0
0
À medida que as vulnerabilidades continuam a ocupar o centro do palco e as organizações procuram lançar programas de recompensa de bugs e garantia de segurança, a competição por bons pesquisadores é acirrada. Mas pode ser difícil para pesquisadores em potencial avaliar esses programas. Algumas perguntas comuns incluem quais são as taxas atuais para vulnerabilidades comuns? Qual é a experiência da equipe que realiza o trabalho de triagem de relatórios? Uma equipe de segurança ou especialista toma as decisões sobre o que classifica como uma vulnerabilidade?
Os pesquisadores geralmente duvidam que uma equipe de produto e desenvolvimento possa classificar de maneira justa um relatório de bug como uma vulnerabilidade de segurança devido à percepção de falta de experiência em segurança. Em vez disso, eles tendem a confiar mais em um programa se uma equipe de segurança dedicada (como ProdSec, AppSec, PSIRT, etc.) decidir se um relatório é uma vulnerabilidade de segurança.
Os pesquisadores de segurança também gostam de revisar as estatísticas do programa, que geralmente incluem os pagamentos totais do ano anterior. Pagamentos totais mais altos geralmente indicam que há mais bugs a serem encontrados, onde pagamentos mais baixos podem significar menos bugs e/ou recompensas. Eles também se preocupam com o tempo médio de triagem ou o tempo entre o envio e o reconhecimento de uma vulnerabilidade válida ou inválida. Isso pode dizer aos pesquisadores se o programa é experiente e suficientemente apoiado.
O tempo entre o envio e o pagamento, ou tempo médio até a recompensa, também é importante. Novamente, quanto mais curto é melhor e muitas vezes significa que o programa não tem problemas de financiamento e valoriza o tempo do pesquisador. Retornos de recompensas mais longos podem semear incertezas.
Não é nenhum segredo que os fornecedores preferem recompensas de menor gravidade e pagamentos mais baixos, enquanto os pesquisadores preferem os mais altos. Uma média de pagamento mais baixa pode levar à crença de que as vulnerabilidades serão minimizadas e problemas de gravidade mais alta podem não receber a atenção que merecem. Pagamentos altos podem sinalizar aos pesquisadores que não existem frutos fáceis, o que pode dissuadir novos pesquisadores de ingressar no programa. Também pode sinalizar que o investimento de tempo para encontrar uma vulnerabilidade é muito alto. Muitas vezes, uma média de pagamento moderada é a melhor.
Outra área que pode dissuadir os pesquisadores envolve a legalidade do relato de vulnerabilidade. As políticas coordenadas de divulgação de vulnerabilidades podem ser difíceis de seguir quando uma parte não se sente valorizada. Safe Harbor é uma promessa, mas também pode parecer uma ameaça.
Safe Harbor é uma cláusula adicionada a uma política do programa de divulgação de vulnerabilidades que descreve que o pesquisador de segurança não precisa temer consequências legais (e pode até receber proteções extras) pelo alvo de sua pesquisa de segurança se essa pesquisa for realizada de boa fé e em cooperação com o alvo. Isso leva os pesquisadores a querer saber como os fornecedores lidam com violações ou como obter suporte quando um fornecedor não está seguindo suas próprias políticas declaradas. Esses são processos importantes a serem definidos.
O que os pesquisadores valorizam em um programa? Na minha experiência, existem seis áreas principais.
Velocidade
Como mencionado anteriormente, mais rápido é melhor. Os pesquisadores querem tomada de decisões, respostas, divulgação de vulnerabilidades e recompensas distribuídas rapidamente.
Humanidade
Os pesquisadores querem ouvir as pessoas, não uma corporação ou seus advogados. Eles querem ser tratados e falados como um ser humano, não como robôs pesquisadores.
Transparência e Acessibilidade
Deve haver o mínimo de barreiras possível ao enviar um relatório de bug. Os pesquisadores precisam de uma identificação fiscal, endereço de e-mail ou software de criptografia? Como um pesquisador pode se envolver melhor com um fornecedor e um programa? Em quais ferramentas, software, hardware, treinamento os pesquisadores precisam investir? E como o fornecedor investe ou investirá em sua população de pesquisadores? Responda a essas perguntas e seja transparente.
Perícia
Os pesquisadores gastam tempo aprendendo sobre um produto e como ele funciona antes de encontrar maneiras de quebrá-lo ou fazê-lo fazer coisas para as quais não foi projetado. Como resultado, eles esperam que as pessoas que lêem seus relatórios tenham pelo menos o mesmo nível de especialização.
Advocacia
Os pesquisadores não trabalham para o fornecedor; essa é uma razão pela qual eles enviam por meio de um programa de recompensas por bugs. Eles não podem estar envolvidos em todas as conversas, então precisam de um defensor dentro da empresa.
Reconhecimento/Recompensas
Os programas de recompensas por bugs são uma mutação de um programa de divulgação de vulnerabilidades (VDP), que é inteiramente baseado no conceito de “Veja algo, diga algo”, mas oferece um incentivo de recompensa em vez de simplesmente fazê-lo porque é a coisa certa a fazer . Garantir que os incentivos oferecidos correspondam aos objetivos do pesquisador é crucial. Eles querem ser reconhecidos ou ficar escondidos? Eles querem pagamento? Eles ainda podem receber recompensas?
Para os fornecedores, há muito a considerar ao atrair pesquisadores talentosos. Apresentar estatísticas do programa pelo menos anualmente (se não em tempo real). Publique a matriz de decisão para recompensas e reconhecimento para que os pesquisadores saibam o que é preciso para obter uma recompensa superior. Disponibilize documentação que explique o processo pelo qual um relatório de bug passa quando sai das mãos do pesquisador. Defina acordos de nível de serviço para as principais etapas do processo e publique estatísticas sobre como a equipe os atende. Use linguagem humana e entenda que todos cometem erros nesse processo, mas raramente são mal-intencionados. Procure primeiro entender antes de julgar.
Finalmente, se você quiser saber mais sobre recompensas de bugs, considere estas organizações: Bug Bounty Community of Interest , FIRST e OWSP . À medida que os programas de recompensas por bugs amadurecem e se tornam mais humanizados, fornecedores e pesquisadores podem trabalhar juntos para criar políticas e processos que sejam recompensadores para todos os envolvidos.
FONTE: DARK READING