安全一直是一個主要的優先級在2011年建國以來釺。我們專注於保護我們客戶的數據讓我們擁抱manbetx万博全站客户端安全和隱私的心態設計在構建我們的產品,確保我們與認證ISO 27001和SOC 2 2型,並建立一個專門的HIPAA集群幫助品牌維護受保護的健康信息。雖然所有這些步驟很重要,我們不會在我們的榮譽上休息。總是有更多的,你可以做,專注於尋找新的方法來加強我們的安全是我在這裏的一個重要原因。
早在2020年,馬克沙沙村,釺,安全主管帶我在幫助啟動一個bug賞金計劃,目標是使其更容易識別安全問題,可能會影響我們的產品。現在這個項目已經啟動並運行了一年多,我覺得是時候回顧我們構建和我學過的東西。
Bug賞金計劃是什麼?
釺bug的賞金計劃,邀請外部團體試圖妥協消毒,客戶數據免費版本的釺平台和支付時確定一個有效的,可行的,安全問題。創建一個bug賞金計劃使釺這樣的公司利用外部安全研究人員和專業人士來識別潛在的安全問題,讓我們積極解決漏洞。
這些程序被廣泛認為是最重要的網絡安全措施,公司可以接受的部分,因為它允許品牌從大量外包安全見解不同的人有各種各樣的技能。通常,發射和維護一個成功的公共錯誤賞金表明組織健康安全計劃,因為這樣運行一個程序沒有事件需要一個成熟的安全級別,需要很多的思想和實現。
我的日子作為一個Bug賞金的參與者
我第一次聽到蟲賞金早在2014年,但因為我覺得他們聽起來好得令人難以置信,我最終並沒有真正參與一個直到2016年。靈感來自其他博客寫的道德黑客,我參加了雅虎bug賞金計劃,發現我有一個真正的工作的本領。首先,他們給了我一個機會利用我的黑客技能幫助保護計算機係統,而不是妥協。另一方麵,他們給了我機會賺大筆錢當我在。
隨著企業和政府組織發起錯誤數量的賞金計劃成長,最後我專門追捕服務器端請求偽造(SSRF)錯誤錯誤賞金計劃與主要電信公司,不到100萬美元從識別這些漏洞。雖然金融方麵的工作錯誤賞金是償還對我來說,我發現自己失蹤的結構和人際關係有一天的工作。所以當釺給了我機會發射和監管漏洞賞金計劃我自己的,我抓住了這個機會。
我們如何在釺啟動了一個Bug賞金計劃嗎
在釺,我們必須通過一係列的步驟之前,我們可以使我們的視野的一個bug賞金計劃成為現實。首先,因為參與者支付每一個有效的,可操作的錯誤他們發現,啟動一個賞金計劃沒有解決任何和所有已知的漏洞會導致公司高價購買他們已經擁有的信息,減少程序的影響,同時推高了成本。為此,我們進行了以下步驟之前準備一個正式發布:
部署內部安全服務水平協議(sla)和開發團隊
創建一個漏洞管理項目
部署動態分析安全性測試(DAST)工具
執行內部滲透測試
進行第三方滲透測試
確保所有已知的問題已經修複
然後,一旦我們有信心的複製版本釺平台創建bug賞金計劃盡可能圓滿完成的,我們發起了一個私人的,有限的程序使用Bugcrowd平台。我們推出了這個長達兩星期,隨需應變的計劃,所以我們可以使用它作為一個概念驗證,並幫助介紹釺組織運行的現實缺陷賞金計劃。畢竟,邀請黑客和安全研究人員的想法在你的產品中尋找安全漏洞可以看起來很奇怪或者困惑如果你之前沒有遇到錯誤賞金。
四大經驗從啟動一個新的Bug賞金計劃
我學會了很快推出一個新的bug賞金計劃是更加困難比接管現有的一個。有很多不同的因素去創建一個成功的項目,沒有得到盡可能多的關注,因為他們不是令人興奮的識別關鍵缺陷,迅速修複,支付巨額賞金。鑒於此,我們討論一些我最大的經驗:
1。啟動一個Bug賞金計劃需要跨團隊協作
最初,我希望啟動程序一樣簡單的決定,選擇正確的平台,決定的範圍和賞金數額,然後踢東西。但是這樣做需要更多計劃,準備,和注意力比我想象的。首先,我沒有考慮到所有的其他團隊在釺,作用在支持錯誤賞金計劃發射的工作我們的法律團隊,確保我們有正確的措辭對我們安全港協議來創建我們的sla所做的工作,確保我們有正確的升級過程當違規行為發生。這項工作很有挑戰性,但這是絕對必要的。bug賞金計劃,沒有精心策劃和執行將不可避免地遇到很多問題,而反過來,會導致壞口碑的程序,使其難以吸引頂級黑客和安全研究人員和潛在注定會讓整個努力。
2。永遠不要忘記你的關係與黑客和研究人員
重要的是要記住,一個成功的品牌bug賞金計劃取決於程序之間的關係和黑客/研究人員參與。快樂黑客更願意把時間花在你的程序,考慮到每一個賞金計劃是爭取有限的資源名稱,黑客/研究者的時間和關注,重要的是要確保你設定自己成功的評估這種關係、做你可以設置自己有別於其他項目。為此,一些公司支付更大的賞金比行業平均水平為各種蟲類和清規戒律,但這並不是唯一的(或最佳)的方法。
bug賞金獵人因為我的背景,我已經能夠用我的經驗來幫助釺如何培養這種關係。例如,我能夠得到支持,以確保釺運行公共和私人bug賞金並發程序。允許我們識別個體參與我們的公共計劃報告好,有效的報告,然後獎勵他們,邀請他們到我們私人項目。這些參與者有額外的功能測試和獲得第一個裂紋在添加新的範圍我們將它們添加到公共計劃。我相信通過這樣的小事情,可以為研究者們表達對員工的感謝公司為他們的項目,鼓勵他們在未來深化訂婚。
3所示。從公司方麵錯誤賞金看起來不同
我開始經營自己的錯誤賞金計劃之前,我不喜歡使用由第三方管理平台項目。這樣的項目設置,是常見的企業依賴於第三方triagers提供的平台,從黑客/審查提交的研究人員和確定每個確定缺陷的嚴重程度,和我有一些經驗在triagers了電話,我不同意。
但是,現在我在另一邊,我可以看到這種platform-driven方法提供了多少價值的公司使用它。雖然我們仍然參與直接監督工作由我們使用第三方triagers,我發現利用他們可以做很多事情來減少時間和精力負擔與運行程序。與我們合作的triagers優點和已被證明是一個偉大的資產項目,幫助使我們成功的推出成為可能。
4所示。工作還沒結束錯誤時確定
在加入釺之前,我常常對bug賞金程序花了數周或數月修複漏洞我會提交給他們。從我的角度來看,一般的問題似乎十分幹燥,我覺得這些漏洞的補丁應該很少或沒有時間去實施。
但是現在我目睹了發生在幕後當提交其中一個錯誤,我意識到我沒有考慮所有的討論和幕後工作,完成生命周期期間安全脆弱性的bug和交付的調查和確認這些細節的負責任的團隊內部實際修改代碼,測試,發布前會發生錯誤是真正解決。事實是,這些事情需要時間,作為一個黑客,我沒有總是考慮所涉及的工作,部分原因是我想要盡快完成整個過程,這樣我就可以支付。
最終的想法
運行一個bug賞金計劃去年已經轉移我的整個行業前景,甚至改變了我選擇錯誤賞金計劃專注於在我的空閑時間。這peek幕後給了我更多的尊重所做的基本工作平台triagers和更好的理解現實的時間表是什麼公司來評估和地址我提交的缺陷。這個新觀點,我希望我可以繼續改善和發展釺bug賞金計劃同時也看到更多成功的bug賞金獵人。
加入了球隊,在釺感興趣?看看我們開放的角色!
湯米狄維士
湯米狄維士釺高級安全工程師二世。
