Contents
Как работают Bug Bounty?
Компании создают вознаграждения за ошибки, чтобы предоставить финансовые стимулы независимым охотникам за ошибками, которые обнаруживают уязвимости и слабые места в системе безопасности. Когда охотники за головами сообщают о действительных ошибках, компании платят им за обнаружение брешей в безопасности до того, как это сделают злоумышленники.
Что такое Bug Bounty?
Награда за обнаружение ошибок — это денежное вознаграждение, выплачиваемое этичным хакерам за успешное обнаружение и сообщение уязвимости или ошибки разработчику приложения. Программы Bug Bounty позволяют компаниям использовать сообщество хакеров для постоянного улучшения состояния безопасности своих систем.
Хакеры по всему миру охотятся за ошибками и в некоторых случаях зарабатывают на этом полный рабочий день . Бонусные программы привлекают широкий круг хакеров с разным набором навыков и опытом, что дает компаниям преимущество перед тестами, в которых для выявления уязвимостей могут использоваться менее опытные группы безопасности.
Бонусные программы часто дополняют обычное тестирование на проникновение и предоставляют организациям возможность проверять безопасность своих приложений на протяжении всего жизненного цикла разработки.
Как работает программа Bug Bounty?
Предприятия, запускающие программы поощрения, должны сначала установить объем и бюджет для своих программ. Область действия определяет, какие системы может тестировать хакер, и описывает, как проводится тестирование. Например, некоторые организации держат определенные домены закрытыми или включают в себя, что тестирование не оказывает влияния на повседневные бизнес-операции. Это позволяет им проводить тестирование безопасности без ущерба для общей организационной эффективности, производительности и, в конечном счете, итоговых результатов.
Награды за обнаружение ошибок с конкурентоспособными выплатами говорят о том, что компании хакерского сообщества серьезно относятся к раскрытию уязвимостей и безопасности. Программы основывают уровни вознаграждения на серьезности уязвимостей, и вознаграждение увеличивается по мере увеличения потенциального воздействия.
Деньги — не единственная мотивация хакерского сообщества. Такие системы, как списки лидеров , в которых хакерам приписывают открытия, помогают им добиваться признания.
Как только хакер обнаруживает ошибку, он заполняет отчет о раскрытии информации, в котором подробно описывается, что это за ошибка, как она влияет на приложение и какой уровень серьезности она оценивает. Хакер включает ключевые шаги и детали, чтобы помочь разработчикам воспроизвести и проверить ошибку. Как только разработчики просматривают и подтверждают ошибку, компания выплачивает вознаграждение хакеру.
Выплаты варьируются в зависимости от серьезности и варьируются от нескольких тысяч долларов до миллионов долларов в зависимости от компании и потенциального воздействия ошибки. Разработчики будут расставлять приоритеты входящих отчетов об ошибках в зависимости от серьезности и работать над устранением ошибки. После исправления ошибки разработчики проводят повторное тестирование, чтобы подтвердить решение проблемы.
Примеры программы Bug Bounty
Некоторые из крупнейших брендов по всему миру используют программы вознаграждений, чтобы обеспечить безопасность своих приложений и клиентов. Ниже приведены три примера компаний, которые используют HackerOne для запуска своих программ вознаграждений.
SHOPIFY
Shopify предоставляет услуги электронной коммерции более чем полумиллиону предприятий по всему миру, что делает безопасность главным приоритетом для успеха бизнеса Shopify. На сегодняшний день Shopify выплатила хакерам вознаграждение в размере более 1 580 000 долларов США и предлагает до 30 000 долларов США за сообщения о критических уязвимостях.
В декабре 2020 года хакер обнаружил критическую уязвимость, позволяющую получить несанкционированный доступ к торговым счетам. Из-за программы вознаграждения за ошибки хакер уведомил команду Shopify, которая может исправить ошибку к кануну Рождества, одному из самых больших дней покупок в электронной коммерции.
Хакер @cache-money получил вознаграждение в размере 15 000 долларов плюс бонус в размере 250 долларов за свое открытие и раскрытие информации.
ВИЗГ
Yelp связывает поисковиков с крупными местными компаниями по всему миру. Yelp использует HackerOne с 2014 года для управления своей программой вознаграждений . Видя ценность в хакерском сообществе, Yelp имеет 19 различных доменов, включая все, от мобильных приложений до систем электронной почты. На сегодняшний день Yelp использовала свою программу вознаграждения за обнаружение ошибок, чтобы исправить более 300 уязвимостей, и продолжает добавлять новые приложения и домены в свою дорожную карту.
MAIL.RU GROUP
С 2014 года в рамках программы bug bounty Mail.ru Group было устранено более 4300 уязвимостей. Недавно Mail.ru Group превысила 1 миллион долларов в виде выплат хакерам, которые помогли Mail.ru защитить их почтовый хостинг.
Mail.ru Group платит до 35 000 долларов США за раскрытие самых серьезных ошибок и использует подробную электронную таблицу, чтобы помочь хакерам понять предполагаемую выплату в зависимости от скомпрометированной системы и уровня серьезности. Mail.ru Group доходит до того, что платит за обнаруженные ошибки в приложениях поставщиков-партнеров Mail.ru.
Как я могу настроить свою собственную программу Bug Bounty?
Традиционно для создания программы вознаграждения за обнаружение ошибок компаниям требовалось создать свою коммуникационную платформу, внедрить системы отслеживания ошибок и интегрироваться в платежные шлюзы. Теперь настроить программу вознаграждения за обнаружение ошибок с помощью HackerOne очень просто. Платформа HackerOne позволяет организациям устанавливать масштабы, отслеживать отчеты об ошибках и управлять выплатами из одного места.
Подробные отчетные показатели позволяют командам безопасности в режиме реального времени следить за ходом выполнения своих программ вознаграждения за обнаружение ошибок и позволяют компаниям быстро устанавливать индивидуальные соглашения об уровне обслуживания для разрешения новых случаев раскрытия информации.
Как HackerOne может помочь
HackerOne использует крупнейшее и самое разнообразное сообщество хакеров в мире, чтобы помочь обеспечить безопасность бизнеса, предоставляя универсальную платформу для непрерывного и всестороннего тестирования безопасности. Платформа использует упрощенный подход к поиску и устранению ошибок, поддерживая все, от раскрытия информации до выплаты, на единой панели инструментов.
HackerOne — крупнейшая в мире хакерская платформа безопасности. Узнайте больше о программах вознаграждения за обнаружение ошибок здесь и свяжитесь с нами сегодня, чтобы запустить свою первую программу вознаграждения за обнаружение ошибок.
Статья является переводом hackerone.com