Als u verwacht dat er een bug bounty vinden en oplossen van uw organisatie verborgen cybersecurity problemen, u bent verkeerd. Om te stelen van een lijn van de late John Clarke, je bent een dwaas te zijn voor jezelf en een last voor anderen.
Bug genade is zeker sexy. Je kijkt alsof je bezig met de bredere cybersecurity gemeenschap, en je krijgt veel aandacht in de media als een hacker toeslaat het rijk.
Er is ook het geloof, dat als uw organisatie niet betalen om te weten over de bugs, dan georganiseerde criminelen en natie-staten.
Maar de realiteit? U kunt ook betalen veel geld om generieke, gemakkelijk-te-vinden van kwetsbaarheden, volgens Katie Moussouris, oprichter en chief executive officer van Luta Veiligheid.
“Niet alle bugs zijn gelijk geschapen,” zei ze tegen de Gartner Security en Risk Management Summit in Sydney op maandag.
De overgrote meerderheid van bugs gevonden via bug bounty ‘programma’ s worden cross-site scripting [XSS] bugs, een bekende klasse van fouten die zijn makkelijk op te sporen, en eenvoudig op te lossen.
“Waarom zou de georganiseerde misdaad of natie-staten te betalen voor eenvoudige klassen van bugs dat zij zich kunnen vinden? Ze zijn niet van plan om te betalen wat willekeurige onderzoeker om hen te vertellen over cross-site scripting bugs,” Moussouris zei.
“Je moet vinden van die bugs gemakkelijk jezelf ook.”
Moussouris is een groot voorstander van bug gaven, die lopen van zowel de Hack van het Pentagon en Hack de Leger-programma ‘ s voor het AMERIKAANSE leger. Maar ze zegt dat het vertrouwen op een openbare bug bounty ‘ programma maakt de “weergave van diligence”.
“Dit is niet de juiste risico-management. Dit is niet beter als het gaat om security vulnerability management,” zei ze.
Moussouris vertelde het verhaal van een security-onderzoeker die was $119,000 in een bug bounty ‘ programma. Dat is meer dan $29.000 per uur om eenvoudig fouten in een bekende klasse.
“Dat is een geweldige ROI [return on investment] voor dat de onderzoeker. Het is een angstaanjagende ROI voor de organisatie die betaald hem,” zei ze.
Security professionals onderzoek naar nieuwe en complexe klassen van kwetsbaarheden worden goed betaald, maar nergens in de buurt van $29,000 een uur. Eenvoudige fouten kunnen worden gevonden veel, veel meer goedkoop.
Bug premies kunnen ook een lage signaal-ruis verhouding, zoals weergegeven in de statistieken van HackerOne.
Van de meer dan 300.000 geregistreerde hackers, slechts ongeveer één op de 10 heeft gevonden iets te melden is, en slechts een kwart van de mensen die hebben betaald een premie. Slechts 1000 hackers hebben verdiend $5.000 of meer, die minder dan een derde van een procent van het totaal.
Een andere hacker een miljoen dollar over drie jaar. Maar om dat te doen, hij heeft meer dan 1600 bug reports, slechts 128 van die van doorslaggevend belang zijn.
“Hij was echt storen weg met die openbaar beschikbare tools — honing zijn vaardigheden zeker — maar nergens in de buurt van het niveau en de waarde van levering meer dan drie jaar, dat komt neer op een miljoen dollar,” Moussouris zei.
Of een organisatie is een openbare bug bounty ‘ programma of niet, de meeste hebben geen organisatie pijplijn voor de behandeling ervan.
Slechts drie van de exposanten op Gartner ‘ s summit in São Paulo, Brazilië, eerder deze maand kon vertellen Moussouris het rapporteren van een probleem met hun organisatie. Een exposant zei zelfs iets als “Nee, we hebben geen zwakke plekken. We beschermen u van kwetsbaarheden”.
Ze zijn niet alleen. Zo ‘ n 94% van de Forbes Global 2000-bedrijven hebben geen gepubliceerde manier melding te maken van een kwetsbaarheid in de beveiliging, zei ze. Wat een geformaliseerd proces voor het valideren en triaging kwetsbaarheid van rapporten en het maken van zeker dat ze vast.
Dan is er het eeuwige probleem van basic cyber hygiëne. Moussouris zegt dat we “de strijd als een industrie” om te gaan met de laatste kilometer probleem van het daadwerkelijk toepassen van de patches.
“Veel van de patronen [hebben] niet daadwerkelijk verschoven dat veel van waar we waren toen ik begon professioneel 20 jaar geleden als een penetratie tester,” zei ze.
“We hebben een $170 miljard industrie, die, we zijn heel goed op een paar dingen, de veiligheid niet precies een van hen. Marketing, zeker.”
Verwante Dekking
Google onderzoekers onthullen kwetsbaarheden voor ‘interactionless’ iOS attacksApple breidt bug bounty te macOS, verhoogt bug rewardsSingapore overheid een bug bountyMicrosoft lanceert Azure Security Lab breidt bug bounty rewardsMicrosoft opent Dynamics 365 bug bounty van $20k top prizeBug bounty schijven VLC de grootste patch, maar trekt ‘een-gaten, scriptkiddies, oplichters’
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters