چگونه استعدادهای برتر پژوهشی را برای برنامه Bug Bounty خود جذب کنیم

از آنجایی که آسیب‌پذیری‌ها همچنان در مرکز قرار می‌گیرند و سازمان‌ها به دنبال راه‌اندازی هستند فضل اشکال و برنامه های تضمین امنیت، رقابت برای محققان خوب شدید است. اما ارزیابی این برنامه ها برای محققان آینده نگر می تواند دشوار باشد. برخی از سوالات رایج عبارتند از: نرخ فعلی آسیب پذیری های رایج چیست؟ تیمی که کار تریاژ گزارش را انجام می دهد چقدر با تجربه است؟ آیا یک تیم امنیتی یا متخصص در مورد آنچه به عنوان آسیب پذیری طبقه بندی می شود تصمیم می گیرد؟

محققان عموماً تردید دارند که یک تیم محصول و توسعه بتواند گزارش اشکال را به‌عنوان آسیب‌پذیری امنیتی طبقه‌بندی کند، زیرا به‌دلیل عدم برخورداری از تخصص امنیتی محسوس است. در عوض، اگر یک تیم امنیتی اختصاصی (مانند ProdSec، AppSec، PSIRT و غیره) در مورد آسیب‌پذیری امنیتی بودن یک گزارش تصمیم بگیرند، تمایل بیشتری به اعتماد به برنامه دارند.

محققان امنیتی همچنین دوست دارند آمار برنامه را بررسی کنند، که اغلب شامل کل پرداخت ها برای سال قبل است. مجموع پرداخت‌های بالاتر اغلب نشان می‌دهد که اشکالات بیشتری وجود دارد، جایی که پرداخت‌های کمتر ممکن است به معنای باگ‌ها و/یا پاداش‌های کمتر باشد. آنها همچنین به میانگین زمان تریاژ یا زمان بین ارسال و تایید یک آسیب پذیری معتبر یا نامعتبر اهمیت می دهند. این می تواند به محققان بگوید که آیا این برنامه با تجربه است و به اندازه کافی پشتیبانی می شود.

زمان بین ارسال و پرداخت، یا زمان متوسط ​​تا جایزه نیز مهم است. باز هم، کوتاهتر بهتر است و اغلب به این معنی است که برنامه مسائل مالی ندارد و برای زمان محقق ارزش قائل است. چرخش های طولانی تر فضل می تواند باعث عدم اطمینان شود.

این هیچ راز که فروشندگان جوایز با شدت کمتر را ترجیح می دهند و پرداخت های کمتر، در حالی که محققین پرداخت های بالاتر را دوست دارند. میانگین پرداخت کمتر ممکن است منجر به این باور شود که آسیب‌پذیری‌ها کم‌اهمیت می‌شوند و مسائل با شدت بالاتر ممکن است توجهی را که شایسته آن‌ها هستند جلب نکنند. پرداخت های بالا ممکن است به محققان نشان دهد که میوه کم آویزان وجود ندارد، که می تواند محققان جدید را از پیوستن به برنامه منصرف کند. همچنین می تواند نشان دهد که سرمایه گذاری زمانی برای یافتن یک آسیب پذیری بسیار زیاد است. اغلب یک میانگین پرداخت متوسط ​​بهترین است.

زمینه دیگری که می تواند محققان را منصرف کند، قانونی بودن گزارش آسیب پذیری است. زمانی که یکی از طرفین احساس ارزشمندی نمی‌کند، رعایت سیاست‌های افشای آسیب‌پذیری هماهنگ می‌تواند دشوار باشد. بندرگاه امن یک وعده است اما می تواند به عنوان یک تهدید نیز ظاهر شود.

بندر امن بند اضافه شده به خط مشی برنامه افشای آسیب پذیری است که بیان می کند که محقق امنیتی نباید از عواقب قانونی بترسد (و حتی ممکن است حفاظت های اضافی) توسط هدف تحقیقات امنیتی خود در صورتی که آن تحقیق با حسن نیت و انجام شود. در همکاری با هدف این منجر به این می‌شود که محققان بخواهند بدانند فروشندگان چگونه با تخلفات برخورد می‌کنند یا وقتی فروشنده از سیاست‌های اعلام‌شده خود پیروی نمی‌کند، چگونه می‌توانند پشتیبانی دریافت کنند. اینها فرآیندهای مهمی هستند که باید تعریف شوند.

محققان در یک برنامه به چه چیزی اهمیت می دهند؟ در تجربه من، شش حوزه اصلی وجود دارد.

سرعت

همانطور که قبلا ذکر شد، سریعتر بهتر است. محققان می‌خواهند تصمیم‌گیری، پاسخ‌ها، افشای آسیب‌پذیری‌ها و پاداش‌ها به سرعت توزیع شود.

بشریت

محققان می خواهند از مردم بشنوند، نه یک شرکت یا وکلای آن. آنها می خواهند مانند یک انسان با آنها رفتار شود و با آنها صحبت شود، نه به عنوان روبات های محقق.

شفافیت و دسترسی

هنگام ارسال گزارش اشکال باید تا حد امکان موانع کمتری وجود داشته باشد. آیا محققان به شناسه مالیاتی، آدرس ایمیل یا نرم افزار رمزگذاری نیاز دارند؟ چگونه یک محقق می تواند به بهترین شکل با یک فروشنده و برنامه تعامل داشته باشد؟ محققان باید روی چه ابزار، نرم افزار، سخت افزار، آموزش سرمایه گذاری کنند؟ و چگونه فروشنده روی جمعیت محقق خود سرمایه گذاری می کند یا خواهد کرد؟ به این سوالات پاسخ دهید و شفاف باشید.

تخصص

محققان قبل از اینکه بتوانند راهی برای شکستن آن یا وادار کردن آن به انجام کارهایی که برای آن طراحی نشده است بیابند، زمانی را صرف یادگیری در مورد یک محصول و نحوه عملکرد آن می کنند. در نتیجه، آنها انتظار دارند افرادی که گزارش های آنها را می خوانند، حداقل همان سطح تخصص را داشته باشند.

دفاع

محققان برای فروشنده کار نمی کنند. این یکی از دلایلی است که آنها از طریق یک برنامه جایزه اشکال ارسال می کنند. آنها نمی توانند در تمام گفتگوها شرکت کنند، بنابراین به یک وکیل در داخل شرکت نیاز دارند.

شناخت / پاداش

برنامه‌های پاداش باگ جهشی از یک برنامه افشای آسیب‌پذیری (VDP) هستند که کاملاً مبتنی بر مفهوم «چیزی ببینید، چیزی بگویید» است، اما به جای انجام دادن آن به سادگی یک انگیزه پاداش ارائه می‌کند، زیرا کار درستی است. . اطمینان از اینکه مشوق های ارائه شده با اهداف محقق مطابقت دارد بسیار مهم است. آیا آنها می خواهند شناخته شوند یا پنهان بمانند؟ آیا آنها پرداخت می خواهند؟ آیا آنها حتی مجاز به دریافت پاداش هستند؟

برای فروشندگان، هنگام جذب محققان با استعداد، موارد زیادی باید در نظر گرفته شود. آمار برنامه را حداقل سالیانه (اگر نه در زمان واقعی) ارائه دهید. ماتریس تصمیم گیری برای پاداش و به رسمیت شناختن را منتشر کنید تا محققان بدانند برای دریافت جایزه برتر چه چیزی لازم است. اسنادی را در دسترس قرار دهید که فرآیندی را که گزارش اشکال پس از خروج از دست محقق انجام می‌دهد، توضیح دهد. توافق نامه های سطح خدمات را برای مراحل کلیدی فرآیند تنظیم کنید و آماری را در مورد اینکه تیم چقدر به آنها پاسخ می دهد منتشر کنید. از زبان انسانی استفاده کنید و درک کنید که همه در این فرآیند اشتباه می کنند، اما به ندرت بدخواه هستند. قبل از قضاوت ابتدا به دنبال درک باشید.

در نهایت، اگر می‌خواهید درباره پاداش‌های باگ بیشتر بدانید، این سازمان‌ها را در نظر بگیرید: انجمن مورد علاقه Bug Bounty, اولو OWSP. همانطور که برنامه‌های پاداش باگ بالغ می‌شوند و انسانی‌تر می‌شوند، فروشندگان و محققان می‌توانند با هم همکاری کنند تا خط‌مشی‌ها و فرآیندهایی را ایجاد کنند که برای همه افراد درگیر پاداش باشد.