Hvis du forventer en bug bounty til at finde og løse din virksomheds skjulte cybersecurity problemer, du er forkert på den. At stjæle en linje fra slutningen af John Clarke, du er et fjols til dig selv og til byrde for andre.
Fejl dusører, er helt sikkert sexet. Vil du se ud som om du er i dialog med den bredere cybersecurity fællesskab, og du får stor mediedækning, når en hacker rammer den rige.
Der er også den overbevisning, at hvis din organisation ikke kan betale sig at vide, om de fejl, organiserede kriminelle, og nationalstaterne vil.
Men virkeligheden? Du kan godt være at betale store penge for at finde ud af, generisk, let-at-finde sårbarheder, ifølge Katie Moussouris, grundlægger og administrerende direktør af Luta Sikkerhed.
“Ikke alle fejl er skabt lige,” fortalte hun Gartner Security og Risk Management Summit i Sydney på mandag.
Langt størstedelen af de fejl fundet via bug bounty programmer der er cross-site scripting [XSS] bugs, en kendt klasse af fejl, der er lette at opdage, og nemme at lave.
“Hvorfor skulle organiseret kriminalitet eller nationalstater betaler for simple klasser af fejl, at de kan finde sig selv? De kommer ikke til at betale nogle tilfældige forsker til at fortælle dem om cross-site scripting fejl,” Moussouris sagde.
“Du skal være at finde disse fejl nemt jer selv for.”
Moussouris er en stor tilhænger af fejl dusører, som har kørt både Hacke Pentagon og Hack Hæren programmer for det AMERIKANSKE militær. Men hun siger, at stole på en offentlig bug bounty program opretter blot “udseende af diligence”.
“Dette er ikke hensigtsmæssigt risikostyring. Dette er ikke at få det bedre, når det kommer til sikkerhed, sårbarhed forvaltning,” sagde hun.
Moussouris fortalte historien om en sikkerhedsekspert, der havde gjort $119,000 i en bug bounty program. Der er mere end $29,000 per time til at finde en simpel fejl i en kendt klasse.
“Det er en god ROI [return on investment] for, at forskeren. Det er en skræmmende ROI for den organisation, der har betalt ham,” sagde hun.
Sikkerhed fagfolk at forske i nye og komplekse klasser af sårbarheder bliver betalt godt, men er ikke i nærheden af $29,000 en time. Simpel fejl kan findes måde, måde billigere.
Fejl dusører kan også have et lavt signal-til-støj-forhold, som vist på statistik fra HackerOne.
Af de mere end 300.000 registrerede hackere, kun omkring en ud af 10 har fundet noget at rapportere, og kun en fjerdedel af dem, der har fået udbetalt en dusør. Kun 1000 hackere har tjent $5.000 eller mere, hvilket er mindre end en tredjedel af en procent af det samlede antal.
En anden hacker har lavet en million kroner over tre år. Men for at gøre det, han gemt mere end 1600 fejlrapporter, men kun 128, som var afgørende.
“Han var virkelig bare jamming væk med dem, der er offentligt tilgængelige værktøjer — honing hans færdigheder bestemt — men ingenting i nærheden af det niveau og den værdi levering over, at tre år, der svarer til en million dollars,” Moussouris sagde.
Hvorvidt en organisation, der har en offentlig bug bounty program eller ej, de fleste har ikke en organisation, pipeline for håndtering af dem.
Kun tre af de udstillere på Gartner ‘ s summit i São Paulo, Brasilien, tidligere i denne måned kunne fortælle, Moussouris hvordan man rapporterer en sårbarhed over for deres organisation. En udstiller selv sagde noget i retning af “Nej, vi har ikke sårbarheder. Vi beskytte dig mod sårbarheder”.
De er ikke alene. Omkring 94% af Forbes Global 2000-virksomheder har ikke offentliggjort måde at rapportere en sikkerhedsbrist, sagde hun. Få har en formaliseret proces til validering og triaging sårbarhed rapporter og sørge for at de er fastgjort.
Så er der det evige problem med grundlæggende cyber hygiejne. Moussouris siger, at vi “kæmper som en industri” til at beskæftige sig med den sidste kilometer problem for rent faktisk at anvende programrettelser.
“En masse af mønstre [har] faktisk ikke flyttet sig så meget fra, hvor vi var, da jeg startede ud professionelt 20 år siden som en penetration tester,” sagde hun.
“Vi har skabt en $170 milliarder industri, og som vi er rigtig godt på et par ting, sikkerhed ikke ligefrem at være en af dem. Markedsføring, helt sikkert.”
Relaterede Dækning
Google forskere afsløre svagheder for ‘interactionless’ iOS attacksApple udvider bug bounty til macOS, rejser bug rewardsSingapore regering til at køre en anden fejl bountyMicrosoft lancerer Azure Security Lab, udvider bug bounty rewardsMicrosoft åbner Dynamics 365 bug bounty med $20k top prizeBug bounty-drev VLC ‘ s største patch, men tiltrækker ‘en-huller, scriptkiddies, svindlere’
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre