[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Hata ödül platformu nedir?
Wikipedia’da bahsedildiği gibi: “Bir hata ödül programı, birçok web sitesi, kuruluş ve yazılım geliştiricisi tarafından sunulan ve bireylerin, özellikle güvenlik açıkları ve güvenlik açıklarıyla ilgili olanlar olmak üzere hataları bildirdikleri için tanınma ve tazminat alabilecekleri bir anlaşmadır”.
Örneğin, ‘A’ Şirketi, uygulamalarını, yani web ve mobil uygulamalarını güvenlik açıkları ve hataları açısından denetlemek/test etmek istiyorsa, iki seçeneği olacaktır:
1. Kendi kendine barındırıcı hata ödülü / sorumlu ifşa programı
2. Hackerone, BugCrowd vb. bug bounty platformlarındaki bounty programlarını listeleyin.
Bir hata ödül programı nasıl çalışır?
Hata ödülleri, etik korsanlar ile bir firmanın düzeltme ekibi arasında bağlantı kurulmasına yardımcı olur. Tek bir hata ödül platformu, her iki tarafın da hataları hızlı bir şekilde birleştirmesine, iletişim kurmasına ve yama yapmasına olanak tanır. Hata ödül programı yöneticileri, ödül ödemelerini, keşfedilen güvenlik açıklarının sayısını ve ortalama çözüm süresini kaydederek programın ilerlemesini izler.
Firma, bir bug bounty programı başlatmadan önce programın kapsamını belirler ve özel mi yoksa halka açık mı olduğunu belirler. Kapsam, test için hangi sistemlerin mevcut olduğunu, testleri nasıl gerçekleştireceklerini ve programın ne kadar süre açık kalacağını tanımlar. Hata ödül programları herkese açık veya özel olabilir. Özel programlar, firmaların yalnızca davetli bir program oluşturmasına olanak tanır. Özel programlar çevrimiçi olarak kimse tarafından görülmez.
Çoğunlukla programlar özel olarak başlar ve firmalar hazır olduklarına karar verdiklerinde halka açılma seçeneği vardır. Özel programlar, firmaların iyileştirme çabalarını hızlandırmalarına ve güvenlik ekiplerini çok sayıda mükerrer hata raporuyla boğmaktan kaçınmalarına yardımcı olur.
Herkese açık programlar, tüm bilgisayar korsanları topluluğunun gönderimlerini kabul ederek, tüm bilgisayar korsanlarının bir firmanın varlıklarını test etmesine izin verebilir. Herkese açık programlar açık olduğundan, genellikle çok sayıda hata raporuna yol açarlar (ancak çok sayıda kopya içerirler).
Her ödülün ödemesi, güvenlik açığının kritikliğine göre belirlenir. Ödül fiyatları birkaç yüz dolardan binlerce dolara ve bazı durumlarda milyonlara kadar değişebilir.
Bounty programları, topluluk ve meydan okuma arayan birinci sınıf bilgisayar korsanlarını çeken sosyal ve profesyonel bir unsur sağlar. Bir bilgisayar korsanı bir hata keşfettiğinde, bir güvenlik açığı raporu gönderir. Bu rapor, hatanın hangi sistemleri etkilediğini, önceliklendirme yapan geliştiricilerin hatayı nasıl çoğaltabileceğini ve güvenlik riski düzeyini gösterir. Bu raporlar doğrudan hatayı doğrulayan düzeltme ekiplerine aktarılır. Bir hatanın doğrulanmasının ardından, etik hacker buldukları için ödeme alır.
Neden bir hata ödül programı başlattınız?
Bazıları, firmaların güvenlik profesyonellerini işe almak yerine neden ödül programlarına başvurduklarını söyleyebilir. Cevap basit, bazılarının kendi güvenlik ekipleri var, ancak Facebook, Google vb. Bu devasa varlık listesiyle, güvenlik ekiplerinin tüm hedefleri kalemle test etmesi neredeyse imkansız hale geliyor.
Bu nedenle, bounty programları, firmaların çok sayıda varlığı düzenli olarak kontrol etmeleri için ekonomik bir yaklaşım olabilir. Ayrıca, hata ödül programları, güvenlik araştırmacılarını bu firmalara etik olarak katkıda bulunmaya ve takdir/ödül almaya teşvik eder. Bu yüzden büyük firmaların bug bounty programlarını kullanması çok mantıklı.
Bununla birlikte, küçük bütçeli firmalar için, sınırlı kaynakları nedeniyle ödeyemeyecekleri bir sürü güvenlik açığıyla karşı karşıya kalabileceklerinden, bir hata ödül programı kullanmak en iyi seçim olmayacaktır.
En iyi bug bounty platformları
HackerOne
2012 yılında, interneti daha güvenli hale getirme tutkuları nedeniyle bilgisayar korsanları ve güvenlik liderleri kuruldu. Saldırı Direnci Yönetiminde (ARM) lider olan HackerOne, kuruluşların sahip oldukları ile koruyabilecekleri arasındaki güvenlik açığını kapatır. ARM, sürekli gelişen dijital saldırı yüzeyindeki boşlukları bulmak ve kapatmak için etik korsanların güvenlik uzmanlığını varlık keşfi, sürekli değerlendirme ve süreç geliştirme ile harmanlıyor. Bu yaklaşım, kuruluşların tehditlerin önünde kalarak işlerini dönüştürmelerine olanak tanır.
HackerOne, Google, Yahoo, Twitter, PayPal, Starbucks, GitHub gibi büyük gelirleri olan ve bilgisayar korsanlarına büyük meblağlar ödemeye hazır çok uluslu büyük şirketler tarafından kullanılmaktadır.
böcek kalabalığı
bug bounty endüstrisinde büyük bir isim olan başka bir bug bounty platformudur. 2011 yılında kurulan ilk ve en büyük platformlardan biridir.
Çeşitli şirketler, güvenlik açığı açıklama programlarını barındırmak için Bugcrowd’a güveniyor ve Bugcrowd ayrıca sızma testi hizmetleri ve saldırı yüzeyi yönetimi sunuyor.
Şu anda Bugcrowd 1400’den fazla hata ödül programına sahiptir. Mevcut yazılım yaşam döngünüze kolayca uyum sağlayan ve başarılı bir hata ödül programı çalıştırmayı oldukça kolaylaştıran bir SaaS çözümü bulmuştur.
Synac
Redwood City, California merkezli bir Amerikan teknoloji şirketidir. Synack’in işi, keşif için yararlanılabilir güvenlik açıklarının keşfini otomatikleştiren ve bunları müşteriler için güvenlik açığı raporları oluşturmak üzere şirketin serbest çalışan bilgisayar korsanlarına teslim eden bir güvenlik açığı istihbarat platformu içerir.
Bu nedenle, yalnızca bir hata ödül hizmeti değil, aynı zamanda en üst düzeyde güvenlik rehberliği ve eğitimi arıyorsanız, Synack sizin yolunuz olabilir.
Birleşik
şirketlerin kendilerini siber suçlardan korumalarına yardımcı olur. Müşterinin varlıklarını ve markasını korumak için sürekli, gerçekçi güvenlik testleri sağlayan etik korsanlardan oluşan bir topluluktur.
Bu etkileşimli platform, mevcut güvenlik açıklarının gerçek zamanlı raporlarını sunar ve genellikle 48 saat içinde önemli güvenlik açıklarını tanımlar.
2016 yılında kurulan Intigriti, geleneksel güvenlik testinin sınırlarını aşmak için yola çıktı. Bugün şirket, hem müşterilerin güvenlik farkındalığını hem de güvenlik araştırmacılarının yaşamlarını etkileyen güvenlik testlerine yönelik yenilikçi yaklaşımıyla geniş çapta tanınmaktadır.
Immunefi (Web3’e odaklı):
blockchain ve akıllı sözleşme projelerine bug bounty barındırma, danışmanlık ve program yönetimi hizmetleri sağlar.
Immunefi, kuruluşundan bu yana dünyanın en büyük ödülleri ve ödemeleriyle Web3 için önde gelen hata ödül platformu haline geldi.
reklam