Por qué los programas Bug-Bounty están fallando a todos



Ha pasado aproximadamente una década desde que el entusiasmo por los programas de recompensas por errores comenzó a convertirse en una supernova, pero aún no se sabe con certeza si son efectivos. Según Katie Moussouris, fundadora y directora ejecutiva de Luta Security, la organización promedio se esfuerza por obtener resultados de seguridad significativos a partir de las recompensas por errores y continúa luchando con la ejecución.

Los programas de recompensas por errores son sin duda más comunes que nunca, y ahora las recompensas son populares en mucho más que solo las compañías tecnológicas de renombre. Los profesionales de seguridad de productos y ciberseguridad empresarial en una gama cada vez mayor de organizaciones recurren cada vez más a dichos programas para que actúen como un respaldo de seguridad de aplicaciones, a menudo impulsados ​​por la conveniencia y la máquina de ventas del creciente mercado de plataformas de recompensas por errores.

Pero si bien muchas organizaciones pueden comenzar con fuerza con sus programas de recompensas por errores, «alrededor de los 18 meses a los dos años, comienzan a colapsar por su propio peso», dice Moussouris a Dim Studying.

Este colapso generalmente es anunciado por gerentes de programas abrumados y con exceso de trabajo en estas empresas que no pueden mantenerse al día con el volumen de errores enviados por los cazarrecompensas, así como el computer software que aún está plagado de vulnerabilidades y, a menudo, plagado de las fallas de seguridad más básicas. .

«Puedo decirles que las recompensas por errores han sido una gran idea mal ejecutada durante la última década», dice Moussouris, quien discutirá los desafíos en una charla programada para el jueves 11 de agosto en Black Hat United states, «Evolución de Bug Bounty: No es la Bug Bounty de tu nieto

«Creo que hay mucho espacio para mejorar, no solo en cómo se diseñan y ejecutan las recompensas por errores, sino también en la imagen holística del ecosistema en el que opera una recompensa por errores», dijo.

Uno de los grandes problemas sistémicos es el hecho de que muchos programas de recompensas por errores se implementan independientemente de la madurez de las prácticas subyacentes del programa de ciberseguridad. Eso significa visibilidad de activos, gestión de vulnerabilidades, capacitación de desarrolladores y más, dice Moussouris. Si bien las recompensas por errores pueden ser un gran complemento para una base sólida de prácticas de seguridad de aplicaciones, algunas organizaciones creen erróneamente que pueden confiar únicamente en las recompensas para mantener su program seguro.

“Desde nuestra perspectiva, nos gusta decir que no hay ‘Botox que recompensa los errores’. Queremos que seas bonita por dentro», dice Moussouris. “Queremos que las organizaciones no solo estén preparadas para corregir los errores arrojados sobre la cerca en un programa de divulgación de vulnerabilidades o un programa de recompensas por errores, sino que realmente estén analizando sus inversiones principales en seguridad. [They also need to be] usar programas de recompensas por errores como un indicador de la salud de su programa de seguridad standard. Porque si lo piensas bien, cada error es un síntoma de un trastorno subyacente en su sistema de seguridad».

Diseñe recompensas por errores para obtener buenos resultados de seguridad

Moussouris dice que el problema es un «problema de dinámica de sistemas en su núcleo». En Black Hat, planea explorar recomendaciones sobre cómo los equipos de seguridad pueden diseñar su programa holístico para utilizar las recompensas de modo que puedan crear los resultados de seguridad deliberados que desean y que puedan demostrarse de manera significativa y medible.

En última instancia, ella cree que un programa de recompensas por errores no solo debe resaltar la fruta al alcance de la mano que se puede descubrir a partir de las prácticas tradicionales de seguridad de aplicaciones, sino también proporcionar incentivos para sacar a la superficie lo complejo, lo difícil de encontrar y lo más difícil de explotar. defectos.

Mejores programas de Bug-Bounty para cazadores

Moussouris dice que su charla también abordará la otra cara del ecosistema de recompensas por errores, es decir, el hecho de que el sistema tampoco sirve muy bien a los cazadores de recompensas por errores.

«Es como el peor trabajo de economía de concierto que podrías conseguir», explica. «Peor que un trabajo de Uber o Lyft, porque te pagan con cada concierto que tomas con Uber y Lyft no te pagan por cada mistake que encuentras si eres un cazador de recompensas por errores. Así que ambos lados de este mercado se han hecho mal por la comercialización tal como existe actualmente».

Además de eso, explorará lo que el mundo de la seguridad debe hacer para expandir el mercado de trabajo de seguridad, incluida una inmersión profunda en modelos de aprendizaje y construir un canal para desarrollar talento y educación en torno a la remediación de vulnerabilidades y la resiliencia de la seguridad de las aplicaciones.



Enlace a la noticia first