Bug Bounty Nedir ?
Bug Bounty programları, bağımsız güvenlik araştırmacılarının hataları bir kuruluşa bildirmesine ve ödül veya tazminat almasına olanak tanır. Bu hatalar genellikle güvenlik açıklarıdır, ancak süreç sorunlarını, donanım kusurlarını vb. içerebilmektedirler. Raporlar genellikle bağımsız bir üçüncü taraf (Bugcrowd veya HackerOne gibi) tarafından yürütülen bir program aracılığıyla yapılır. Kuruluş, kuruluşun ihtiyaçlarına göre düzenlenmiş bir program kuracak ve çalıştıracaktır.
Bug Bounty programlarını kimler kullanır ?
Android, Apple, Digital Ocean ve Goldman Sachs dahil olmak üzere birçok büyük kuruluş, güvenlik programlarının bir parçası olarak Bug Bounty kullanır.
Şirketler neden bug bounty programları kullanıyor ?
Bug Bounty programları, şirketlere kodlarındaki hataları bulmak için büyük bir hacker grubunu kullanma yeteneği verir. Bu, bire bir olarak erişebileceklerinden daha fazla sayıda bilgisayar korsanına veya test cihazına erişmelerini sağlar. Ayrıca, kötü niyetli bilgisayar korsanları onları sömürmeden önce hataların bulunma ve onlara bildirilme şansını da artırabilir. Ayrıca bir firma için iyi bir halkla ilişkiler seçimi olabilir. Bug Bounty daha yaygın hale geldikçe, bir Bug Bounty programına sahip olmak halka ve hatta düzenleyicilere bir kuruluşun olgun bir güvenlik programına sahip olduğu sinyalini verebilir. Bazıları Bug Bounty programlarını tüm kuruluşların yatırım yapması gereken bir endüstri standardı olarak görmeye başladığından, bu eğilimin devam etmesi muhtemeldir.
Araştırmacılar ve bilgisayar korsanları neden Bug Bounty programlarına katılır?
Bir Bug Bounty programı aracılığıyla hataları bulmak ve bildirmek, hem nakit ikramiye hem de tanınma ile sonuçlanabilir. Bazı durumlarda, iş ararken gerçek dünya deneyimini göstermenin harika bir yolu olabilir veya hatta sizi bir kuruluştaki güvenlik ekibindeki kişilerle tanıştırmaya yardımcı olabilir. Bu, bazı insanlar için tam zamanlı gelir, bir işi desteklemek için gelir veya becerilerinizi göstermenin ve tam zamanlı bir iş bulmanın bir yolu olabilir. Ayrıca eğlenceli olabilir. Büyük şirketlere ve devlet kurumlarına karşı becerilerinizi test etmek için harika (yasal) bir şans.
Bug Bounty programının bağımsız araştırmacılar ve bilgisayar korsanları için dezavantajları nelerdir?
Bu tür programlara çok sayıda bilgisayar korsanı katılır ve platformda önemli miktarda para kazanmak zor olabilir. Ödülü talep etmek için, bilgisayar korsanının hatayı programa ilk gönderen kişi olması gerekir. Bu, pratikte, istismar edilecek bir hata aramak için haftalar harcayabileceğiniz, ancak bunu bildiren ve para kazanmayan ikinci kişi olabileceğiniz anlamına gelir. Büyük Bug Bounty platformlarındaki katılımcıların yaklaşık %97'si hiçbir zaman bir hatayı satmadı . Aslında, HackerOne'ın 2019 tarihli bir raporu , 300.000'den fazla kayıtlı kullanıcıdan yalnızca yaklaşık %2,5'inin platformda geçirdikleri süre içinde ödül aldığını doğruladı. Esasen, çoğu bilgisayar korsanı bu platformlarda fazla para kazanmıyor ve çok azı tam zamanlı maaşın yerini alacak kadar kazanıyor (ayrıca tatil günleri, sağlık sigortası ve emeklilik planlaması gibi faydaları da yok).
Bug Bounty programlarının kuruluşlar için dezavantajları nelerdir ?
Bu programlar, yalnızca programın, kuruluşun kendilerinde bulamadıkları sorunları bulmasıyla sonuçlanması durumunda (ve bu sorunları çözebiliyorlarsa) faydalıdır! Kuruluş, tanımlanan sorunları hızla çözebilecek kadar olgun değilse, bir Bug Bounty programı kuruluşları için doğru seçim değildir. Ayrıca, herhangi bir Bug Bounty programının, çoğu yüksek kaliteli olmayabilecek çok sayıda başvuru çekmesi muhtemeldir. Bir kuruluşun, artan uyarı hacmi ve düşük sinyal-gürültü oranı olasılığı ile başa çıkmak için hazırlıklı olması gerekir (aslında, her yararlı rapor için oldukça fazla yararsız rapor almaları muhtemeldir). Ayrıca, program yeterince katılımcı çekmiyorsa (veya yanlış becerilere sahip katılımcılar ve dolayısıyla katılımcılar herhangi bir hatayı tespit edemiyorsa), program kuruluş için yararlı olmaz. Bug Bounty katılımcılarının büyük çoğunluğu web sitesi güvenlik açıklarına odaklanırken (HackerOn'a göre %72), yalnızca birkaçı (%3,5) işletim sistemi güvenlik açıklarını aramayı tercih ediyor. Bunun nedeni büyük olasılıkla işletim sistemlerini (ağ donanımı ve bellek gibi) hacklemenin önemli miktarda yüksek düzeyde uzmanlaşmış uzmanlık gerektirmesidir. Bu, şirketlerin, özellikle özel uzmanlık gerektiren diğer uygulamalar için değil, web sitelerindeki Bug Bounty için önemli bir yatırım getirisi görebilecekleri anlamına gelir. Bu aynı zamanda, bir uygulamayı veya web sitesini belirli bir zaman çerçevesinde incelemesi gereken kuruluşların, ne zaman rapor alacaklarına dair bir garanti olmadığı için bir Bug Bountye güvenmek istemeyebilecekleri anlamına gelir. Son olarak, bağımsız araştırmacıların ağınıza sızmaya çalışmasına izin vermek potansiyel olarak riskli olabilir. Bu, hataların kamuya açıklanmasına, kamuoyunda itibarın zedelenmesine neden olabilir (bu, kişilerin kuruluşun ürün veya hizmetini satın almak istememesine neden olabilir) veya hataların, bu bilgileri başka amaçlarla kullanabilecek daha kötü niyetli üçüncü taraflara ifşa edilmesiyle sonuçlanabilir. organizasyonu hedefliyoruz.
Bug Bounty programı her kuruluş için uygun mu ?
Hayır. Bir Bug Bounty programının etkili olabilmesi için bir kuruluşun güvenlik programlarında belirli bir olgunluk düzeyine ulaşması gerekir.
Bir kuruluşun sorması gereken en büyük soru, tanımlanmış herhangi bir güvenlik açığını düzeltip düzeltemeyecekleridir. Makul bir süre içinde bunu yapamazlarsa, bir Bug Bounty programı muhtemelen iyi bir fikir değildir. Kuruluş, temel yama yönetimini uygulamakta zorlanıyorsa veya düzeltmeye çalıştıkları bir dizi başka tanımlanmış sorun varsa, bir Bug Bounty programının oluşturacağı ek rapor hacmi iyi bir fikir değildir. Bir Bug Bounty programı, tanımlanmış güvenlik sorunlarının birikme listesi olmadığında, tanımlanan sorunları ele almak için iyileştirme süreçleri mevcut olduğunda ve ekip ek raporlar aradığında iyi bir fikir haline gelir. Ek olarak, daha önce de belirttiğim gibi, web siteleri genellikle Bug Bounty programları için iyi hedefler olsa da, ağ donanımı ve hatta işletim sistemleri gibi oldukça özel bir hedef, yeterli katılımcıyı çekmeye değmeyebilir. Son olarak, farklı kuruluşlar için başarılı bir şekilde bir rapor göndermenin sağladığı para veya prestij, katılımcı sayısını ve çok yetenekli katılımcıların sayısını etkileyebilir (yani, bir hatayı Apple veya Google için bildirmek, bir hatadan daha prestij taşıyabilir).
Bir kuruluşun sorması gereken en büyük soru, tanımlanmış herhangi bir güvenlik açığını düzeltip düzeltemeyecekleridir. Makul bir süre içinde bunu yapamazlarsa, bir Bug Bounty programı muhtemelen iyi bir fikir değildir. Kuruluş, temel yama yönetimini uygulamakta zorlanıyorsa veya düzeltmeye çalıştıkları bir dizi başka tanımlanmış sorun varsa, bir Bug Bounty programının oluşturacağı ek rapor hacmi iyi bir fikir değildir. Bir Bug Bounty programı, tanımlanmış güvenlik sorunlarının birikme listesi olmadığında, tanımlanan sorunları ele almak için iyileştirme süreçleri mevcut olduğunda ve ekip ek raporlar aradığında iyi bir fikir haline gelir. Ek olarak, daha önce de belirttiğim gibi, web siteleri genellikle Bug Bounty programları için iyi hedefler olsa da, ağ donanımı ve hatta işletim sistemleri gibi oldukça özel bir hedef, yeterli katılımcıyı çekmeye değmeyebilir. Son olarak, farklı kuruluşlar için başarılı bir şekilde bir rapor göndermenin sağladığı para veya prestij, katılımcı sayısını ve çok yetenekli katılımcıların sayısını etkileyebilir (yani, bir hatayı Apple veya Google için bildirmek, bir hatadan daha prestij taşıyabilir).
Bug Bounty programlarının alternatifleri nelerdir ?
İlk olarak, kuruluşların bir güvenlik açığı açıklama programı olmalıdır. Esasen bu, araştırmacılara, araştırmacıya ödeme yapmasalar bile, belirlenen güvenlik açıkları hakkında kuruluşla iletişim kurmaları için güvenli bir kanal sağlar. Bildirimi ne kadar ciddiye alacağını bilemeyen bir iletişim ekibi yerine güvenlik ekibine yapılan istekleri anında filtreleyebileceğinden, tanımlanmış bir irtibat kişisine sahip olmak yardımcı olabilir. Ayrıca araştırmacıları, güvenlik açıklarını bulunduğunda bildirmeye teşvik edebilir. Tipik olarak bu, alım, azaltma ve herhangi bir iyileştirme önleminin nasıl ele alınacağına dair bir çerçeve de içerir. Ek olarak, kuruluşlar belirli sistem veya uygulamaların zaman sınırlı bir testini gerçekleştirmek için bir sızma testi firması kiralamayı tercih edebilir. Kalem testçilerinin küratörlüğünde, yönlendirilmiş bir hedefi olacak ve testin sonunda bir rapor üretecekler. Bu, şirketin bilinen bir fiyata son derece yetenekli, güvenilir bilgisayar korsanlarından oluşan bir ekip almasını sağlayacaktır. Ayrıca, testin herkese açık değil, özel olmasını sağlamanın yanı sıra ihtiyaç duydukları herhangi bir özel uzmanlığı talep edebilirler. Şirket, test uzmanlarının ifşa etmeme anlaşmaları imzalamasını ve son derece hassas dahili uygulamaları test etmesini bile sağlayabilir. Ancak, bu genellikle devam eden bir ödülden ziyade tek bir olaydır. Ayrıca, sızma test uzmanlarına herhangi bir güvenlik açığı bulsalar da bulmasalar da ödeme yapılır (oysa bir Bug Bounty Ödülünde araştırmacılara yalnızca bir hatayı başarılı bir şekilde bildirirlerse ödeme yapılır).
Hangisi daha iyi – Bug Bounty programları mı yoksa işe alınan sızma test uzmanları mı ?
Genellikle bu iki yöntem doğrudan karşılaştırılabilir değildir çünkü her birinin güçlü ve zayıf yönleri vardır. Kuruluş, bir soruna bakan (farklı beceri düzeylerinden) daha fazla kişiye sahip olmaktan daha fazla fayda sağlayacaksa, uygulama özellikle hassas değildir ve özel uzmanlık gerektirmiyorsa, bir bug bounty muhtemelen daha uygundur. Uygulama dahili hassas ise, sorun belirli bir uzmanlık gerektiriyorsa veya kuruluşun belirli bir zaman çerçevesi içinde yanıt vermesi gerekiyorsa, bir sızma testi daha uygundur.
Gerçekten Kalite Kokuyor.
