Per rispondere a ciascuna delle tue domande:
1. Fondamentalmente come procedere o anche dovremmo?
Consiglio di procedere. Potrai acquisire informazioni preziose che possono essere immediatamente impiegate per migliorare la sicurezza della tua azienda. Non ci hai detto cosa ti ha inviato il ricercatore, ma avranno una descrizione della vulnerabilità o dei metodi per riprodurla. Per procedere avrai bisogno di:
-
Una descrizione / scenario di attacco della vulnerabilità rilevata. Perché questo è un problema, cosa consente specificamente il bug a un utente malintenzionato di fare che non dovrebbe essere in grado di fare, qual è lo scenario / gravità del caso peggiore della scoperta.
-
Fasi di riproduzione. Quali passaggi potresti dare a qualsiasi ingegnere e consentire loro di riprodurre il bug ogni volta.
-
Cosa cerca in cambio l'hacker. Come accennato, potrebbe essere il permesso di pubblicare il ritrovamento dopo aver aggiustato o denaro.
-
Potresti anche richiedere o ricevere consigli per la riparazione, punteggi di rischio, ecc. dal ricercatore.
MOLTO IMPORTANTE: chiarisci al ricercatore che ti aspetti che mantenga il problema riservato fino a quando il problema non viene risolto. Può controbattere con una finestra di risoluzione, ad es. possono pubblicare e l'articolo se il problema non viene risolto entro 60 giorni. Questa è una pratica comune e dovrebbe essere accettabile per la maggior parte delle aziende con una forte posizione di sicurezza.
2. Qual è l'aspettativa comune da un hacker bianco (cappello)?
Dipende dal ricercatore, ma probabilmente chiederà il permesso di pubblicare il risultato una volta corretto, oltre a una ricompensa in denaro. I prezzi dei premi si basano sulla gravità e sulle dimensioni complessive del programma di ricompense. Hackerone, una grande piattaforma di bug bounty, ha una matrice che suggerisce i pagamenti in relazione alle dimensioni dell'azienda / programma di taglie: https://www.hackerone.com/resources/bug-bounty-basics. Determinare il prezzo di pagamento è un'arte sottile: consiglio di cercare bug simili da parte di hackerone o altre piattaforme di bug bounty e di basare il tuo pagamento su ciò che altre società stanno pagando per lo stesso problema.
Ancora una volta, un'aspettativa comune che i ricercatori avranno è che riescono a pubblicare il risultato in un certo periodo di tempo, indipendentemente dal fatto che sia stato risolto o meno. 60 giorni sono comuni, ma non accetterei una quantità di tempo se non sei sicuro che la tua azienda possa consegnare in quella finestra. Dopo aver risolto il problema, l'hacker potrebbe voler verificare che la correzione sia stata implementata correttamente.
3. Come convalidare?
Usa i passaggi di riproduzione forniti dall'hacker. Dovrebbero essere abbastanza chiari da consentire a qualsiasi ingegnere di seguire esattamente i passaggi e riprodurre il bug. Se ci sono problemi qui puoi tornare dal ricercatore e ottenere chiarimenti. È responsabilità dei ricercatori fornire all'azienda le fasi di riproduzione che delineano e identificano il bug.
Una volta risolto il problema, puoi invitare il ricercatore a convalidare la correzione e assicurarti che sia stata corretta completamente.