ITPub博客

首页 > 人工智能 > 人工智能 > Bug Bounty平台的终极指南

Bug Bounty平台的终极指南

翻译 人工智能 作者:Tybyq 时间:2018-11-06 17:53:32 0 删除 编辑

似乎没有一个星期过去没有新闻文章,一些公司遭到黑客入侵。 即便是Facebook,苹果或谷歌等科技巨头也无法免受网络犯罪分子的攻击。 事实不言自明:根据 战略与国际研究中心编制 报告 ,仅2018年就有近600亿美元的网络犯罪丢失。 因此,全球网络安全支出在 过去两年中 增长 了17%,预计2018年将创下96亿美元的历史新高。

有没有办法让公司有效地保护自己免受这种威胁? 好吧,今天我们将向您介绍bug赏金平台,这些平台已经成为公司面临的网络安全威胁的经济高效解决方案。 我们将解释它们的工作原理以及bug赏金平台为全球企业带来的价值。

在我们描述典型的bug赏金平台如何工作之前,了解术语“bug赏金计划”的含义非常重要:

错误赏金计划是指公司聘请第三方网络安全专家(业内人士,他们被称为“白帽黑客”或“安全研究人员”)来测试他们的软件是否存在漏洞。 对于发现的每个漏洞(bug),研究人员都会获得金钱奖励(赏金)。 该公司只是向公众宣布Bug Bounty Policy工作范围(包含该计划的所有详细信息的文档),任何人都可以注册并参与bug赏金计划。 这些是所谓的“自托管Bug赏金计划”。

但是,在实践中,并非每家公司都能负担得起自己的bug赏金计划。 为什么? 嗯,有几个原因:

  • 缺乏宣传和品牌信誉。 除非你是一家大型科技公司,比如Apple,Google或Facebook,否则很少有人知道你是谁。 所以,当你告诉全世界“华友世纪,我们已经启动了一个bug赏金计划” - 很少有人会报名参加。 可以这么说,你不是“研究人员的雷达”。

  • 第二个原因是,在大多数情况下,公司没有适当的基础设施或资源来处理来自研究人员的报告流。 公司没有足够的专业知识与研究人员沟通并同时修复漏洞。

缺乏宣传和相关的合格人员意味着大多数公司无法妥善举办自己的错误赏金计划。 这就是 HackenProof 等bug赏金平台 发挥作用的地方。 这些公司专门为其他公司托管bug赏金计划。

什么是Bug Bounty平台?

任何bug赏金平台都包含三个主要组件:

  • 专用票务系统,用于处理研究人员发送的漏洞报告。


  • 由网络安全专家组成的内部团队,负责检查和验证漏洞报告(该过程称为“分类”)。 Triage专家也是研究人员和客户之间的沟通桥梁。

  • 白帽黑客社区。 社区越大,bug赏金平台就越强大。 这是bug赏金平台最重要的部分之一。

一个白帽黑客社区正是bug赏金平台可以自己托管bug赏金计划的原因。 他们已经拥有忠实的白帽黑客社区,他们已准备好测试平台上托管的产品。 这是Bug Bounty平台的“超级大国”。

Bug Bounty流程如何实际运作?

  1. 首先,来自bug赏金平台的安全团队帮助客户创建“Bug Bounty Policy”。 本文档详细描述了错误赏金计划的各个方面 - 研究人员可以入侵的应用程序或服务列表,描述如何在平台上报告错误的披露条款和规则,漏洞的补偿详细信息,“范围“部分等

  2. 完成后,bug赏金平台会在其网站上发布一个程序,并启动营销活动以吸引白人黑客参与该计划。 从现在开始,bug赏金计划被认为是“现场”。

  3. 一旦该程序生效,研究人员就会破解Bug Bounty Policy中描述的资产,并通过bug bounty平台网站发送错误报告。

  4. 分类专家团队检查漏洞是否唯一且有效(可以复制),并且在程序范围内。

  5. 如果分类团队已经验证了错误,则研究人员会获得他的赏金,并且客户会收到完整的错误报告,该报告详细描述了如何重现漏洞以及需要采取哪些措施来“修复漏洞”。

随着研究人员发现更多漏洞,步骤3-5反复重复。 大公司可以运行几个月甚至几年的bug赏金计划。 在一个bug赏金计划中发现的错误数量可以从六打到几百不等。

与提供网络安全服务的传统网络安全咨询公司相比,bug-bounty平台的优势是什么?

Bug赏金平台有几个关键优势:

  • 获得人力资本:传统的网络安全公司平均有5-20名员工来测试您的软件。 Bug Bounty平台拥有来自世界各地的数百甚至数千名研究人员,专门研究各种领域(网络,移动,区块链协议,支付系统,智能合约等)。 与传统的网络安全服务公司相比,Bug赏金平台可以获得更多的人力资本。

  • 时间范围:标准渗透测试通常持续数周或数月,而错误赏金计划持续数月甚至数年(此时记者将积极尝试查找产品中的漏洞)。 在如此漫长的测试时间范围内,错误“滑倒”的可能性非常小。

  • 补偿系统:渗透测试中的标准补偿系统基于过程。 这意味着无论在渗透测试期间发现了多少错误,客户都将支付费用。 虽然bug赏金计划中的补偿系统是基于已确认的漏洞数量。 因此,客户只需支付分类团队已检查和验证的漏洞。

结论

考虑到公司越来越多地使用在线服务进行日常运营,他们越来越容易受到黑客攻击。 公司必须接受这样一个事实,即防范网络威胁不再是一个独立的问题,而是一个持续存在的问题。 隐藏它,或者没有将它放在你的“优先级列表”上会给你的业务带来很大的风险。

另一个风险是拥有一种心态,你可以“建立一个黑客永远无法穿透的长城”。 这种心态的问题在于软件一直在变化。 每个软件更新都可能包含网络犯罪分子可能利用并损害您公司的潜在“漏洞”。

正如我们之前所说的那样 - bug赏金平台雇佣了一大批来自世界各地的研究人员,他们专注于不同的网络安全领域。 这种方法意味着您的产品将由高技能的网络安全专家不断反复测试一段时间。 因此,Bug赏金平台为公司提供了经济高效且持续保护其产品的服务。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31557424/viewspace-2218957/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2018-10-31

  • 博文量
    201
  • 访问量
    131703