Yanlış hata ödül stratejisi, ekibinizi düşük değerli raporlarla doldurabilir. Doğru olan, aksi takdirde gözden kaçacak kritik güvenlik açıklarını ortaya çıkarabilir. Google’ın Güvenlik Açığı Ödül Programı’nı (VRP) temel alan yeni bir akademik çalışma, aradaki farkın nasıl anlaşılabileceğine dair nadir veriler sunuyor.
Araştırmanın arkasındaki ekipte Harvard, Bocconi Üniversitesi, İbrani Üniversitesi ve Google Research’ten uzmanlar yer aldı. Google’ın en ciddi güvenlik açıkları için ödemeleri yüzde 200’e kadar artırdığı Temmuz 2024’teki büyük değişiklikten önceki ve sonraki verileri analiz ettiler. Amaçları, riskler arttığında araştırmacıların nasıl tepki verdiğini görmekti.
Çalışma, daha büyük ödüllerin işe yaradığını buldu. Seviye 0 güvenlik açıkları olarak bilinen en ciddi hatalara ilişkin raporlar, ödeme artışından sonra keskin bir şekilde arttı. Yüksek değer olarak değerlendirilen, yani iyi belgelenmiş ve Google ekiplerinin harekete geçmesinin daha kolay olduğu gönderimler de arttı. Genel olarak hata bildirimleri arttı ancak en büyük değişiklik en değerli bulgulardan geldi.
Para konuşur, özellikle ciddi hatalar için
Ödemelerdeki yüzde 100’lük artış, toplam başvurularda yaklaşık yüzde 20’lik bir artışa yol açtı. Ancak üst düzey hatalar üzerinde çalışan araştırmacıların tepkisi çok daha güçlüydü ve bu kritik raporların sayısı üç katına çıktı.
Bu, genel olarak daha fazla ödeme yapmanın en iyi strateji olmadığını gösteriyor. Bunun yerine ödüller, işletme üzerinde en büyük etkiye sahip olan güvenlik açıkları türlerine odaklanmalıdır. Çalışma, düşük değerli hataların hala önceliklendirme ve düzeltme için dahili kaynakları tükettiğini, dolayısıyla kalitede bir iyileşme olmadan hacimdeki artışın güvenlik ekiplerini zorlayabileceğini belirtiyor.
Intigriti Hacker İlişkileri Müdürü Ottilia Westerlund, Help Net Security’ye kuruluşların ödemeleri nasıl belirleyecekleri konusunda bilinçli olmaları gerektiğini söyledi. “Yararlı bir başlangıç noktası, ödemeleri kıyaslamak için benzer büyüklükteki ve sektördeki diğer programlara bakmaktır” dedi. “Hedefe yönelik kampanyalar yürütmeyi düşünün. Daha fazla odaklanmak istediğiniz belirli alanlardaki orta ila kritik güvenlik açıkları için ekstra ödüller sunabilirsiniz. Diğer bir yaklaşım, en kötü senaryodaki güvenlik açığınızı belirlemek ve araştırmacıları sizin için en önemli olana öncelik vermeye teşvik etmek için önemli bir bonus eklemektir.”
Bulguların arkasındaki insanlar
Araştırmacılar ayrıca artıştan kimin sorumlu olduğunu da inceledi. İki trend buldular. Tecrübeli böcek avcıları, ödemeler arttığında odaklarını daha yüksek değerli hedeflere kaydırdılar. Aynı zamanda, yeni ve son derece üretken araştırmacılardan oluşan küçük bir grup programa katıldı ve hızla etkili bulgular sunmaya başladı.
Yeni katılımcıların çoğu ya hiçbir güvenlik açığı bildirmedi ya da yalnızca birkaç tane buldu. Bu, daha yüksek ödüllerin en iyi yetenekleri çekebileceğini ancak yetenekli katkıda bulunanların sayısını anlamlı bir şekilde otomatik olarak artırmadığını gösteriyor.
Bu dinamikler her ölçekteki şirket için önemlidir. Birçok hata ödül programı, aynı deneyimli araştırmacı grubunun dikkatini çekmek için yarışıyor. Bir program ödemelerini artırdığında, bu araştırmacıları diğer programlardan uzaklaştırabilir ve yetenekler için rekabetçi bir pazar yaratabilir.
Alvearium Associates’in Baş Güvenlik Stratejisti Christian Toon’a göre programların kapsamı ve yapısı para kadar önemli olmasının nedeni budur. “Dahili ekipler teknolojiyi prosedürlere, süreçlere ve standartlara göre ellerinden geldiğince ileri götürüyor” dedi. “Dış araştırmacılar, hain aktörler tarafından kullanılan istismarları, teknikleri ve taktikleri potansiyel olarak taklit etmek için oradalar. Gerçekten etkili olabilmesi için, dış araştırmanın kapsamı, politikaların ve standartların başarısız olması durumunda endişe duyduğunuz şeye odaklanmalıdır. Çok genişse veya ödül yapısı net değilse, yüksek riskli ihlalleri önlemeye yönelik çabalara odaklanmak yerine, düşük riskli öğeler için ödeme yapmak zorunda kalabilirsiniz.”
Dengeyi doğru kurmak
Bulgular, bir hata ödül programı yürütmenin getirdiği dengeleme eylemini vurguluyor. Ödüllerin artırılması sonuçları iyileştirebilir ancak aynı zamanda maliyetleri de artırır ve gönderimlerin daha düşük kalitede olmasına yol açabilir. Başarı, ödeme seviyelerinden daha fazlasına bağlıdır. Hızlı ve adil önceliklendirme ve güçlü iç süreçler, hacmi yönetmek ve araştırmacı topluluğuna olan güveni sürdürmek için çok önemlidir.
Metrikler de önemlidir. UpCloud’un CISO’su ve CIO’su Jukka Seppänen şunları söyledi: “Operasyonlarda en çok sinyal kalitesi, hız, etki ve sürdürülebilirliği önemsiyorum. Hacim sağlıklı kalırken sinyal-gürültü oranı artıyorsa, hata ödül programı olgunlaşıyor. Araştırmacının güveni yanıt verme hızına göre yaşar ve ölür, bu nedenle önceliklendirme süresini, doğrulama süresini ve düzeltme süresini çok yakından takip ediyoruz.”
Araştırmacıların deneyimi ödemeler kadar önemli olabilir. Seppänen, “Araştırmacı deneyimi ödül tablolarından daha önemli” diye ekledi. “Hızlı, insan önceliklendirmesi ve saygılı geri bildirim daha önemli. Güvenlik araştırmacılarına iş ortakları gibi davranmalısınız. Bu da daha iyi yazılar, daha fazla mantık hatası ve hatta gölge varlıklara erken pingler göreceksiniz.”
Uzun vadede güven ve bağlılık
Araştırmacıları motive etmenin tek yolu para değildir. Westerlund, tanınma ve iletişimin çok önemli olduğunu söyledi. “Her şeyden önce, araştırmacılarınıza iyi davranın. Birisi mükemmel bir hata gönderirse, ona bunu takdir ettiğinizi bildirin. Şeffaflık da uzun bir yol kat eder. Gecikmeler varsa, araştırmacıları karanlıkta bırakmak yerine bunu iletin” dedi. Halka açık “ünlüler listesi” sayfalarının, promosyonların ve hatta canlı bilgisayar korsanlığı etkinliklerinin programların öne çıkmasına yardımcı olabileceğini ekledi.
Toon ayrıca güven artırıcı tedbirlerin değerini de vurguladı. “Güvenli liman araştırmacılar arasında güven oluşmasına gerçekten yardımcı olabilir” dedi. “VDP koşulları kapsamında, onlardan işleri hakkında işletmeyle konuşmak için (ücretli) zaman ayırmalarını da istedik. Diğer teşvikler arasında markalı ürünler, kişiselleştirilmiş yarışma paraları ve CEO’dan gelen teşekkür mektupları yer alıyor.”
Araştırmacılar, üzerinde çalıştıkları verilerin yapay zeka destekli hata avlama araçlarının yükselişinden öncesine ait olduğunu belirtiyor. Bu araçlar artık ortaya çıkıyor ve programların çalışma şeklini değiştirebilir. Gelecekteki çalışmaların otomasyonun insan çabasıyla nasıl etkileşime girdiğini ve ödül yapılarının nasıl gelişebileceğini incelemesi gerekecek.