Warum Unternehmen bieten eine Hacking Bounty – und warum gibt es Herausforderungen

Warum Unternehmen bieten eine Hacking Bounty - und warum gibt es Herausforderungen

Wollen Sie eine coole $ 20.000 zu machen?

Alles, was Sie tun müssen, ist die Nintendo 3DS, eine Handheld-Konsole, die schon seit ein paar Jahren ausgepackt ist. Ein Eintrag auf HackerOne buchstabiert alles: Hacker erhalten eine Barzahlung für die Entdeckung einer Sicherheitslücke im System, die es Spielern erlaubt, Einkäufe zu tätigen und private Informationen wie Ihr Alter und Geschlecht zu speichern. Es gibt eine Strecke für dieses, selbstverständlich – einige Entdeckungen zahlen $ 100. Außerdem muss jeder, der einen Bericht archiviert, der genauen Vorlage folgen.

Es macht Sie sich wundern – warum sollte eine große japanische Gesellschaft eine Belohnung wie diese anbieten? Warum ist es sogar den Aufwand wert, vor allem, wenn Sie wissen, dass sie interne Sicherheit Forscher haben?

Viele Unternehmen, darunter Apple, Uber, und Yelp, bieten regelmäßig Bounties. Ein Bericht sagte, dass Apple so viel wie $ 200.000 zahlen würde, wenn Sie eine Ausbeutung im neuen iPhone finden. Der Aufwand ist offensichtlich lohnt sich oder die Kopfgeld-Programme – und Websites wie HackerOne – würde nicht existieren.

[ALSO ON CSO: 7 Schritte, um ein Bug Bounty-Programm zu starten] Der Hauptvorteil ist, dass Sie Forscher, die wie ein Hacker und denken zu bekommen Wird versuchen, Schwachstellen wie einen Hacker zu finden „, sagt Alvaro Hoyos, der CSO bei OneLogin, einer Identity und Access Management Company. „Dies hilft Ihnen, Probleme zu identifizieren, die entweder Ihre interne oder externe Penetration Tests Teams vermissen, nicht nur wegen dieser Hacker Rahmen des Geistes, sondern auch, weil Sie eine größere Anzahl von Forschern ständig testen Sie Ihre Systeme haben.“

Chris Roberts, der Chef-Sicherheits-Architekt bei Acalvio Technologies, ein Endpoint-Schutz-Unternehmen, sagt, dass der Anstieg der Hacker-Bounties ist, wie die Gemeinschaft hat sich mehr organisiert und hilfreich. Websites wie BugCrowd und BugSheet haben es für größere Unternehmen einfacher, eine Bounty zu posten, Forschungsergebnisse zu akzeptieren und den Forscher zu bezahlen.

Er erzählt CSO, dass er über $ 3.000 bis $ 5.000 bezahlt worden sei, um eine Schwachstelle zu finden, obwohl er in einigen Fällen ihm nur einen herzlichen Dank ausspreche. In einigen Fällen hat eine Prämie für sein Team so hoch laufen wie $ 25.000, um einen Fehler zu finden, den ein Hacker aussetzen könnte.

Herausforderungen im Angebot einer Prämie

Roberts stellte fest, dass Unternehmen nicht immer bereit sind, eine Prämie anzubieten oder das Prämienprogramm einzurichten. Eine große Herausforderung ist das Finden der richtigen Menge, die der Sicherheitsanfälligkeit entspricht.

Das kann zu einem unangenehmen Austausch mit Forschern führen, sagt er. „Sie müssen die Eingabe, die Antworten und die Ergebnisse ordnungsgemäß verwalten – auch wenn Sie jetzt hoffen, dass Ihr IT-Sicherheitsbudget niedriger ist. Sie müssen das Personal bis zur Arbeit durch die eingereichten Ergebnisse oder riskieren den Zorn der Menschen immer satt bis nicht immer eine Antwort. „In einigen Fällen werden Hacker nicht identifiziert werden und kann nicht wollen Arbeit mit einem Unternehmen rechtlichen Team einmal ein Fehler entdeckt wird, sagt er. Nicht alle Forscher wollen durch eine komplexe Reporting-Vorlage zu lesen, die jedes Detail buchstabiert. Und wenn das Programm nicht richtig konfiguriert ist (zB mit einer Testumgebung nur für die Forscher), könnten echte Angriffe schwer zu erkennen sein.

[HINTERGRUND: Risiko gegen Belohnung: wie man über Bug Bounty Programme reden] Hoyos sagt, eine potenzielle Herausforderung für eine Bounty ist, dass sie Aufmerksamkeit auf sich ziehen kann Auf den neuen Dienst, das Gadget oder die App. Es könnte eine kriminelle Hacker, dass ein Unternehmen wie Apple oder Uber weiß, könnte es eine Schwachstelle, auch wenn das nicht unbedingt wahr.

Wenn Ihr Unternehmen keine Ressourcen mehr hat, um Fehler zu beheben, die rechtzeitig gemeldet werden, sind Sie in der Theorie, dass immer mehr Dritte wissen, dass ein ausnutzbarer Fehler existiert «, sagt Hoyos. „Chancen, dass keine dieser Drittparteien zu offenbaren, dass Bug zu einem böswilligen Schauspieler oder Missbrauch es selbst geht, wie mehr von ihnen bewusst geworden. Paul Innella, CEO von TDI, ein Cybersecurity-Unternehmen, sagt, dass einige Bonusprogramme schief gehen. „Paul Innella, der CEO von TDI, ein Cybersecurity-Unternehmen, sagt, dass einige Kopfgeldprogramme schief gehen – Hacker entdecken eine Exploit, und statt zu lassen, das Unternehmen kennen und sammeln die Belohnung, verkaufen die Entdeckung auf dem Dark Web. Das Bounty-Programm schuf ein neues Problem.

Was von beiden Seiten zu erwarten ist

Eine Bounty – oder der Forscher, der nach den Exploits sucht, ist auch eine Herausforderung, weil es in vielerlei Hinsicht die Versuchung ist, eine Prämie anzubieten Anstatt Sicherheitsexperten einzustellen, eigene Penetrationstests durchzuführen und eine Sicherheitsinfrastruktur einzurichten. Wenn Sie diese Methode verwenden, weil Sie nicht verstehen, Ihre Unternehmensabwehr, was bedeutet, dass Sie nicht ausgestattet sind, um Angriffe zu erkennen und auf sie zu handeln, dann bietet eine Prämie ist nicht für Sie „, sagt Innella. „Bounty-Programme sollten von Unternehmen mit robustem Cyber ​​verwendet werdenVerteidigung und als ein Teil der Regimency Cybersecurity Tests, im Wesentlichen in einer ausgelagerten Kapazität. „

Der Sprung in ethische Hacking, um Exploits zu finden, ist nicht leicht zu nehmen, nach Nathan Wenzler, ein Sicherheits-Architekt bei AsTech Consulting. Ein wichtiger Punkt machte er: Während es eine Zunahme der Zahl der Hackenprämien gibt, gibt es auch eine Tendenz, niedrigere Beträge anzubieten. Uber, zum Beispiel hat eine Summe von $ 819,085 bezahlt seit dem Start einer Kopfgeld mit einer Top-Bereich von $ 5.000 bis $ 10.000, aber der Durchschnitt ist mehr wie $ 750 bis $ 1.000 pro Exploit. Trotzdem behauptet Paul Calatayud, der CTO bei FireMon, ein Firewall-Management-Unternehmen, dass ein Zero-Day-Exploit für ein großes Unternehmen einen höheren Preis bezahlen kann – in den siebenstelligen Betrag.

Das ist ein ziemlich guter Zahltag. Diese Geschichte, „Warum Unternehmen bieten eine Hacking Bounty – und warum gibt es Herausforderungen“ wurde ursprünglich von CSO veröffentlicht.

q , q

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.