Menü Bezárás

Elindult a régió első Bug Bounty platformja

etikus-hacker

Ebben a bejegyzésben arra teszünk kísérletet, hogy körbe járjuk, mi az a bug bounty, milyen előnyei vannak, milyen cégeknek ideális és hogyan lehet ilyen programot indítani.

Mi az a bug bounty program?

Ez egy olyan más által kontrollált környezetben indított projekt, amikor a Cégek engedik az etikus hackereknek, hogy a weboldalukon, webszolgáltatásaikban, termékeikben biztonsági sérülékenységeket kereshessenek a meghatározott szabályok betartásával, a talált bugokat bejelenthessék és ezért pénzjutalmat kaphassanak. 

Nyugat-Európában, Amerikában ez már egy bevált módszer és minden nagyobb cég rendelkezik ilyen programmal. Magyarországon és Kelet- illetve Közép-Európában még kevés cég indít ilyet, pedig minden cégnek fontos lehet.

Mi az a bug bounty platform – mit csinál a HACKTIFY?

A HACKTIFY Magyarország és a régió első Bug Bounty és sérülékenység közzétételi platformja, ami összeköti a cégeket az etikus hackerekkel. A szervezetek tesztelendő szolgáltatásainak részletei és a tesztelési szabályok feltöltésre kerülnek az oldalra. A regisztrált etikus hackerek láthatják ezeket és legális úton sérülékenységeket kereshetnek és jelenthetnek be az oldalon keresztül. 

A HACKTIFY leveszi a bug bounty program menedzselésének terhét a cég válláról, kapcsolatot tart az etikus hackerekkel, a bejövő bug riportokat ellenőrzi, szerződés útján kezeli a felelősségeket, lebonyolítja a kommunikációt, a kifizetéseket és a bejelentéssel járó könyvelési feladatokat is.

Mik a bug bounty előnyei?

A legnagyobb előnye, hogy kihasználja a közösségi tesztelés erejét: mivel nem egy-két kiberbiztonsági szakember végzi a sérülékenység vizsgálatot, hanem több ember egyszerre. Több szem többet lát alapon nagyobb az esélye annak, hogy a rejtett hibák feltárásra kerülnek.

Másik nagy előnye a folyamatosság: a legtöbb cég a termékét jó esetben évente veti alá behatolás tesztnek. Ezzel szemben a bug bounty egy határozatlan idejű program – megnyitástól folyamatos tesztelés várható, így értesülhet a cég a nyitott sérülékenységekről, a korábban bejelentett hibák visszatesztelése is zajlik, az újonnan megjelenő sérülékenységeket is azonnal tesztelik. 

Spórolni lehet az IT biztonsági kiadásokon: egy bug bounty program akár ingyenes is lehet, ha a cég webszolgáltatása teljesen hibamentes és nem találnak sérülékenységet a szakemberek. Mi több, a szervezet maga szabhatja meg a sérülékenységekért kifizetett jutalom nagyságát.

Marketingnek sem utolsó: pozitív reklám a cégnek, ha van bug bounty programja, hiszen biztonságosabbnak mondhatja magát a versenytársainál és manapság ez nagy előny.

Milyen cégnek való bug bounty?

Minden cég, amelyik az interneten keresztül nyújt szolgáltatást, vagy számára értékes adatok, információk elérhetők interneten keresztül veszélyben lehet. A rosszindulatú crackerek folyamatosan próbálkoznak feltörni a szervezetek információs rendszereit, szkennelik a weboldalakat és ha találnak sérülékenységet hátráltathatják/megakadályozhatják a cég tevékenységét, zsarolóvírussal fertőzhetik meg a gépeit, szervereit, ellophatják az ügyfelek személyes adatait. Személyes adatok kiszivárgása esetén a GDPR hatályba lépése óta több millió Forintos bírság várhat a cégekre. Jobb ezeket megelőzni, tudni a hibákról és kijavítani őket.

Biztonságos bug bounty programot indítani?

Etikus hackerek jelentkeznek ilyen oldalakon keresztül kiberbiztonsági tesztelésre. A rossz indulatú crackerek inkább anélkül törik fel a rendszereket, hogy beregisztrálnának ilyen platformokra, hiszen kerülik a feltűnést.  Az etikus hackerek jól képzett szakemberek, céljuk a fejlődés, fejlesztés és a sérülékenységek javítása. A hibákat mindig bejelentik a HACKTIFY-on keresztül, ami validálást követően kerül csak átadásra a Cég részére, így biztosítva, hogy minden az előre meghatározott keretek között történik.

Stratégia közreműködésünk részeként az AXEN Cyber webes etikus hacker képzésén a HACKTIFY-ra regisztrált felhasználók kedvezményesen vehetnek részt. Minderről a HACKTIFY alapítói az ITBN konferencián is beszéltek, melyet a következő videóban visszanézhettek:

A kép forrása: hacktify.eu