0
0
Faz cerca de uma década desde que o hype para os programas de recompensas por bugs começou a se tornar supernova, mas o júri ainda está fora da eficácia deles. De acordo com Katie Moussouris, fundadora e CEO da Luta Security, a organização média luta para obter resultados de segurança significativos de recompensas de bugs e continua lutando com a execução.
Os programas de recompensas por bugs são certamente mais populares do que nunca, com recompensas populares em muito mais do que apenas as grandes empresas de tecnologia agora. Profissionais de segurança de produtos e cibersegurança corporativa em uma gama crescente de organizações recorrem cada vez mais a esses programas para atuar como um backstop de segurança de aplicativos, muitas vezes alimentado pela conveniência e máquina de vendas do crescente mercado de plataformas de recompensas por bugs.
Mas, embora muitas organizações possam começar fortes com seus programas de recompensas por bugs, “na marca de 18 meses a dois anos, elas começam a entrar em colapso sob seu próprio peso”, disse Moussouris ao Dark Reading.
Esse colapso é tipicamente anunciado por gerentes de programas sobrecarregados e sobrecarregados nessas empresas que não conseguem acompanhar o volume de bugs enviados por caçadores de recompensas, bem como software que ainda permanece cheio de vulnerabilidades e muitas vezes atormentado com as falhas de segurança mais básicas .
“Posso dizer que recompensas de bugs foram uma ótima ideia mal executada na última década”, diz Moussouris, que discutirá os desafios em uma palestra agendada para quinta-feira, 11 de agosto na Black Hat USA, ” Bug Bounty Evolution : Não é o Bug Bounty do seu neto .”
“Acho que há muito espaço para melhorias, não apenas em como as recompensas de bugs são projetadas e executadas, mas também na imagem holística do ecossistema em que uma recompensa de bugs opera”, disse ela.
Um dos grandes problemas sistêmicos é o fato de que muitos programas de recompensas por bugs são implementados independentemente da maturidade das práticas do programa de segurança cibernética subjacente. Isso significa visibilidade de ativos, gerenciamento de vulnerabilidades, treinamento de desenvolvedores e muito mais, diz Moussouris. Embora as recompensas por bugs possam ser um ótimo complemento para uma base sólida de práticas de segurança de aplicativos, algumas organizações acreditam erroneamente que podem confiar apenas nas recompensas para manter seu software seguro.
“Do nosso ponto de vista, gostamos de dizer não ‘Botox de recompensas de insetos’. Queremos que você seja bonita por dentro”, diz Moussouris. “Queremos que as organizações não estejam apenas preparadas para corrigir os bugs lançados por cima do muro em um programa de divulgação de vulnerabilidades ou programa de recompensas de bugs, mas que estejam realmente analisando seus principais investimentos em segurança. programas de recompensas como um indicador de saúde de seu programa de segurança geral. Porque se você pensar sobre isso, cada bug é um sintoma de um distúrbio subjacente em seu sistema de segurança.”
Projete recompensas de bugs para bons resultados de segurança
Moussouris diz que a questão é um “problema de sistemas dinâmicos em sua essência”. Na Black Hat, ela planeja explorar recomendações sobre como as equipes de segurança podem projetar seu programa holístico para usar recompensas para que criem os resultados de segurança deliberados que desejam e que possam ser demonstrados de maneira significativa e mensurável.
Em última análise, ela acredita que um programa de recompensas por bugs não deve apenas destacar os frutos mais fáceis que podem ser descobertos a partir de práticas tradicionais de segurança de aplicativos, mas também fornecer incentivos para trazer à tona o complexo, difícil de encontrar e mais difícil de explorar imperfeições.
Melhores programas de recompensas de bugs para caçadores
Moussouris diz que sua palestra também abordará o outro lado do ecossistema de recompensas de insetos – ou seja, o fato de que o sistema também não serve muito bem aos caçadores de recompensas de insetos.
“É como o pior emprego de economia de shows que você poderia conseguir”, explica ela. “Pior do que um trabalho Uber ou Lyft, porque você é pago com cada trabalho que você faz com Uber e Lyft; você não é pago por cada bug que você encontra se você for um caçador de recompensas de bugs. Então, ambos os lados deste mercado foram feitos errados pela comercialização como ela existe atualmente.”
Além disso, ela explorará o que o mundo da segurança precisa fazer para expandir o mercado de trabalho de segurança, incluindo mergulhar profundamente em modelos de aprendizado e construir um pipeline para desenvolver talentos e educação em remediação de vulnerabilidades e resiliência de segurança de aplicativos.
FONTE: DARK READING