Aşağıdaki makale size yardımcı olacaktır: Hata Ödül Programı nedir? Çalışıyor ve Faydaları
Bu blogda ele alacağımız konulardan bazıları şunlardır:
Hata Ödül Programı nedir?
Güvenlik açığı ödül programı (VRP) olarak da bilinen bir hata ödül programı, yazılım hatalarını ortaya çıkaran ve bildiren kişilere ödüller sunar. Güvenlik açığı yönetimi stratejisinin bir parçası olarak, bu kitle kaynak kullanımı girişimleri genellikle şirketler tarafından sızma testlerini ve dahili kod denetimlerini desteklemek için kullanılır.
Wix tarafından hazırlanan bu Siber Güvenlik Eğitimini izleyin.
Hata ödül programları, bağımsız güvenlik uzmanlarına ödül veya tazminat karşılığında hataları bir şirkete bildirme yetkisi verir. Bu hatalar, güvenlik açıklarını, güvenlik açıklarını, işlem sorunlarını, donanım kusurlarını vb. içerebilir.
Tespit edilen hataların raporları genellikle bağımsız üçüncü şahıslar tarafından yürütülen programlar aracılığıyla yapılır. Bu tür programlar öncelikle bir şirketin gereksinimlerine göre derlenir.
Program, herkesin kaydolabileceği yerlerde halka açık olabilir; ayrıca gizlilik amacıyla özel veya yalnızca davetli olabilirler. Program, belirli bir süre boyunca veya genellikle bitiş tarihi olmadan gerçekleşebilir.
Bug Bounty Programlarını Kimler Kullanır?
Apple, Android, AOL, Digital Ocean gibi büyük şirketler, Goldman Sachsvb., güvenlik programlarının bir parçası olarak bug bounty programlarını kullanır. HackerOne ve Bugcrowd gibi bug bounty sağlayıcıları tarafından sunulan tüm programların bir listesi web sitelerinde görüntülenebilir.
Şirketler Neden Bug Bounty Programlarını Kullanıyor?
Hata ödül programları, şirketlerin kodlarındaki hataları ortaya çıkarabilen bilgisayar korsanlarından yararlanarak şirketlere fayda sağlar. Bu programların daha fazla sayıda bilgisayar korsanına veya test ediciye erişimi vardır, böylece kötü niyetli bilgisayar korsanları bunları kullanmaya çalışmadan önce hataları bulma şansını artırır.
Şirketler için iyi bir halkla ilişkiler seçeneği olarak hizmet edebilir. Bu programlar ayrıca halka ve düzenleyicilere bir şirketin olgun bir güvenlik programına sahip olduğunun bir göstergesi olarak hizmet edebilir.
Tüm şirketler tarafından yatırım yapılması gereken bir endüstri standardı olarak kabul edildiklerinden, bu programların popülaritesi muhtemelen devam edecektir.
Araştırmacılar ve Bilgisayar Korsanları Neden Bug Bounty Programlarına Katılır?
Programlar, hataları bulan ve bildirenlere hem nakit ikramiye hem de takdir sunduğundan, bazıları için tam zamanlı bir gelir elde etmek, bir işi desteklemek için gelir elde etmek veya iş arayanlar için gerçek dünya deneyimini sergilemek için harika bir fırsattır. Çok yakın bir zamanda, Google’ın hata ödül programı, Android’de 232 güvenlik açığı keşfettiği için Indore tabanlı bir teknisyene yaklaşık 6,5 milyon ₹ ödedi.
Bazen bu programlar, katılanların bir şirketin güvenlik ekibinin üyeleriyle bağlantı kurmasına yardımcı olabilir. Bazıları eğlenceli de olabildikleri için bu programlara katılmayı sever! Kişinin becerilerini büyük şirketlere ve devlet kurumlarına karşı test etmesi için harika ve tabii ki yasal bir şans.
Bug Bounty Programlarının Faydaları
Bug bounty programları, test edilen şirkete sunduğu çeşitli avantajlar nedeniyle kamu ve özel sektörde giderek daha fazla öne çıkıyor.
Artan Güvenlik Açığı Tespiti
Bir bug bounty programının en önemli yararı, onu barındıran şirketin uygulamalarında bulunan ve düzeltilen bir dizi güvenlik açığına sahip olabilmesi ve böylece siber suçluların istismarını önleyerek önemli zararları önleyebilmesidir.
Program, güvenlik açıklarını bulma olasılığını artırır, şirketin itibarını korumaya yardımcı olur ve yüksek değerli saldırıları azaltır.
Düşük Maliyet
Hata ödül programları, çeşitli şekillerde önemli maliyet tasarrufları sağlar. İlk olarak, bir güvenlik açığı hakkında bilgi edinmek için bir ödül ödemek, aynı güvenlik açığı nedeniyle bir siber güvenlik olayını düzeltmeye çalışmaktan çok daha az maliyetlidir. Ödül değerleri değişebilirken, en pahalı ödüller bile genellikle veri ihlallerinden önemli ölçüde daha ucuzdur.
Şirketler böcek ödül avcılarına yalnızca bir şey bulurlarsa ödeme yapmak zorunda olduklarından, böcek ödül programları, herhangi bir şey bulsalar da bulmasalar da saat başına ödeme yapmaları gerektiğinden, yükleniciler aracılığıyla aynı düzeyde güvenlik testi için ödeme yapmaktan nihayetinde çok daha ucuzdur. .
Daha Geniş Bir Yetenek Grubuna Erişim
Bug bounty programları, bir şirkete daha geniş bir yetenek havuzu sağlar, aksi halde kurum içinde olması neredeyse imkansız olabilir. Programın katılımcılarının kendi alanlarında oldukça yetenekli ve uzman oldukları düşünüldüğünde, bordroda çok pahalıya mal olacaklardır. Bir şirket, geleneksel bir güvenlik açığı taraması veya sızma testinden çok, bir hata ödül programı aracılığıyla çok çeşitli becerilere sahip daha büyük bir hata avcısı grubunun yardımıyla güvenlik açığı testi gerçekleştirebilir.
Gerçekçi Tehdit Simülasyonu
Bir şirket esasen kötü niyetli saldırganlar tarafından ilk saldırıya uğrama olasılığı en yüksek olan güvenlik açıklarını bulup düzeltmeyi tercih eder. Ancak, sızma testlerinde ve güvenlik açığı değerlendirmelerinde bu alıştırmaların gerçekçiliği, bir dizi farklı faktör nedeniyle zorlayıcı olabilir.
Hata ödül programları için şirketler, böcek avcılarına siber suçlu gibi davranmaları için ödeme yapar. Bu hata avcıları, bir şirket hakkında bilgisayar korsanlarının sahip olabileceği bilgi düzeyiyle aynı bilgiye sahiptir, bu da güvenlik açığı değerlendirmelerini yapılandırılmış taahhütlerden daha gerçekçi kılar.
Bug Bounty Programlarının Dezavantajları
Düşük Başarı ve Gelir Olasılığı
Bug bounty programlarına çok sayıda bilgisayar korsanı katıldığı için, ödülü talep eden ilk kişi olmak ve platformda önemli miktarda para kazanmak çok zor olabilir. Pratik olarak, bir bilgisayar korsanı haftalarca bir hatayı istismar etmek için avlayarak harcayabilir, ancak sonunda onu rapor eden ve bundan hiç para kazanmayan ikinci kişi olabilir.
Bug bounty platformlarındaki katılımcıların büyük bir yüzdesinin hiç bug satmadığı kaydedildi. Ayrıca, HackerOne tarafından hazırlanan 2019 raporu, 300.000’den fazla kayıtlı kullanıcıdan yalnızca yaklaşık yüzde 2,5’inin platformda geçirdikleri süre boyunca bir ödül aldığını belirtti.
Açıkçası, bilgisayar korsanlarının çoğu bu platformlarda büyük paralar kazanmıyor ve yalnızca çok azı tam zamanlı bir maaşın yerini alacak kadar kazanıyor.
Başarı ve İyileştirme Vakaları
Bu programlar, yalnızca bir şirketin kendi başına çözemeyeceği sorunları bulmasıyla sonuçlandığı sürece faydalıdır. Sorunlar bulunsa bile, şirketin bu sorunları çözmek için çözümler bulması gerekir.
Bir şirket belirlenen sorunları ve hataları hızlı bir şekilde düzeltemiyorsa, bir hata ödül programı muhtemelen şirket için doğru seçim değildir.
Çok Sayıda Yararsız Uyarı
Hata ödül programları genellikle çok sayıda başvuru çeker ve bunların çoğu yüksek standartta olmayabilir. Bu nedenle, bir şirketin büyük hacimli uyarıları ve her yararlı rapor için pek çok yararsız raporu alma olasılığını kaldıracak donanıma sahip olması gerekir.
Daha Az veya Yanlış Yetenekleri Çekmek
Bir program yeterli katılımcıyı çekemezse veya yanlış beceri setlerinin katılımını görürse, program büyük olasılıkla başarısız olur.
İşletim Sistemi Güvenlik Açıklarına Daha Az Odaklanma
HackerOne’a göre, bug bounty katılımcılarının yüzde 72’si web sitesi güvenlik açıklarına odaklanırken, katılımcıların yalnızca yüzde 3,5’i işletim sistemi (OS) güvenlik açıklarına odaklanıyor. Bunun nedeni, ağ donanımı ve bellek gibi işletim sistemlerini hacklemenin üst düzey uzmanlık ve uzmanlık gerektirmesi olabilir. Bu nedenle, özel uzmanlık gerektirebilecek uygulamalardan değil, yalnızca web sitelerindeki hata ödülleri için önemli bir yatırım getirisi (YG) vardır.
Zaman Sınırı Sorunları
Acilen bir uygulamayı veya web sitesini belirli bir zaman dilimi içinde hatalara karşı kontrol ettirmesi gereken şirketler, raporları ne zaman alacaklarına veya alıp almayacaklarına dair bir garanti olmadığından, bir hata ödülüne güvenmeyi akıllıca bulmayabilir.
Halkın İtibarı Tehlikede
Bağımsız araştırmacıların bir şirketin ağına sızma girişiminde bulunmasına izin vermek, hataların kamuya ifşa edilmesiyle sonuçlanabilir. Bu sadece şirketin toplum nezdindeki itibarına zarar vermekle kalmayacak, aynı zamanda satışları da düşürecektir. Ayrıca kötü niyetli üçüncü tarafların bu bilgileri şirketi hedef almak için kullanmasına neden olacaktır.
Bug Bounty Programı Her Şirkete Uygun mu?
Bu blogda daha önce tartışıldığı gibi, hata ödül programlarının bir şirkete mutlaka fayda sağlamayabileceği belirli senaryolar vardır; bu nedenle, bu programlar tüm şirketler için uygun değildir. Bu programın etkili olabilmesi için bir şirketin öncelikle güvenlik programında belirli bir olgunluğa ulaşması gerekiyor.
Bir şirketin, tanımlanmış tüm güvenlik açıklarını düzeltip düzeltemeyeceğini bilmesi çok önemlidir. Aynısı makul bir süre içinde gerçekleştirilemezse, bir hata ödül programı muhtemelen şirket için uygun değildir.
Bir şirket temel yama yönetiminde zorluk çekiyorsa veya tanımlanmış diğer birçok sorunu çözmek için mücadele ediyorsa, raporların hacmi şirkete ekstra bir yük ekleyeceğinden, bir hata ödül programı uygulamak iyi bir fikir değildir.
Belirlenen güvenlik sorunlarının birikmiş listesi yoksa, tanımlanan güvenlik sorunlarının ele alınması için iyileştirme süreçleri mevcutsa ve ek raporlar inceleniyorsa, program bir şirkete fayda sağlayacaktır. Bir şirket hatalarından ders almazsa, şirket aynı hataları tekrar tekrar yapmaya devam edeceğinden ve bu da aynı güvenlik açıklarına tekrar tekrar neden olacağından, hata ödülleri hızla toplanabilir.
Bir şirket için uygun olmayabilmesinin bir başka nedeni de, programı değerli kılacak kadar uzmanı çekmeyebilecek ağ donanımı veya işletim sistemleri gibi oldukça özel hedeflere sahip olabilmesidir.
Son olarak, farklı şirketler için hata raporları göndermek için sunulan ödül veya prestij, yüksek vasıflı katılımcıların sayısını büyük ölçüde etkiler. Örneğin, Apple veya Google gibi şirketler için bir hatayı bildirmek, daha az bilinen bir şirket için bir hata bulmaktan daha fazla ağırlık veya değer taşıyabilir.
Bug Bounty Programlarına Alternatifler
Güvenliği sağlamak için programa gitmemeyi seçen veya göze alamayan şirketler için alternatifler şunlardır:
- Şirketler, araştırmacıların tespit edilmiş olabilecek herhangi bir güvenlik açığı hakkında kendilerine ulaşmaları için güvenli bir kanal sağlayan bir güvenlik açığı ifşa programına sahip olabilir. Bu durumda araştırmacılara mutlaka ödeme yapılması gerekmez.
- Raporun ciddiyetini tam olarak anlayamayabilecek iletişim ekibi yerine güvenlik ekibine isteklerin anında filtrelenmesi için tanımlanmış bir irtibat noktasının tanıtılması önemlidir. Bu aynı zamanda araştırmacıları güvenlik açıklarını bulduklarında bildirmeye teşvik eder.
- Temas noktası, alım, hafifletme ve iyileştirme önlemlerini uygun şekilde ele alabilecek bir çerçeve içermelidir.
- Şirketler ayrıca belirli sistemlerin veya uygulamaların zaman sınırlı testini gerçekleştirmesi için bir penetrasyon testi firması kiralayabilir. Kalem test ediciler daha sonra testin sonunda bir rapor hazırlayacaktır. Şirket, bilinen bir fiyata güvenilir bilgisayar korsanlarından oluşan oldukça yetenekli bir ekibe erişebilir. Şirket ayrıca gerekirse herhangi bir özel uzmanlık talep edebilir ve halka açık bir etkinlik yerine özel bir test yapılmasını sağlayabilir.
- Şirketler, son derece hassas dahili uygulamaların test edilmesi durumunda test uzmanlarına gizlilik anlaşmaları imzalatabilir.
Bu alternatiflerin genellikle tek bir etkinlik olduğunu ve devam eden bir ödül olmadığını unutmamak önemlidir. Sızma testi yapanlara, ödüllerin yalnızca bir hata başarıyla bildirildiğinde ödendiği bir hata ödülünden farklı olarak, herhangi bir güvenlik açığı bulsalar da bulmasalar da ödeme yapılmalıdır.
Çözüm
Hata ödül programları ve etik korsanlar hataları bulmak için çok etkili olabilse de, bu tür programların da tartışmalı olduğu kabul edilmiştir. Bu tür programların olası risklerini sınırlamak için bazı şirketler özel veya yalnızca davetlilerin katılabildiği programlar sunar.
