So beantworten Sie jede Ihrer Fragen:
1. Grundsätzlich, wie wir vorgehen sollen oder sollten wir sogar?
Ich empfehle, fortzufahren. Sie können wertvolle Informationen erhalten, die sofort zur Verbesserung der Sicherheit Ihres Unternehmens eingesetzt werden können. Sie haben uns nicht mitgeteilt, was der Forscher Ihnen gesendet hat, aber er enthält entweder eine Beschreibung der Sicherheitsanfälligkeit oder Methoden zur Reproduktion. Um fortzufahren, benötigen Sie von ihnen:
Ein Beschreibungs- / Angriffsszenario der gefundenen Sicherheitsanfälligkeit. Warum ist dies ein Problem, was genau erlaubt der Fehler einem Angreifer, was er nicht tun sollte, was ist der schlimmste Fall / Schweregrad des Befundes.
Reproduktionsschritte. Welche Schritte könnten Sie einem Ingenieur geben und ihm erlauben, den Fehler jedes Mal zu reproduzieren?
Was der Hacker als Gegenleistung sucht. Wie bereits erwähnt, kann es die Erlaubnis sein, den Befund nach der Festsetzung oder nach Geld zu veröffentlichen.
Möglicherweise möchten oder erhalten Sie auch Sanierungshinweise, Risikobewertungen usw. vom Forscher.
SEHR WICHTIG: Machen Sie dem Forscher klar, dass Sie erwarten, dass er das Problem vertraulich behandelt, bis das Problem behoben ist. Sie können mit einem Korrekturfenster kontern, z Sie können veröffentlichen und Artikel verfassen, wenn das Problem nicht innerhalb von 60 Tagen behoben ist. Dies ist gängige Praxis und sollte für die meisten Unternehmen mit einer starken Sicherheitslage akzeptabel sein.
2. Was ist die allgemeine Erwartung an einen weißen (Hut-) Hacker?
Hängt vom Forscher ab, aber er möchte wahrscheinlich die Erlaubnis, den Befund zu veröffentlichen, sobald er behoben wurde, sowie eine finanzielle Belohnung. Die Prämienpreise basieren auf dem Schweregrad und der Größe des Kopfgeldprogramms. Hackerone, eine große Bug-Bounty-Plattform, verfügt über eine Matrix, die Auszahlungen im Verhältnis zur Größe des Unternehmens / Bounty-Programms vorschlägt: https://www.hackerone.com/resources/bug-bounty-basics. Das Bestimmen des Auszahlungspreises ist eine subtile Kunst - ich empfehle, Hackerone oder andere Bug-Bounty-Plattformen nach ähnlichen Fehlern zu durchsuchen und Ihre Auszahlung darauf zu stützen, was andere Unternehmen für das gleiche Problem bezahlen ist, dass sie den Befund in einer bestimmten Zeit veröffentlichen können, unabhängig davon, ob er bis dahin behoben wurde. 60 Tage sind üblich, aber ich würde einer bestimmten Zeit nicht zustimmen, wenn Sie nicht sicher sind, dass Ihr Unternehmen in diesem Fenster liefern kann. Nachdem das Problem behoben wurde, möchte der Hacker möglicherweise überprüfen, ob der Fix korrekt implementiert wurde.
3. Wie validiere ich?
Verwenden Sie die Reproduktionsschritte, die Ihnen der Hacker gegeben hat. Sie sollten klar genug sein, dass jeder Ingenieur die Schritte genau befolgen und den Fehler reproduzieren kann. Wenn es hier irgendwelche Probleme gibt, können Sie zum Forscher zurückkehren und sich klären lassen. Es liegt in der Verantwortung der Forscher, dem Unternehmen Reproduktionsschritte zur Verfügung zu stellen, die den Fehler beschreiben und identifizieren.
Sobald das Problem behoben ist, können Sie den Forscher einladen, das Update zu validieren und sicherzustellen, dass es vollständig gepatcht wurde.