Ebben a bejegyzésben arra teszünk kísérletet, hogy körbe járjuk, mi az a bug bounty, milyen előnyei vannak, milyen cégeknek ideális és hogyan lehet ilyen programot indítani.
Mi az a bug bounty program?
Ez egy olyan más által kontrollált környezetben indított projekt, amikor a Cégek engedik az etikus hackereknek, hogy a weboldalukon, webszolgáltatásaikban, termékeikben biztonsági sérülékenységeket kereshessenek a meghatározott szabályok betartásával, a talált bugokat bejelenthessék és ezért pénzjutalmat kaphassanak.
Nyugat-Európában, Amerikában ez már egy bevált módszer és minden nagyobb cég rendelkezik ilyen programmal. Magyarországon és Kelet- illetve Közép-Európában még kevés cég indít ilyet, pedig minden cégnek fontos lehet.
Mi az a bug bounty platform – mit csinál a HACKTIFY?
A HACKTIFY Magyarország és a régió első Bug Bounty és sérülékenység közzétételi platformja, ami összeköti a cégeket az etikus hackerekkel. A szervezetek tesztelendő szolgáltatásainak részletei és a tesztelési szabályok feltöltésre kerülnek az oldalra. A regisztrált etikus hackerek láthatják ezeket és legális úton sérülékenységeket kereshetnek és jelenthetnek be az oldalon keresztül.
A HACKTIFY leveszi a bug bounty program menedzselésének terhét a cég válláról, kapcsolatot tart az etikus hackerekkel, a bejövő bug riportokat ellenőrzi, szerződés útján kezeli a felelősségeket, lebonyolítja a kommunikációt, a kifizetéseket és a bejelentéssel járó könyvelési feladatokat is.
Mik a bug bounty előnyei?
A legnagyobb előnye, hogy kihasználja a közösségi tesztelés erejét: mivel nem egy-két kiberbiztonsági szakember végzi a sérülékenység vizsgálatot, hanem több ember egyszerre. Több szem többet lát alapon nagyobb az esélye annak, hogy a rejtett hibák feltárásra kerülnek.
Másik nagy előnye a folyamatosság: a legtöbb cég a termékét jó esetben évente veti alá behatolás tesztnek. Ezzel szemben a bug bounty egy határozatlan idejű program – megnyitástól folyamatos tesztelés várható, így értesülhet a cég a nyitott sérülékenységekről, a korábban bejelentett hibák visszatesztelése is zajlik, az újonnan megjelenő sérülékenységeket is azonnal tesztelik.
Spórolni lehet az IT biztonsági kiadásokon: egy bug bounty program akár ingyenes is lehet, ha a cég webszolgáltatása teljesen hibamentes és nem találnak sérülékenységet a szakemberek. Mi több, a szervezet maga szabhatja meg a sérülékenységekért kifizetett jutalom nagyságát.
Marketingnek sem utolsó: pozitív reklám a cégnek, ha van bug bounty programja, hiszen biztonságosabbnak mondhatja magát a versenytársainál és manapság ez nagy előny.
Milyen cégnek való bug bounty?
Minden cég, amelyik az interneten keresztül nyújt szolgáltatást, vagy számára értékes adatok, információk elérhetők interneten keresztül veszélyben lehet. A rosszindulatú crackerek folyamatosan próbálkoznak feltörni a szervezetek információs rendszereit, szkennelik a weboldalakat és ha találnak sérülékenységet hátráltathatják/megakadályozhatják a cég tevékenységét, zsarolóvírussal fertőzhetik meg a gépeit, szervereit, ellophatják az ügyfelek személyes adatait. Személyes adatok kiszivárgása esetén a GDPR hatályba lépése óta több millió Forintos bírság várhat a cégekre. Jobb ezeket megelőzni, tudni a hibákról és kijavítani őket.
Biztonságos bug bounty programot indítani?
Etikus hackerek jelentkeznek ilyen oldalakon keresztül kiberbiztonsági tesztelésre. A rossz indulatú crackerek inkább anélkül törik fel a rendszereket, hogy beregisztrálnának ilyen platformokra, hiszen kerülik a feltűnést. Az etikus hackerek jól képzett szakemberek, céljuk a fejlődés, fejlesztés és a sérülékenységek javítása. A hibákat mindig bejelentik a HACKTIFY-on keresztül, ami validálást követően kerül csak átadásra a Cég részére, így biztosítva, hogy minden az előre meghatározott keretek között történik.
Stratégia közreműködésünk részeként az AXEN Cyber webes etikus hacker képzésén a HACKTIFY-ra regisztrált felhasználók kedvezményesen vehetnek részt. Minderről a HACKTIFY alapítói az ITBN konferencián is beszéltek, melyet a következő videóban visszanézhettek: