Топ-5 платформ Bunty Bounty для организаций для повышения безопасности приложений — Information Security Squad
Топ-5 платформ Bunty Bounty для организаций для повышения безопасности приложений

Только хакер может думать как хакер. Поэтому, когда дело доходит до того, чтобы стать «защищенным от хакеров», вам, возможно, придется обратиться к хакеру.

 

Безопасность приложений всегда была горячей темой, которая только усиливалась со временем.

Даже имея в своем распоряжении целый ряд инструментов защиты и практики (брандмауэры, SSL, асимметричная криптография и т. д.), ни одно веб-приложение не может заявить о своей безопасности вне досягаемости хакеров.

Это почему?

Простая причина в том, что создание программного обеспечения остается очень сложным и хрупким процессом.

Внутри фонда ПО все еще есть ошибки (известные и неизвестные), и новые версии создаются с запуском нового программного обеспечения и библиотек.

Даже ведущие технологические компании готовы к случайным затруднениям, и тому есть веская причина.

Приглашаем на работу . , , Хакеры!

Учитывая, что ошибки и уязвимости, вероятно, никогда не покинут царство программного обеспечения, где оно обслуживает предприятию.
Как может, например, быть уверенным, что новое приложение-кошелек будет настолько безопасным, что оно выдержит противные попытки хакеров?
Да, вы уже догадались: нанимать хакеров, чтобы они взломали это новое приложение!

И с чего бы это? Только потому, что в продаже есть достаточно большая награда — награда за ошибку! ?

Если слово «щедрость» возвращает воспоминания о Диком Западе и о том, что пули были выпущены без промедления, то именно в этом и заключается идея.

Вы так или иначе заставляете самых элитных и знающих хакеров (экспертов по безопасности) озвучивать пробелы вашего приложения, и если они что-то находят, они получают вознаграждение.
Есть два способа сделать это:
1) самостоятельно организовывать вознаграждение за ошибки;
2) с помощью платформы bug bounty

Bug Bounty: собственное размещение программы

Зачем вам нужно выбирать (и платить) за платформу, если вы можете просто разместить ее самостоятельно?

Я имею в виду, просто создайте страницу с соответствующими деталями и пошуметь в социальных сетях.

Это явно не может потерпеть неудачу, верно?

Это хорошая идея, но взгляните на нее с точки зрения хакера.

Поиск ошибок — нелегкая задача, так как требует нескольких лет обучения, практически безграничного знания старых и новых вещей, тонны решимости и большей креативности, чем у большинства «визуальных дизайнеров» (извините, не смог устоять перед этим!: -Р).

Хакер не знает, кто вы, или не уверен, что вы заплатите.

Или, может быть, это не мотивировано.

Самостоятельные награды работают на таких гигантов, как Google, Apple, Facebook и т. д., чьими именами люди могут гордиться в своем портфолио.

«Нашли критическую уязвимость при входе в систему в приложении HRMS, разработанном XYZ Tech Systems», теперь это не впечатляет, не так ли (с извинениями перед любой компанией, которая может напоминать это имя!)?

Недостаток инфраструктуры

«Хакеры», о которых мы говорили, — это не те, кто преследует Темную Паутину.

У них нет ни времени, ни терпения для нашего «цивилизованного» мира.

Вместо этого мы говорим здесь об исследователях из области компьютерных наук, которые либо учатся в университете, либо давно охотятся за багами.
Эти люди хотят и отправляют информацию в определенном формате, к которому уже привыкли.
Даже ваши лучшие разработчики будут изо всех сил пытаться не отставать, альтернативная стоимость может оказаться слишком высокой.

Разрешение представлений

Наконец, есть проблема доказательства.
Программное обеспечение может быть построено на полностью детерминированных правилах.

Давайте рассмотрим пример, чтобы понять это лучше.

Предположим, вы создали щедрое вознаграждение за ошибки аутентификации и авторизации.

То есть вы утверждаете, что ваша система свободна от рисков такого плана, которые хакеры должны подорвать

И хакер обнаружил уязвимость, основанную на том, как работает конкретный браузер, что позволяет им украсть маркер сеанса пользователя и выдать себя за него.

Это верный вывод?

С точки зрения хакера, безусловно, так как нарушение является нарушением.

С вашей точки зрения, возможно, нет, потому что либо вы думаете, что это входит в сферу ответственности пользователя, либо этот браузер просто не имеет значения для вашего целевого рынка.

Если бы вся эта драма происходила на платформе bug bounty, там были бы арбитры, чтобы решить это и закрыть проблему.

С учетом вышесказанного, давайте рассмотрим некоторые из популярных платформ bug bounty.

1 Hackerone

Среди программ boug bounty, Hackerone является лидером, когда дело доходит до доступа к хакерам, создания ваших программ вознаграждения, распространения информации и оценки вклада.
Вы можете использовать Hackerone двумя способами: использовать платформу для сбора отчетов об уязвимостях и составлять их самостоятельно, либо позволить специалистам Hackerone выполнять тяжелую работу (сортировку).
Triaging — это процесс составления отчетов об уязвимостях, их проверки и связи с хакерами.

Hackerone используется такими громкими именами, как Google Play, PayPal, GitHub, Starbucks и т. д., разумеется, для тех, кто с серьезными ошибками и серьезными карманами. ?

2 Bugcrowd

Bugcrowd предлагает несколько решений для оценки безопасности, одним из которых является Bug Bounty.

Он предоставляет SaaS-решение, которое легко интегрируется в существующий жизненный цикл программного обеспечения и позволяет легко запустить успешную программу поиска ошибок.

Вы можете выбрать частную программу по борьбе с ошибками, в которой участвует несколько хакеров, или общедоступную, которая собирает тысячи источников.

3 SafeHats

Если вы работаете на предприятии и не чувствуете себя комфортно, когда публикуете свою программу bug bounty — и в то же время вам нужно больше внимания, чем может предложить обычная платформа за вознаграждение за ошибки — SafeHats — ваша самая безопасная ставка.
Выделенный консультант по безопасности, подробные профили хакеров, участие только по приглашениям — все это предоставляется в зависимости от ваших потребностей и степени зрелости вашей модели безопасности.

4 Intigriti

Intigriti — это комплексная платформа для bug bounty, которая связывает вас с хакерами White Hat, хотите ли вы запустить частную или общедоступную программу.

Для хакеров есть много щедрых вещей, чтобы немного разбогатеть.
В зависимости от размера компании и отрасли возможна охота на баги от 1000 до 20 000 евро.

5 Synack

Synack, кажется, является одним из тех исключений рынка, которые ломают шаблон и заканчивают тем, что сделали что-то массивное.
Их программа безопасности Hack the Pentagon стала основным событием, которое привело к обнаружению нескольких критических уязвимостей.
Поэтому, если вы ищете не только обнаружение ошибок, но и руководство по безопасности и обучение на высшем уровне, Synack — это то, что вам нужно.

Заключение

Так же, как вы держитесь подальше от целителей, которые провозглашают «чудодейственные средства», пожалуйста, держитесь подальше от любого веб-сайта или службы, которые говорят, что пуленепробиваемая безопасность возможна.
Все, что мы можем сделать, это приблизиться на шаг к идеалу.
Таким образом, не следует ожидать, что программы bug bounty помогут создавать приложения с нулем ошибок, а должны рассматриваться как важная стратегия для устранения действительно неприятных моментов.

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *