چگونه می توانم یک سیاست امنیتی بنویسم؟

برای اینکه واقعاً چگونگی نوشتن یک سیاست امنیتی خوب را توضیح دهیم ، از سیاست امنیتی Security.txt به عنوان نمونه استفاده خواهیم کرد.
شرح پروژه
خط مشی امنیتی خود را با توضیحات مختصری درباره شرکت یا پروژه خود شروع کنید. این معادل شرح متا تگ توضیحات در وب سایت است. این به شکارچی اجازه می دهد تا مختصراً از آنچه انجام می دهید ، بداند.
سیاست افشای اطلاعات
دقیقاً توضیح دهید که سیاست افشای شما چیست.
مثال :
ما گزارش های ارسالی را بررسی خواهیم کرد و تمام تلاش خود را برای حل سریع آسیب پذیری ها انجام خواهیم داد. برای تشویق گزارش دهی مسئولانه شما پاداش خواهیم داد و همچنین ، علیه شما اقدام قانونی نخواهیم کرد و از نیروی انتظامی و دادگاه نیز درخواستی نخواهیم کرد که شما را در مورد تعقیب قضایی قرار دهد لطفا از موارد زیر پیروی کنند: در این کار حسن نیت انجام دهید تا از نقض حریم خصوصی ، تخریب داده ها و قطع شدن یا تخریب خدمات ما جلوگیری کنید.
روند
security.txt از این بخش برای روشن شدن روندهای افشای ، گزارش اولیه تا رفع نهایی و دریافت پاداش، استفاده می کنند. این برنامه در واقع شامل یک نمودار برای توصیف فرایندهاست که در زیر می بینید:
زبان ها
این یک بخش اختیاری است و با الهام از برنامه پاداش آسیب پذیری (Google (VRP. بخشی را درج کنید که شامل همه زبان های مختلفی است که شما گزارش های خود را در آن پذیرش می کنید. به یاد داشته باشید برخی شکارچیان در توصیف یافتن خود به زبان مادری خود احساس راحتی بیشتری می کنند ، بنابراین زبان می تواند کمک بزرگی باشد.
محدوده
یک شکارچی خردمند یک بار گفت:
محدوده خونین کجاست ؟!
من شک دارم که برای هر برنامه ای می خواهد در مورد سیاست امنیتی آن بنویسید کار های تکراری انجام دهید. بنابراین برای حل این مشکل یک راز طلایی دارم که به طور مستقیم با برنامه نمونه ای که در این توضیحات استفاده می کنم مرتبط است. برای تعریف دامنه و محدوده خود از پرونده های Security.txt استفاده کنید. سپس تمام شکارچیان و تیم شما باید برای بررسی صحت بررسی محدوده این کارها اقدام کنند:
$ curl http://example.com/.well-known/security.txt
# This project is in scope!
Contact: secur[email protected] Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
همچنین ، بیان کنید که چه دارایی در محدوده نیست. ضروری است که شما همچنین شکارچیان را تشویق کنید که با پاداش دادن به آنها نباید ، از محدوده خارج شوند. به نظر من ، یک استثناء قابل قبول از این قاعده در صورتی است که آسیب پذیری در دامنه محدوده بحرانی باشد.
پاداش
اکنون می توانید از پاداش و پول صحبت کنید . دستورالعمل های مربوط به “چگونه می توانم مبلغ پاداش را تعیین کنم؟” و یک جدول با تمامی مبلغ پاداش خود را در این بخش قرار دهید.
توافق سطح سرویس (انتظارات عملکرد)
الگوی زیر را با آنچه شکارچی باید از عملکرد برنامه شما انتظار داشته باشد پر کنید.
Time to first response: 2 business days or less.
Time to triage: 3 business days or less.
Time to resolution: 5 business days or less.
استثنائات
برای این بخش از خط مشی امنیتی خود می توانید بیان کنید که چه نوع آزمایشی و سپس چه محدوده برنامه bug bounty شما حذف شده اند. انواع آزمون شامل استراتژی هایی است که هکرها ممکن است هنگام شکار از آن استفاده کنند. انواع دسته های آسیب پذیری هستند که برنامه شما معمولاً آن را نمی پذیرد. ، می توانید از نمونه های زیر استفاده کرده و طبق قوانین برنامه خود را تطبیق دهید.
The following test types are excluded from the scope:
- Findings from physical testing such as office access (e.g. open doors, tailgating).
- Findings derived primarily from social engineering (e.g. phishing, vishing).
- Findings from applications or systems not listed in the “Scope” section.
- Vulnerability reports with video only proof of concepts.
- Reports that state that software is out of date or vulnerable without a proof of concept.
- Highly speculative reports about theoretical damage. Be concrete.
- Vulnerabilities as reported by automated tools without additional analysis as to how they’re an issue.
- Issues in third-party services should be reported to the respective team.
وقتی صحبت از بخش انواع مسئله آسیب پذیری می شود ، بهتر است که شما فقط انواع مشکلات را ذکر نکنید ، بلکه دلیل دقیقی را بیان کنید که چرا آن یافته ها را قبول نمی کنید – یادتان باشد که ارتباط مهم است. برنامه bug bounty با استفاده از یک جدول Markdown برای تحقق این هدف استفاده می کند.
اثبات مفاهیم (poc)
از این بخش از خط مشی خود استفاده کنید تا آنچه را می خواهید شکارچی در اثبات مفهوم خود نشان دهد ، توصیف کنید. به عنوان مثال ، برای تعیین سریع محل آسیب پذیری برنامه نویسی در سطح سایت ، alert(document.domain)
متداول ترین روش تأیید سریع است.
یاهو به شکارچیان اجازه می دهد دسترسی ریشه ای را بدون تأثیرگذاری بر خدماتشان نشان دهند.
Security.txt از یک جدول استفاده می کند.
توصیه
به شکارچیان توصیه کنید که حداقل 2 کتابی که در “چه کتابهایی باید بخوانم؟” معرفی کردیم را بخوانند. و لینک آنها را در Security.txt قرار دهید . سپس بیان می کنید که اگر شکارچی سوالی داشته باشد می تواند در هر زمان با تیم شما تماس بگیرد.
ما هکرها را تشویق می کنیم تا Web Hacking 101 و Breaking into Security Information را بخوانند
واژه شناسی
از آنجا که بسیاری از اصطلاحات ممکن است به صورت متناوب مورد استفاده قرار گیرد ، ایده خوبی است که برای جلوگیری از هرگونه سردرگمی احتمالی ، اصطلاحات خود را در Security.txt تعریف کنید. اصطلاحات “شدت” ، “تأثیر” و “اولویت” را تعریف می کنید – اصطلاحات اساسی ، که اغلب در طی فرآیند افشاء استفاده می شود. ( “severity”, “impact” ,”priority” )
مطالب زیر را حتما بخوانید:

یکی از چالش برانگیزترین مراحل هنگام اجرای برنامهbug bounty ، اغلب تعیین میزان پاداش است. دلیل این امر این است که عوامل بسیاری در این فرآیند دخیل هستند. هدف اصلی...

وجود خطا در پیکربندی یکی از پایگاه داده های شرکت آمریکایی Broadvoice که در حوزه ارایه سرویسهای VoiP فعالیت میکند، باعث افشای ۳۵۰ میلیون رکورد اطلاعاتی از مشتریان این شرکت...

باگ بانتی چیست؟ باگ بانتی ( Bug Bounty ) یا مسابقات کشف باگ و آسیب پذیری، برنامههایی هستنتد که طی آنها یک وبسایت یا اپلیکیشن و حتی سخت افزار، سازمان...

(Zero rust Network (ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمانهای فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض...

CERT یا CSIRT واحد خدماتی است که مسئول دریافت، مرور و پاسخگویی به گزارشات ارسالی و فعالیتهای مربوط به مشکلات و رخدادهای کامپیوتری است. سرویس های این واحد معمولا برای...

وزارت دفاع، ارتش و دانشگاه هاوارد در ایالات متحده در یک مرکز عالی، که اخیراً رونمایی شده است، با هدف پیشبرد تحقیقات هوش مصنوعی و یادگیری ماشینی، فناوریها و برنامههای...

یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne...

Bug Bounty (باگ باونتی) لبه اصلی خدمات امنیت سایبری است. در ابتدا از زبان ویکی پدیا باگ باونتی برای شما تعریف می کنیم : به زبان ساده Bug Bounty...

در یک نظرسنجی که من انجام دادم ، شکارچیان باگ انتظارات زیر را ذکر کردند. رسیدگی و بررسی سریع شکارچیان عاشق برنامه های کارآمد با زمان پاسخ سریع تر...

محققان امنیت سایبری شرکت کسپرسکی (Kaspersky) متوجه اجرای گروهی از حملات فیشینگ شده اند که از یک وب سایت مخرب خاص که به عنوان نسخه عربی نتفلیکس (شرکت آمریکایی که...

طرز فکر خود را در مورد باگ باونتی تغییر دهید ( یادگیری > پول ) همیشه روی برنامه و اهداف جدیدتر متمرکز شوید همیشه به مسیری که کمتر بازدید می...

تبریک می گویم! بسیار هیجان انگیز است که تصمیم گرفتید یک محقق امنیتی باشید و مهارت های جدیدی را انتخاب کنید. ما چندین منبع زیر را جمع آوری کرده ایم...

- جهت دانلود سریع از VPN استفاده نکنید..
- تمامی فایل ها قبل از درج بررسی شده اند.
- لینک دانلود از دو سرور مختلف است.
- امکان قطع دانلود فایل ها وجود دارد.
- جهت دانلود از IDM استفاده کنید..
- در صورت نیاز با ما تماس بگیرید.
اندازه فایل
نوع فایل
قوانین ارسال دیدگاه در سایت