Se si prevede un bug bounty per trovare e riparare la vostra organizzazione nascosto cybersecurity problemi, ti sbagli. Per rubare una linea dal defunto John Clarke, siete un pazzo di te stesso e un peso per gli altri.
Bug bounty sono sicuramente sexy. Ti aspetto come stai impegnando con la più ampia sicurezza informatica comunità, e si otterrà una grande attenzione mediatica, quando un pirata colpisce ricco.
C’è anche la convinzione che, se l’organizzazione non pagare per conoscere il bug, poi criminalità organizzata e gli stati-nazione si.
Ma la realtà? Si potrebbe pagare un sacco di soldi per trovare generico, facile da trovare vulnerabilità, secondo Katie Moussouris, fondatore e chief executive officer di Luta di Sicurezza.
“Non tutti i bug sono stati creati uguali”, ha detto Gartner Sicurezza e Gestione del Rischio di Vertice a Sydney lunedì.
La stragrande maggioranza dei bug trovati tramite bug bounty programmi di cross-site scripting XSS] bug, una classe conosciuta di bug che sono facili da rilevare, e facile da risolvere.
“Perché la criminalità organizzata o stati-nazione pagare per semplici classi di problemi che si possono trovare se stessi? Essi non stanno andando a pagare un po ‘casuale ricercatore di dire loro di cross-site scripting bug”, Moussouris detto.
“Dovresti trovare i bug facilmente voi.”
Moussouris è un grande sostenitore di bug bounty, dopo aver eseguito sia l’Hack per il Pentagono e Hack Esercito programmi per i militari USA. Ma lei dice che basarsi su un pubblico bug bounty program crea solo “aspetto di diligenza”.
“Questo non è adeguata gestione del rischio. Questo non è sempre meglio quando si tratta di una vulnerabilità di sicurezza di gestione,” ha detto.
Moussouris raccontava la storia di un ricercatore di sicurezza che l’avevo fatta, $119,000 in un bug bounty program. Che è più di $29.000 per ora per trovare un semplice bug in una nota di classe.
“Questo è un grande ROI [return on investment] per il ricercatore. Si tratta di un terrificante ROI per l’organizzazione che lo ha pagato”, ha detto.
I professionisti della sicurezza alla ricerca di nuove e complesse classi di vulnerabilità sono pagati bene, ma in nessun posto vicino a $29,000 un’ora. Semplice bug può essere trovato nel modo più economico.
Bug bounty può anche avere un basso rapporto segnale-rumore, come mostrato in statistica HackerOne.
Più di 300.000 iscritti hacker, solo circa uno su 10 ha trovato qualcosa da raccontare, e solo un quarto di questi sono stati pagati un bounty. Solo 1000 gli hacker hanno guadagnato $5000 o più, che è meno di un terzo di un per cento del totale.
Un altro hacker fatto un milione di dollari in tre anni. Ma per farlo, ha depositato più di 1600 segnalazioni di bug, solo 128 di cui erano critiche.
“Era davvero suonicchiare di distanza con quelle pubblicamente disponibili strumenti — affinando le sue abilità certamente; ma in nessun posto vicino il livello di abilità e il valore di consegna oltre che tre anni che equivale a un milione di dollari,” Moussouris detto.
Se un’organizzazione ha un pubblico bug bounty program o no, la maggior parte, non hanno un’organizzazione di pipeline per la loro gestione.
Solo tre degli espositori presso Gartner vertice di São Paulo, in Brasile, all’inizio di questo mese potrebbe dire Moussouris come segnalare una vulnerabilità per la loro organizzazione. Un espositore anche detto qualcosa come “No, non abbiamo vulnerabilità. Proteggersi da vulnerabilità”.
Non sono soli. Circa il 94% di Forbes Global 2000 le aziende che non hanno pubblicato modo per segnalare una vulnerabilità di sicurezza, ha detto. Pochi hanno formalizzato il processo per la validazione e la valutazione di vulnerabilità rapporti e facendo in modo che siano fissi.
Poi c’è l’eterno problema di base cyber igiene. Moussouris dice che “lotta come un settore” per affrontare gli ultimi chilometri del problema della realtà di applicare la patch.
“Un sacco di modelli [sono] in realtà non ha spostato di molto da dove eravamo quando ho iniziato professionalmente 20 anni fa come un penetration tester,” ha detto.
“Abbiamo creato un $170 miliardi di settore, che, ne siamo davvero bravo in un paio di cose, la sicurezza non è esattamente uno di loro. Di Marketing, di sicuro.”
Relativi Copertura
Google ricercatori divulgare le vulnerabilità per ‘interactionless’ iOS attacksApple si espande bug bounty per macOS, solleva bug rewardsSingapore governo per eseguire un altro bug bountyMicrosoft lancia Azure Security Lab, si espande bug bounty rewardsMicrosoft apre Dinamiche 365 bug bounty con $20k top prizeBug bounty unità VLC grande patch, ma attira ‘un-fori, scriptkiddies, truffatori’
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati