Bounty hunting per le vulnerabilità di sicurezza

Perché assumere solo un pen tester quando puoi usare l'intelligenza di tutti gli utenti di internet? Con i programmi bug bounty, le aziende offrono taglie sulle vulnerabilità per motivare gli hacker a lavorare per loro.

Microsoft paga fino a 40.000 dollari agli hacker etici che forniscono rapporti sui rischi di sicurezza nei servizi cloud Azure. Fino a 100.000 dollari vale per il gigante del software per i rapporti sui rischi nei servizi di identità, come gli account Microsoft, Azure Active Directory o gli standard OpenID. Le vulnerabilità scoperte in relazione alla piattaforma Hyper-V possono anche far guadagnare ai tester fino a 250.000 dollari. Le richieste di queste ricompense sono fatte come parte del programma bug bounty di Microsoft.

Che cosa sono i bug bounties?

Un bug è un errore logico nel codice di un pezzo di software che causa il non corretto funzionamento del programma. È chiaro che le aziende vogliono trovare ed eliminare tutti i bug il più rapidamente possibile. Per fare questo, molti si affidano ai bug bounties. Bounty significa taglia in tedesco. In altre parole, una ricompensa per la persona che trova un bug. Nei programmi di bug bounty, le aziende offrono taglie. L'idea si basa sul principio del crowdsourcing. Questo significa che i compiti sono esternalizzati agli utenti di internet, la folla. Così, non solo i white hat hacker professionisti possono partecipare alle gare pubbliche, ma l'intera comunità di Internet. Le aziende spesso usano i programmi in aggiunta agli audit di sicurezza e ai test di penetrazione per migliorare la loro strategia di sicurezza.

Cos'è un white hat hacker?

Un white hat hacker identifica le vulnerabilità di sicurezza in un sistema o in una rete, ma non usa questa conoscenza per causare danni. Invece, forniscono le informazioni alle aziende in modo che possano chiudere le vulnerabilità prima che venga fatto qualsiasi danno.

Ora si è stabilito che le abilità di tali hacker possono essere utilizzate come servizio per testare la sicurezza informatica della propria azienda. Così facendo, i white hat hacker scansionano le reti alla ricerca di malware e tentano di penetrare nei sistemi. Esaminano anche i dipendenti come potenziali vulnerabilità di sicurezza. Per fare questo, creano email di phishing, per esempio, e cercano di convincere gli utenti a cliccare sui link.

All'interno dei programmi, le aziende determinano per quali potenziali vulnerabilità pagheranno i tester. Le piattaforme consolidate includono quelle gestite da Hackerone, Yes We Hack e Bugcrowd. Per esempio, quando i tester si registrano per una gara con Yes We Hack, devono firmare che accettano di aderire strettamente alle regole del programma. Questo perché se cercano di entrare nelle reti e nei sistemi aziendali, possono accedere a dati riservati. I fornitori dei programmi devono proteggere questo.

Hackerone tiene anche una lista di tutti i programmi di bug bounty attivi. Yes We Hack mantiene anche una lista di bug bounty.

Bug Bounty contro Pen Test

I pen test sono spesso criticati per essere solo un'istantanea dello stato della sicurezza. Vero, ed è per questo che dovrebbero essere ripetuti regolarmente. Se questo viene fatto, cos'altro offre un bug bounty che un test di penetrazione non offre? Mentre i pen tester di solito lavorano da soli, le aziende con bug bounties beneficiano dell'intelligenza dello sciame. Questo perché la probabilità che uno dei molti tester si imbatta in una vulnerabilità di sicurezza è più alta che con un solo tester.

Un altro vantaggio dei programmi bug bounty è che le aziende possono specificare esattamente per cosa pagano i tester e per cosa non li pagano. Per questo, stabiliscono linee guida concrete all'interno delle offerte. Quindi pagano solo per i risultati e non per le prestazioni del test stesso. Infine, ma non meno importante, con un programma di questo tipo, un'azienda mostra che è impegnata nella sua strategia IT anche al di là delle soluzioni di sicurezza tradizionali.

>


Lascia un commento