Tin tức và phân tích của tất cả các thiết bị di động

Đứng đầu 7 Nền tảng tiền thưởng lỗi cho các tổ chức để cải thiện bảo mật

Chỉ có một hacker mới có thể suy nghĩ như một hacker. Vì vậy, khi nói đến “chống hacker”, bạn có thể phải nhờ đến hacker.

Bảo mật ứng dụng luôn là một chủ đề nóng và ngày càng trở nên nóng hơn theo thời gian.

Ngay cả khi bạn có vô số công cụ và phương pháp phòng thủ (tường lửa, SSL, mật mã bất đối xứng, v.v.), không ứng dụng web nào có thể tuyên bố là an toàn ngoài tầm với của tin tặc.

Tại sao?

Lý do đơn giản là việc xây dựng phần mềm vẫn là một quá trình rất phức tạp và mong manh. Vẫn còn lỗi (đã biết và chưa biết) bên trong nền tảng mà các nhà phát triển sử dụng và khi phần mềm và thư viện mới được khởi chạy, những phần mềm và thư viện mới sẽ được tạo ra. Ngay cả các công ty công nghệ hàng đầu cũng sẵn sàng cho những rắc rối không thường xuyên và vì lý do chính đáng.

Chúng tôi đang thuê. . . Tin tặc!

Cho rằng các lỗi và lỗ hổng có thể sẽ không bao giờ rời khỏi lĩnh vực phần mềm, điều gì khiến các công ty phụ thuộc vào phần mềm này để tồn tại? Ví dụ, làm thế nào một ứng dụng ví mới có thể đảm bảo rằng nó có thể chống lại các nỗ lực của tin tặc khó chịu?

Vâng, bạn đã đoán ra rồi: thuê tin tặc đến và dùng thử ứng dụng non trẻ này! Và tại sao họ? Chỉ vì có một phần thưởng đủ lớn được cung cấp – tiền thưởng lỗi!

Nếu từ “tiền thưởng” gợi lên những ký ức về miền Tây hoang dã và những viên đạn bắn không ngừng, thì đó là ý tưởng ở đây. Bằng cách nào đó, bạn có được những tin tặc (chuyên gia bảo mật) ưu tú và giàu kinh nghiệm nhất để điều tra ứng dụng của bạn và nếu họ tìm thấy thứ gì đó, họ sẽ được thưởng.

Điều này có thể được thực hiện theo hai cách: 1) tự tổ chức tiền thưởng lỗi; 2) sử dụng nền tảng tiền thưởng lỗi.

Bug Bounty: Tự lưu trữ vs. nền tảng

Tại sao bạn lại gặp rắc rối khi chọn (và trả tiền) cho một nền tảng tiền thưởng lỗi khi bạn có thể tự mình lưu trữ nó. Ý tôi là chỉ cần tạo một trang có thông tin chi tiết phù hợp và gây ồn ào trên mạng xã hội. Điều này rõ ràng là không thể thất bại, phải không?

Tin tặc không bị thuyết phục!

Chà, đó là một ý tưởng hay, nhưng hãy nhìn nó từ góc độ của một hacker. Chiến đấu với các lỗi không phải là nhiệm vụ dễ dàng vì nó đòi hỏi nhiều năm đào tạo, kiến ​​thức hầu như không giới hạn về những thứ cũ và mới, rất nhiều quyết tâm và sự sáng tạo hơn hầu hết các “nhà thiết kế hình ảnh” (xin lỗi, tôi không thể cưỡng lại! :-P).

Tin tặc không biết bạn là ai hoặc không chắc bạn sẽ trả tiền. Hoặc có thể không có động lực. Tiền thưởng tự lưu trữ hoạt động cho những người khổng lồ như Google, Apple, Facebook v.v., những cái tên mà mọi người có thể tự hào đưa vào danh mục đầu tư của họ. “Lỗ hổng đăng nhập nghiêm trọng được tìm thấy trong ứng dụng HRMS của XYZ Tech Systems” nghe có vẻ không ấn tượng lắm phải không (với lời xin lỗi tới bất kỳ công ty nào có thể giống với cái tên đó!)?

Có những lý do thực tế (và áp đảo) khác để không đi một mình khi nói đến tiền thưởng lỗi.

không có cơ sở hạ tầng

Các “tin tặc” mà chúng ta đang nói đến không phải là những người theo dõi dark web.

Họ không có thời gian hay kiên nhẫn cho thế giới “văn minh” của chúng ta. Thay vào đó, ở đây chúng ta đang nói về các nhà khoa học có nền tảng về khoa học máy tính đang học đại học hoặc đã từng là những kẻ săn tiền thưởng từ lâu. Những người này muốn và gửi thông tin ở một định dạng cụ thể, rất khó để làm quen.

Ngay cả những nhà phát triển giỏi nhất cũng sẽ phải vật lộn để theo kịp và chi phí cơ hội có thể quá cao.

Xem xét các ứng dụng

Cuối cùng là vấn đề chứng minh. Phần mềm có thể được xây dựng dựa trên các quy tắc xác định đầy đủ, nhưng khi nào một yêu cầu cụ thể được đáp ứng chính xác là một vấn đề tranh luận. Hãy lấy một ví dụ để hiểu rõ hơn.

Giả sử bạn đã tạo tiền thưởng lỗi cho các lỗi xác thực và ủy quyền. Tức là bạn khẳng định hệ thống của mình không có nguy cơ bị mạo danh mà tin tặc cần phải phá hoại.

Giờ đây, một tin tặc đã tìm ra điểm yếu dựa trên cách thức hoạt động của một trình duyệt cụ thể, cho phép anh ta đánh cắp mã thông báo phiên của người dùng và mạo danh nó.

Đây có phải là khám phá đúng không?

Từ quan điểm của một hacker, vi phạm chắc chắn là vi phạm. Theo quan điểm của bạn, có thể không, bởi vì bạn nghĩ rằng điều đó tùy thuộc vào người dùng hoặc trình duyệt không phải là vấn đề đối với thị trường mục tiêu của bạn.

Nếu tất cả bộ phim này được diễn ra trên một nền tảng tiền thưởng lỗi, thì sẽ có những trọng tài có năng lực có thể quyết định hậu quả của việc khám phá và đóng vấn đề.

Với ý nghĩ đó, chúng ta hãy xem xét một số nền tảng săn lỗi phổ biến.

YesWe Hack

TakWeHack là một nền tảng tiền thưởng lỗi toàn cầu cung cấp khả năng tiết lộ lỗ hổng và bảo vệ bằng nguồn lực cộng đồng ở nhiều quốc gia như Pháp, Đức, Thụy Sĩ và Singapore. Nó cung cấp một giải pháp Bug Bounty đột phá cho phép bạn đối mặt với các mối đe dọa ngày càng tăng khi sự linh hoạt của doanh nghiệp tăng lên khi các công cụ truyền thống không còn đáp ứng được kỳ vọng.

YesWeHack cho phép bạn truy cập vào một nhóm tin tặc đạo đức ảo và tối đa hóa các cơ hội thử nghiệm của bạn. Chọn thợ săn bạn muốn và gửi phạm vi của bạn để thử nghiệm hoặc chia sẻ chúng với cộng đồng YesWeHack. Nó tuân thủ các luật và tiêu chuẩn nghiêm ngặt để bảo vệ lợi ích của thợ săn cũng như của bạn.

Cải thiện tính bảo mật cho ứng dụng của bạn bằng cách tận dụng khả năng đáp ứng của thợ săn và giảm thiểu thời gian cần thiết để khắc phục và khám phá các lỗ hổng. Sự khác biệt sẽ được nhìn thấy sau khi bắt đầu chương trình.

Mở một yêu cầu lỗi

Bạn có đang trả quá nhiều tiền cho các chương trình tiền thưởng lỗi không?

Hãy thử Mở một yêu cầu lỗi để kiểm tra an toàn đám đông.

Nó là một nền tảng tiền thưởng lỗi dựa trên cộng đồng mở, miễn phí và không quan tâm. Ngoài ra, nó cung cấp tiết lộ có trách nhiệm và phối hợp các lỗ hổng bảo mật theo tiêu chuẩn ISO 29147. Cho đến nay, nó đã giúp khắc phục hơn 641.000. cây cung.

Các nhà nghiên cứu và chuyên gia bảo mật từ các trang web hàng đầu như WikiHow, TwitterVerizon, IKEA, MIT, Đại học Berkeley, Philips, Yamaha và những người khác đã sử dụng nền tảng Open Bug Bounty để giải quyết các vấn đề bảo mật của họ như lỗ hổng XSS, SQL injection, v.v. làm công việc của họ.

tin tặc

Trong số các chương trình tiền thưởng lỗi, Hakeron là người dẫn đầu khi nói đến việc tiếp cận tin tặc, tạo các chương trình tiền thưởng, phổ biến thông tin và đánh giá các đóng góp.

Có hai cách để sử dụng Hackerone: sử dụng nền tảng để thu thập các báo cáo lỗ hổng và tự biên dịch chúng hoặc để các chuyên gia Hackerone thực hiện công việc khó khăn (phân loại). Triaging chỉ đơn giản là quá trình tổng hợp các báo cáo lỗ hổng, xác minh chúng và giao tiếp với tin tặc.

Hackerone được sử dụng bởi những tên tuổi lớn như Google Play, PayPal, GitHub, Starbucks và những công ty tương tự, vì vậy tất nhiên nó dành cho những người có lỗi nghiêm trọng và hầu bao rủng rỉnh.

đám sâu bọ

Đám đông lỗi cung cấp một số giải pháp đánh giá bảo mật, một trong số đó là Bug Bounty. Nó cung cấp một giải pháp SaaS dễ dàng tích hợp vào vòng đời phần mềm hiện tại của bạn và giúp bạn dễ dàng chạy một chương trình tiền thưởng lỗi thành công.

Bạn có thể chọn tham gia chương trình tiền thưởng lỗi riêng tư liên quan đến một số tin tặc được chọn hoặc chương trình công khai tập hợp hàng nghìn người.

mũ đội đầu an toàn

Nếu bạn là một công ty và không cảm thấy thoải mái khi công khai chương trình tiền thưởng lỗi của mình – và bạn cần được chú ý nhiều hơn mức mà một nền tảng tiền thưởng lỗi thông thường có thể cung cấp – Mũ đội đầu an toàn là lựa chọn an toàn nhất của bạn (chơi chữ kinh khủng, hả?).

Cố vấn bảo mật chuyên dụng, hồ sơ tin tặc chi tiết, tham gia chỉ dành cho người được mời – tất cả những điều này được cung cấp tùy thuộc vào nhu cầu của bạn và mức độ trưởng thành của mô hình bảo mật của bạn.

Intigriti

Intigriti là một nền tảng tiền thưởng lỗi tất cả trong một kết nối bạn với các hacker mũ trắng, cho dù bạn muốn chạy một chương trình riêng tư hay công khai.

Đối với tin tặc, có rất nhiều phần thưởng để lấy. Tùy thuộc vào quy mô của công ty và ngành, các cuộc săn sâu có giá trị từ 1.000 đến 20.000 euro.

đồng bộ hóa

Synack dường như là một trong những trường hợp ngoại lệ trên thị trường phá vỡ khuôn mẫu và làm được điều gì đó to lớn. Chương trình bảo mật Hack Lầu năm góc của họ là điểm nổi bật, dẫn đến việc phát hiện ra một số lỗ hổng nghiêm trọng.

Vì vậy, nếu bạn đang tìm kiếm không chỉ việc phát hiện lỗi mà còn tìm kiếm các mẹo và đào tạo bảo mật hàng đầu, thì Synack chính là lựa chọn phù hợp.

Đăng kí

Giống như việc bạn tránh xa những thầy lang rao giảng về “phương pháp chữa bệnh thần kỳ”, hãy tránh xa bất kỳ trang web hoặc dịch vụ nào nói rằng có thể bảo mật chống đạn. Tất cả những gì chúng ta có thể làm là tiến một bước gần hơn đến lý tưởng. Do đó, các chương trình tiền thưởng lỗi không nên được kỳ vọng sẽ tạo ra các ứng dụng không có lỗi, nhưng nên được coi là chiến lược chính để loại bỏ những ứng dụng thực sự khó chịu.

Kiểm tra khóa học săn sâu này để tìm hiểu và đạt được danh tiếng, phần thưởng và sự công nhận.

Tìm hiểu về các chương trình tiền thưởng lỗi lớn nhất trên thế giới.

Tôi hy vọng bạn sẽ loại bỏ nhiều người trong số họ!