Om du förväntar dig en bug bounty för att hitta och åtgärda organisationens dolda it-säkerhet problem, du har fel. Att stjäla en linje från den framlidne John Clarke, då är du en idiot till dig själv och är en börda för andra.
Bugg gåvor är verkligen sexig. Du ser ut som du är engagerande med den övriga it-säkerhet gemenskapen, och du kommer att få stort genomslag i media när en hackare slår det rika.
Det finns också tro att om din organisation inte betala för att veta om buggar, sedan organiserade brottslingar och nationalstaterna kommer.
Men verkligheten? Du kan också betala ut stora pengar för att hitta generisk, lätt-att-hitta sårbarheter, enligt Katie Moussouris, grundare och chief executive officer för Luta Säkerhet.
“Inte alla buggar är skapade lika,” berättade hon Gartner Säkerhet och Risk Management Summit i Sydney på måndag.
De allra flesta av de buggar som hittas via bug bounty program är cross-site scripting [XSS] buggar, en känd klass av fel som är lätt att upptäcka, och lätt att fixa.
“Varför skulle den organiserade brottsligheten eller nationalstater betalar för enkla klasser av fel som de kan finna sig själva? De kommer inte att betala några random forskare att berätta för dem om cross-site scripting buggar,” Moussouris sagt.
“Du ska hitta dessa buggar enkelt för er.”
Moussouris är en stor anhängare av bugg skottpengar, efter att ha sprungit Hacka Pentagon och Hacka Armén program för den AMERIKANSKA militären. Men hon säger att förlita sig på en offentlig bug bounty programmet bara skapar “utseende diligence”.
“Detta är inte lämpliga för riskhantering. Detta är inte att bli bättre när det kommer till säkerhet, sårbarhet,” sade hon.
Moussouris berättade historien om en säkerhet forskare som skulle gjort $119,000 i en bug bounty program. Det är mer än $29 000 per timme för att hitta enkla fel i en känd klass.
“Det är en fantastisk ROI [return on investment] för att forskaren. Det är en skrämmande ROI för den organisation som betalade honom,” sade hon.
Säkerhets-och sjukvårdspersonal att forska om nya och komplexa klasser av sårbarheter är bra betalt, men inte i närheten av $29,000 en timme. Enkla fel kan hittas vägen, mycket billigare.
Bugg gåvor kan också ha ett lågt signal-till-brus-förhållande, som visas i statistik från HackerOne.
Av de mer än 300 000 registrerade hackare, endast en av 10 har hittat något att rapportera, och endast en fjärdedel av de som har betalat en bounty. Endast 1000 hackare har tjänat $5000 eller mer, vilket är mindre än en tredjedel av en procent av den totala.
En annan hacker gjort en miljon dollar över tre år. Men för att göra det, han lämnade in mer än 1600 felrapporter, bara 128 som var kritiska.
“Han var verkligen bara fastnar bort med dessa allmänt tillgängliga verktyg — finslipa sina färdigheter säkert-men inte i närheten av den skicklighet nivå och värdet leverans över att tre år som motsvarar en miljon dollar,” Moussouris sagt.
Om en organisation har en offentlig bug bounty programmet eller inte, de flesta har ingen organisation pipeline för att hantera dem.
Endast tre av de utställare på Gartners toppmötet i São Paulo, Brasilien, tidigare denna månad kunde berätta Moussouris hur man rapporterar en sårbarhet för deras organisation. En utställare ens sa något i stil med “Nej, vi har inte sårbarheter. Vi skyddar dig mot säkerhetsproblem”.
De är inte ensamma. Cirka 94% av Forbes Global 2000-företag har inga publicerade sätt för att rapportera en säkerhetsrisk, sade hon. Några har en formaliserad process för validering och triaging sårbarhet rapporter och se till att de är fast.
Sen har vi det eviga problemet av grundläggande it-hygien. Moussouris säger att vi “kämpar som en industri” för att hantera den sista kilometer problemet med att faktiskt applicera patchar.
“En hel del av de mönster [har] inte faktiskt skiftat så mycket från där vi var när jag började professionellt 20 år sedan som en penetration testare,” sade hon.
“Vi har skapat en $170 miljarder branschen, som vi är riktigt bra på ett par saker, säkerhet inte precis är en av dem. Marknadsföring, definitivt.”
Relaterade Täckning
Google forskare avslöja sårbarheter för “interactionless’ iOS attacksApple expanderar bug bounty till macOS, höjer bugg rewardsSingapore regeringen för att köra en annan bugg bountyMicrosoft lanserar Azure Security Lab, expanderar bug bounty rewardsMicrosoft öppnar Dynamics 365 bug bounty med $20k toppen prizeBug bounty enheter VLC: s största patch men lockar ‘en-hål, scriptkiddies, bedragare”
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter