شده اند. انواع آزمون شامل استراتژی هایی است که هکرها ممکن است هنگام شکار از آن استفاده کنند. انواع دسته های آسیب پذیری هستند که برنامه شما معمولاً آن را نمی پذیرد. ، می توانید از نمونه های زیر استفاده کرده و طبق قوانین برنامه خود را تطبیق دهید.
The following test types are excluded from the scope:
- Findings from physical testing such as office access (e.g. open doors, tailgating).
- Findings derived primarily from social engineering (e.g. phishing, vishing).
- Findings from applications or systems not listed in the “Scope” section.
- Vulnerability reports with video only proof of concepts.
- Reports that state that software is out of date or vulnerable without a proof of concept.
- Highly speculative reports about theoretical damage. Be concrete.
- Vulnerabilities as reported by automated tools without additional analysis as to how they’re an issue.
- Issues in third-party services should be reported to the respective team.
وقتی صحبت از بخش انواع مسئله آسیب پذیری می شود ، بهتر است که شما فقط انواع مشکلات را ذکر نکنید ، بلکه دلیل دقیقی را بیان کنید که چرا آن یافته ها را قبول نمی کنید – یادتان باشد که ارتباط مهم است. برنامه bug bounty با استفاده از یک جدول Markdown برای تحقق این هدف استفاده می کند.
اثبات مفاهیم (poc)
از این بخش از خط مشی خود استفاده کنید تا آنچه را می خواهید شکارچی در اثبات مفهوم خود نشان دهد ، توصیف کنید. به عنوان مثال ، برای تعیین سریع محل آسیب پذیری برنامه نویسی در سطح سایت ، alert(document.domain)
متداول ترین روش تأیید سریع است.
یاهو به شکارچیان اجازه می دهد دسترسی ریشه ای را بدون تأثیرگذاری بر خدماتشان نشان دهند.
Security.txt از یک جدول استفاده می کند.
توصیه
به شکارچیان توصیه کنید که حداقل 2 کتابی که در “چه کتابهایی باید بخوانم؟” معرفی کردیم را بخوانند. و لینک آنها را در Security.txt قرار دهید . سپس بیان می کنید که اگر شکارچی سوالی داشته باشد می تواند در هر زمان با تیم شما تماس بگیرد.
ما هکرها را تشویق می کنیم تا Web Hacking 101 و Breaking into Security Information را بخوانند
واژه شناسی
از آنجا که بسیاری از اصطلاحات ممکن است به صورت متناوب مورد استفاده قرار گیرد ، ایده خوبی است که برای جلوگیری از هرگونه سردرگمی احتمالی ، اصطلاحات خود را در Security.txt تعریف کنید. اصطلاحات “شدت” ، “تأثیر” و “اولویت” را تعریف می کنید – اصطلاحات اساسی ، که اغلب در طی فرآیند افشاء استفاده می شود. ( “severity”, “impact” ,”priority” )

مطالب زیر را حتما بخوانید:

برنامه باگ باونتی چیست ؟
برنامه یا مسابقات باگ باونتی یک برنامه باگ باونتی به دلیل گزارش باگها، به خصوص باگهایی که باعث سو استفاده و آسیب پذیری میشوند، و اینکه در ازای گزارش این باگها افراد پاداش دریافت میکنند و یا به رسمیت شناخته میشوند،...

نحوه مقابله با حملات سایبری مربوط به DNS
بر اساس گفتههای کارشناسان امنیت سایبری، انتظار می رود در چند هفته آینده تعداد تهدیدهای امنیتی مرتبط با DNS (سرویس نام دامنه که وظیفه آن تبدیل نام دامنه به آدرس آیپی و فراهم کردن امکان ارسال درخواستها به مسیر و...

scope statement چیست
بخشی از عملیات طرح ریزی پروژه است که شامل تعیین و مستند سازی لیستی از اهداف خاص و ثابت پروژه ، deliverables (موارد قابل تحویل از جمله اخبار ، اسناد و …) ، وظایف ، هزینه ها و ضرب العجل...

با برنامه باگ بانتی یا Bug Bounty آشنا شوید
باگ بانتی ( Bug Bounty ) کسب ثروت با شرکت در مسابقات باگ بانتی اگر این سوال برای شما هم پیش آمده که چگونه می توانید از علمی که در حوزه تست نفوذ و امنیت دارید کسب درآمد کنید و...

چگونه به یک شکارچی باگ تمام عیار تبدیل شویم
تبریک می گویم! بسیار هیجان انگیز است که تصمیم گرفتید یک محقق امنیتی باشید و مهارت های جدیدی را انتخاب کنید. ما چندین منبع زیر را جمع آوری کرده ایم که به شما در شروع کار کمک می کند. ...

حمله باتنت جدید به سرورهای SSH
باتنتها شبکههای رایانه ای آلوده به بدافزارها هستند که هر یک از آنها به تنهایی قابلیت مدیریت خودکار تعداد زیادی از رایانه های آلوده را دارند. مدل غیرمتمرکز یا نظیربهنظیر (P2P) یکی از انواع باتنتها به شمار می رود. در...

ابزارهای کمکی مدیریت مسابقه باگ باونتی
وقتی صحبت از گزارش داخلی می شود ، حتماً از برنامه های end-to-end encrypted مانند سیگنال و کی بیس استفاده کنید. Vulnreport by Salesforce داشبورد Vulnreport ابزاری عالی است که می توانید برای ردیابی آسیب پذیری های امنیتی از...

چطور می توانم باگ باونتی شروع کنم؟
چطور می توانم باگ باونتی شروع کنم؟ چگونه مهارت های خود را بهبود بخشم؟ اینها مراحل ساده ای است که هر شکارچی باگ می تواند برای شروع و بهبود مهارت های خود از آنها استفاده کند: یاد بگیرید که...

فناوری Zero Trust Network چیست ؟
(Zero rust Network (ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمانهای فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و...

شکارچیان از مسابقات کشف باگ چه انتظاری دارند؟
در یک نظرسنجی که من انجام دادم ، شکارچیان باگ انتظارات زیر را ذکر کردند. رسیدگی و بررسی سریع شکارچیان عاشق برنامه های کارآمد با زمان پاسخ سریع تر هستند. اطمینان حاصل کنید که یک توافق نامه واقع بینانه...

اصطلاحات باگ باونتی
اصطلاح تعریف Bug bounty پاداش داده شده برای گزارش آسیب پذیری امنیتی. Bug bounty program شرکت ها یا افرادی که محققان امنیتی را به دلیل گزارش آسیب پذیری های امنیتی در محصولات خود پاداش می دهند. مختصرا "BBP" می گویند....

مدرک شرح کار و شاخص کلیدی عملکرد
مدرک شرح کار ( Statement Of Work ) که به اختصار SOW نامگذاری می شود ، واژه SOW یک واژه کلی و عام است و در صنایع مختلف به شکل های مختلف تهیه و تنظیم می شوند اما چیزی که...
قوانین ارسال دیدگاه در سایت
- چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
- چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
- چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
- چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
- چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12