1. Gelen güvenlik açığı raporlarını yönetmeye hazır mısınız?
Doğal olarak, bir hata ödül programı yürütmenin amacı, güvenlik ekibinizin bulabileceğinin ötesinde güvenlik açıklarını tanımlamak ve bunları düzeltmektir. Bununla birlikte, bir hata ödül programı başlatırken, birçok güvenlik ekibi kaç güvenlik açıkının tespit edileceği ve bunlara hitap etmek için çalışmak için mücadele edeceği için hazırlıksızdır. Doğru puanlama sistemleri olmadan, güvenlik ekiplerinin gelen güvenlik açığı raporlarına öncelik vermeleri ve bunları organize bir şekilde düzeltmeleri çok zor olabilir.
Çözüm: Etkinliğinizi ve puanlama platformunuzu düzenleyin ve hazırlayın
Güvenlik ekipleri, hata ödül avcılarının raporlarını yönetmeye yardımcı olmak için etkili bir güvenlik açığı etkinliği ve önceliklendirme puanlama platformuna ihtiyaç duyar. Hackerone platformu, güvenlik açıklarını etkili bir şekilde ele almanıza yardımcı olacak tüm gerekli bilgileri, organizasyon, puanlama ve kaynakları sağlar.
Hackerone Müşteri Başarı Yöneticileri (CSMS), bir programı benzersiz ihtiyaçlarına ve hedeflerine göre ölçeklendirmek için müşterilerle yakın bir şekilde çalışarak, yönetilemez sayıda araştırmacı ve raporla ezici güvenlik ekiplerinden kaçınır.
Hackerone TriAge ayrıca dahili ekiplerin, yanlış pozitifleri filtrelemek ve raporları doğrulamaktan güvenlik araştırmacıları ile doğrudan iletişim kurmaya ve ekibinize iyileştirme için sorunsuz bir elden çıkarmaya kadar gelen raporları yönetme yeteneklerini ölçeklendirmelerine yardımcı olur. Uzman triyaj analistlerimiz, ayrıntılı bilgiler ve en üst düzey özetlerle basit güncellemeler eşliğinde sadece onaylanmış güvenlik açıklarını aktararak gelen raporları gözden geçiriyor. Bu, ekibinizin rapor incelemesi yerine iyileştirmeye odaklanmasını sağlar ve güvenlik açığı keşif programınızı daha uygun maliyetli, ölçeklenebilir ve etkili hale getirir.
CVE (ortak güvenlik açıkları ve maruziyetler) Keşif özelliği gibi diğer kaynaklardan yararlanın, müşterilere CVES’in aktif olarak rapor edildiği hakkında bilgiler sunar. Buna ek olarak, platform, kapsamlı faktörlere dayalı raporları önceliklendirmenize izin vermek için hem CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) hem de EPSS (Saza Tahmin Puanlama Sistemi) puanlamasını kullanır.
2. Saldırı yüzeyinizi test ettiniz mi?
Güvenlik ekiplerinin, bir hata ödül programına hazır olup olmadıklarından emin olmalarının nedenlerinden biri, saldırı yüzeylerini tam olarak anlamaları. Bir hata ödül programı doğru hedef olsa da, güvenlik ekipleri genellikle kod incelemeleri ve pentests gibi daha önceki adımları atlar ve bu da gelecekteki Bug -Bounty raporlarından ne bekleyeceğine ışık tutar.
Çözüm: Kodu incelemeleri ve pentestleri çalıştırın
Hackerone topluluğunun özel bir kohortu tarafından gerçekleştirilen her kod incelemesinin, ortalama 1,2 güvenlik açığı tamamlamak ve yüzeyleri tamamlamak için medyan 88 dakika sürer. Güvenlik düzeltmelerinin yüzde on sekizi eksiktir, bu da onları denetimde en önemli kod değişikliklerinden biri haline getirir.
Bug Bounty genellikle devam eden bir program olsa da, Pentests tipik olarak, rakiplerin sömürebileceği güvenlik açıklarını belirlemeye odaklanarak sistemin kapsamlı, zamana bağlı bir incelemesini kapsayan yapılandırılmış bir metodolojiyi takip eder.
Kod incelemeleri ve pentest’ler aracılığıyla tanımlanan en iyi güvenlik açıkları genellikle hata ödülününkiyle örtüşerek şu yaygın güvenlik açıklarını tanımlayarak aşağıdakilerle örtüşmektedir.
Buna ek olarak, kod incelemelerine ve pentestlere adanmış daha küçük kapsam ve zaman aralığı, onları saldırı yüzünüzü anlamaya ve bir hata ödül programına hazırlanmaya yönelik önemli basamak taşları haline getirir. Hackerone Pentesters, bir kuruluşun devam eden hata ödül programına da eklenebilir ve daha da fazla değer veren çapa araştırmacıları geliştirebilir.
3. Organizasyonel Buy-In’iniz var mı?
Birçok güvenlik lideri, paydaşlardan ve yönetim kurulu üyelerinden bir hata ödülünü ilk coşkunu ve alımını güvence altına almak için mücadele eder. Bu, doğru bilgi olmadan sahip olmak zor bir konuşma olabilir, çünkü bazen bir şeyin olmasını önlemenin geri dönüşünü göstermek zordur. Sonuç olarak, güvenlik ekipleri ihtiyaç duydukları bütçe kaynaklarını almazlar ve program etkisiz bir şekilde yürütülür.
Çözüm: Ölçülebilir YG veya Risk Azaltma Geri Dönüşü hesaplayın
Yönetim kurulu üyelerinin dolar ve sent dilinde konuştukları bir sır değil ve maliyet tasarrufu ve YG’nin hesaplanmış bir dökümü olmadan, güvenlik ekiplerine hata ödül programlarını etkin bir şekilde yürütmek için uygun bütçe verilmez.
8. yıllık hacker destekli güvenlik raporuna göre, bir hatanın ortalama fiyatı 2023’ten bu yana 1.066 $ ‘dan 1.116 $’ a yükseldi. Bununla birlikte, bu güvenlik açıklarının maliyeti fark edilmez ve sömürülmez, ödülün maliyetinden önemli ölçüde daha fazladır.
Hackerone müşterileri, hata ödül programlarının başarısını ölçerken maliyet tasarrufunu sürekli olarak etkiliyor,% 45’i itibar veya müşteri ile ilgili olayların tahmini tasarruflarına değer veriyor ve% 45’i riskten kaçınmaktan tahmin edilen finansal tasarruflara değer veriyor.
“2019’dan bu yana Zoom, 300’ü hızla devam etmemiz gereken güvenlik açıkları sunan 900 hacker ile çalıştı. 7 milyon doların üzerinde ödeme yaptık. Bu önemli bir yatırım ama geri dönüşler buna değer: Dünya buluyoruz- Gerçek dünyadaki bir sorun olmadan önce gerçek dünyadaki çözümleri bulmak için sınıf yetenekleri. “
– Michael Adams, Ciso, Zoom
Birçok durumda, hackerone müşterileri, bir program için iş durumunu güçlendirerek, hata ödülünü risk azaltma geri dönüşünü göstermede başarılıdır.
“
Böcek ödül programı tüm harcamalarımız boyunca en yüksek yatırım getirisidir. YG’yi göstermek gerçekten zor, ama böcek ödülüyle bir taban çizgim var. ‘Bu kırılganlık, kuruluş dışındaki biri tarafından bulunabildi. Bu sisteme erişme yetkisi olmayan biri buna erişebildi. ‘ Programımızda olmayan güvenlik açıklarıyla bile, Bug Bounty onlara bir fiyat etiketi koymama izin veriyor. Bu iş vakasını açıklayabilirim ve paydaşlarımız, ROI üreten diğer araçlardan daha yüksek hata ödülüne öncelik verebilirler. ”
– Eric Kieling, Uygulama Güvenliği Başkanı, Booking.com
Diğer hackerone müşterilerinin Bug Bounty için organizasyonel alım aldıklarını görün.
4. Bountes’leriniz doğru mu?
Finansal tazminattan daha fazla faktör olsa da, araştırmacıların% 52’si bunu öncelikle para için yapıyor. Bunu göz önünde bulundurarak, ödüller kurarken finansal teşvik düzeyi önemlidir. Birçok kuruluş, herhangi bir hata ödül için uygun miktarın ne olduğunu bildiklerini düşünebilir, ancak programlarına araştırmacılardan katılım eksikliği bulurlar. Çünkü araştırmacıların% 48’i, ödüller çok düşükse bir programa katılmamayı tercih edecek.
Çözüm: Akran kıyaslama verileri ile fiyat ödülleri
Güvenlik ekiplerinin bir adadaki ödülleri fiyatlandırması gerekmez. Her sektördeki akranlar böcek ödülünü kucakladı. Ekiplerin endüstrileri içindeki ortalama ödül maliyetlerini incelemeleri şarttır, çünkü ortalamalar bir sektörden diğerine çok farklı olabilir. Örneğin, aşağıda, Seyahat ve Ağırlama’da kritik bir ciddiyet güvenlik açığı için ortalama bir ödülün 4.763 $ olduğunu görebilirsiniz, Cryptourrency & Blockchain’de 24.000 doların üzerinde.
Ortalama, ortalama ve 95. persentil ödül ödülleri
5. Araştırmacıların meşgul olmasını sağlayabilir misiniz?
Bir hata ödül programı seçerken para kesinlikle önemli bir faktör olsa da, önemli buldukları tek şey bu değil. Aslında, araştırmacıları bir programdan çıkarabilecek birçok şey var.
Gördüğünüz gibi, kötü iletişim, araştırmacıların bir böcek ödül programından caydırılması için düşük ödüller kadar önemlidir.
Çözüm: Programınızın araştırmacılar için çalışmasını sağlayın
Araştırmacıların, kuruluşunuzun güvenlik ekibi ile ilişkileri olduğunda programınıza zaman geçirme olasılığı daha yüksektir. Bu nedenle, hata ödül programınız sadece ödül ödüllerinden daha fazlasını sunmalıdır. En iyi yeteneği çekmek için, etkili iletişim kurmanız, araştırmacıların keşfetmeleri için çeşitli bir kapsam sunmanız ve tanımladıkları güvenlik açıklarını hızlı bir şekilde düzeltmek için zaman ayırmanız gerekir. Örneğin, Github araştırmacıları, özel bir Swag mağazası ile, ödül bağışlarıyla eşleştiren ve sürekli olarak güvenli liman politikasında yinelemeyle 10 yıl boyunca böcek ödül programına katıldı.
“Yeni bir programa baktığımda, metriklere triyaj ve ödül için zaman ve programın bu metriklere ne ölçüde vurduğunu inceleyeceğim. Şirketlere hem kamu hem de özel bir programa sahip olmalarını tavsiye ederim. Kamu programı, daha fazla erişim ve kaynak sağlayabileceğiniz özel programa taşınabilecek araştırmacıların taranması ve röportajı olacaktır. Özel bir program, bu kritik güvenlik açıklarını gerçekten kazıp bulma seçkin bir hacker grubuna sahip olmanıza olanak tanır. Örneğin, bazı bilgisayar korsanları keşif konusunda uzmanlaşıyor ve kimsenin köşelere bakmadığı ve bakmadığı altyapı köşelerini buluyor, o zaman yüzlerce sunucunun güvenlik açıkları için taraması olan başka bilgisayar korsanlarınız var. Yenilik ve ölçek etkili raporlar sunmak için önemlidir. ”
– Tom Anthony, güvenlik araştırmacısı
Hackerone müşterilerinin araştırmacılardan en iyi sonuçları nasıl aldığını görün.
Kuruluşunuz bir hata ödül programına hazır mı?
Güvenlik liderlerinin tüm bu kutuları kontrol etmeleri ve kuruluşlarının hata ödül hazırlığını değerlendirmeleri zordur. Raporları yönetmek, bütçeyi almak, doğru ödülleri ayarlamak ve araştırmacı ilişkileri kurmak doğru ve aynı anda yapmak için çok göz korkutucu görünebilir.
HackerOne olarak, kuruluşunuzun benzersiz ihtiyaçları için doğru hata ödül programını yürütmek için şirket içi uzmanlığın en iyi kombinasyonunu sunuyoruz ve sizin için işe gitmeye hazır kapsamlı bir araştırmacı topluluğu. Kuruluşunuz için en etkili Bug Bounty programını nasıl çalıştıracağınız hakkında daha fazla bilgi edinmek istiyorsanız, bugün HackerOne’daki ekibimizle iletişime geçin.