Sordun ve cevap verdik.
Intigriti’de, bir hata ödül programı olanların en sık sorulan sorularına dikkat ediyoruz. Bu yüzden en çok sorulan soruları cevaplamaya, sıcak konulara dalmaya ve hata ödül başarınızı en üst düzeye çıkarmanıza yardımcı olacak pratik ve uzman destekli stratejileri paylaşmaya adanmış bu blog dizisini başlattık.
Şimdiye kadar bu dizide cevap verdik:
Bugün, başvurular için doğru miktarda ödül ödeyip ödemediğinizi belirlemeyi tartışıyoruz.
Doğru miktarda ödül ödülünü tanımlamak, özellikle bir hata ödül programına yeni başlayan şirketler için bir zorluk olabilir. Çok az ödeyin ve araştırmacıları ilgilendirmeyeceksiniz. Çok fazla ödeme yapın ve Güvenlik Yatırım Getirisini (ROSI) etkiliyorsunuz.
“Herkes bir böcek ödül programı kurabilir, ancak ne yaptığınızdan emin değilseniz, güvenlik açıkları için çok fazla ödeme yapabilirsiniz. Daha da kötüsü, ödüllerinizi çok düşük ayarlayabilir ve hiç araştırmacı çekmeyebilirsiniz. Önde gelen bir kalabalık kaynaklı güvenlik platformu olarak deneyimimiz, araştırmacıların ödemelere büyük ölçüde ayarlandığını gösteriyor. Programınızın tatlı bir öneri kalmasını sağlamak için tatlı noktayı bulmak önemlidir.” – Inti de Ceukelaire, Intigriti
Ödemeler, araştırmacıların etkileşimi yapmak ve topluluk içinde güven ve şeffaflık oluşturmak için güvenlik açığı şiddeti seviyesine uymalıdır. Bunu yapmak için, varlıkların değeri, program olgunluğu ve bütçesi, araştırmacı çabası, rapor kalitesi ve endüstri kriterleri dahil olmak üzere dikkate alınması gereken birçok unsur vardır.
Siber güvenlik alanındaki birçoğu CVSS’ye (Ortak Güvenlik Açığı Puanlama Sistemi) aşinaysa da, siber güvenlik güvenlik açıklarının şiddetini hesaplamak için kullanılan açık bir siber güvenlik çerçevesi, bu çerçevenin birden fazla versiyonu ve uyarlaması olmuştur. En son sürüm (4.0), sömürülebilirlik, etkiler, kapsam ve daha fazlası dahil olmak üzere birden fazla ortam ve boyuttaki güvenlik açıklarının şiddetini değerlendirmek ve söz konusu güvenlik açıklarının sayısal bir puanı (0.0 ila 10.0) sağlamak için tasarlanmıştır. Her puan, ödül ödemelerinin ayarlandığı bir şiddet etiketine (yok, düşük, orta, yüksek ve kritik) karşılık gelir.
Bug ödülünde CVSS kullanılarak, hata şiddetinin değerlendirilmesi standartlaştırılır, bu da özellikle birden fazla başvuru yapıldığında ödeme yanlılığında bir azalma anlamına gelir. Ayrıca, ödüllerin riskle uyumlu olduğu ve bir ödülün neden ‘y’ aksine ‘x’ değerinde olduğu konusunda akıl yürütme anlamına gelir.
Intigriti’ler gibi böcek ödül hesap makineleri bu işlemi otomatikleştirin ve ödemelerinizin şiddet seviyelerinde nasıl bir yığıldığını size gösterin.
Diğer öğeler, kullanılmayan güvenlik açıklarının olasılığını tahmin etmek için kullanılabilen istismar tahmin puanlama sistemi (EPSS) gibi CVS’leri tamamlamak için kullanılabilir. Bu, büyük olasılıkla hedeflenecek teorik güvenlik açıklarını tanımladığı için CVSS v4.0’ı tamamlayabilir, bu da ekiplerin çabalarını daha da önceliklendirebileceği anlamına gelir.
Bunu göz önünde bulundurarak, şiddet seviyelerini kapsayacak şekilde minimum ve maksimum ödeme ayarlayın. Neden? Tüm varlıklar eşit olmadığından, iş açısından kritik hedefler için daha yüksek ödemelerin yapılmasını sağlamak için ödül katmanlama sistemlerine ihtiyaç vardır. Minimum ve maksimum aralıkla, araştırmacılar potansiyel ödemelerin farkındadırken, sömürülebilirliğin varlığına veya derinliğine göre adil bir şekilde ödüllendirme esnekliğini koruyorsunuz.
‘Daha gelişmiş bir yaklaşım olan menzilli ödüller, program editörlerinin her bir önem seviyesi için minimum ve maksimum ödül miktarı tanımlamasına izin verir. Bu aralık daha ayrıntılı bir ödül sistemi sağlar. Gönderimlerin ciddiyetleri CVSS puanlarıyla eşlenir ve bu da ayarlanan aralıktaki olası ödülleri belirler. Program üyeleri gerekirse önem seviyesini manuel olarak geçersiz kılabilir ve CVSS puanının bulunmadığı durumlarda, minimum aralık tutarı kullanılacaktır. ‘ – Menzilli ödüller
Bir araştırmacının karmaşık sistemlerde veya yeni bir şekilde kritik veya olağanüstü bir güvenlik açığını keşfettiği durumlarda, özel ödüller büyük işler için tanıma göstermek için kullanılabilir. Bu ayrıca, bir CAP mevcut olsa da, şirketin yenilikçi araştırmaları ödüllendirmeye istekli olduğunu ve bunu yapmak için finansal kapasiteye sahip olduğunu gösterdiği için diğer araştırmacıları da teşvik edebilir.
Burada büyüdükçe güvenlik araştırmacılarını programınıza nasıl çekeceğiniz hakkında daha fazla bilgi edinin.
Araştırmacıların çoğunluğu finansal kazançtan kaynaklanmaktadır. Diğer birçok faktör, tanınma, hayırseverlik veya sadece bir meydan okumanın heyecanı gibi bir araştırmacıyı motive edebilirken, finansal kazanç en iyi yarışmacıdır. Bu, adil ve öngörülebilir ödüllere, ödemelerle ilgili şeffaflığa ve yüksek çabaların tanınmasına değer verdikleri anlamına gelir.
Bütçeler sıkı olduğunda, daha yüksek ödüller koymak genellikle zor bir karar olabilir. Ancak bu, programınız daha yetenekli araştırmacıları çektiği için Rosi açısından önemli ölçüde işe yarayabilir. Unutmayın, önleme her zaman siber güvenlikte tedaviden daha düşük maliyetlidir.
‘Daha yüksek katmanlı ödüller, araştırmacıları bu daha karmaşık veya sertleştirilmiş hedeflere zaman ayırmaya teşvik edebilir. Birçok program sahibi, yeni eklenen kapsamı Tier 3, 4 veya 5’te başlatır, daha sonra olgunlaştıkça ve bulması kolay güvenlik açıkları ele alındıkça daha yüksek katmanlara taşır. ‘ – Ödül katmanları
Yetenekli araştırmacılar, daha yüksek ödül yapıları belirleyen ve zamanları ve becerileri için adil bir şekilde rekabet eden programlara öncelik vermeye daha meyillidir. Kuruluşlar sadece daha derin testlerden değil, aynı zamanda daha değerli bulgulardan ve daha güçlü bir güvenlik duruşundan da yararlanmaktadır. Ayrıca, bir araştırmacı platformunuzda avlanmaktan ne bekleyeceğini biliyorsa ve çalışmalarına hızlı ve adil bir yanıt görebiliyorsa, programınızla etkileşime girme ve geleceğe daha karmaşık hatalar denemeleri daha olasıdır.
Piyasada rekabetçi kalmak için, Müşteri Başarı Yöneticisi’nden (CSM), gerçek zamanlı ortalamaların ne olduğunun farkında olmak için endüstri karşılaştırmaları isteyin, böylece programınızın çekici kalması ve uzun vadede etkili olması.
Başarılı bir ödül programı, hem keşfedilen güvenlik açıklarının şiddetini hem de araştırmacıların çabalarını sistematik olarak ödüllendirerek adil ve tutarlı bir tazminat sağlıyor. Benchmark aralıkları ve darbeye dayalı ince ayar. Ve programınızı geliştikçe ayarlamaktan korkmayın. Bounties’in değiştirilmesi gerekip gerekmediğini görmek için yapıyı altı ila on iki ayda bir gözden geçirmek en iyisidir.
Bir Hata Bounty programının başlatılmasının ilk altı ayında hangi kalıplar ve işlemlerin yapılacağı hakkında daha fazla bilgi edinin.
Bu makalede belirtilen noktalar hakkında daha fazla bilgi için bugün ekibe başvurun. Ve bir sonraki blogumuza dikkat edin, burada ekibimize yöneltilen başka bir popüler soruyu inceliyoruz!
Belirli bir konuyla ilgileniyor musunuz? [email protected] adresine e -posta göndererek cevap almak istediğiniz soruları bize gönderin.