HU

EN

Bejelentkezés
Bejelentkezés

Bug bounty, mint őrszem a céged szolgálatában

Hallottál már a bug bounty programról? 

A bug bounty egy olyan szolgáltatás, amely során etikus hackerek tesztelik rendszereidet, hogy megtalálják az esetleges biztonsági sérülékenységeket.

A külföldi országokban, főleg Nyugaton kifejezetten elterjedt ez a megoldás. Egyre többen veszik igénybe ezt a fajta szolgáltatást, a legnagyobbakkal az élen: Facebook, Google, Apple, Snapchat, Yahoo, Intel, Dropbox, Paypal és még sokan mások. 

Magyarországon ez egyelőre gyerek cipőben jár, a legtöbb cég még csak most ismerkedik ezzel a lehetőséggel. A HACKTIFY Magyarország, valamint a régió első Bug Bounty és sérülékenység közzétételi platformja, ami összeköti a cégeket az etikus hackerekkel.

Mikor kezdődött a bug bounty?

A bug bounty története egészen 1983-ig nyúlik vissza, mikor is a Hunter & Ready cég felajánlott egy Volkswagen Beetle autót annak, aki hibát talál a Versatile Real-Time Executive operációs rendszerében.

Pár évvel később 1995-ben a Netscape indította el az első technológiai hibavadász programot a Netscape Navigator 2.0 Béta verziójára. Az ötletgazda James Ridlinghafer volt, aki észrevette, hogy a cégnél többen is rajongtak a böngészőért és jóindulatból kijavították a program hibáit. Amikor elindították a bug bounty programot, pénzt ajánlottak azoknak, akik képesek voltak hibákat találni a 2.0 verzióban.

Őket követték 2002-2005 között az első exploit szolgáltatók (iDefense, Zero Day Initiative) és a Mozilla, majd 2010-11-ben a Google és a Facebook saját Bug Bounty programot indított.

2011-ben elindult az első Bug Bounty platform az Amerikai Egyesült államokban,  ugyanis a cégek rájöttek a hibavadász programok előnyeire. Mivel nagy humánerőforrást követelt tőlük a bejövő riportok validálása, nyomonkövetése saját erőforrásból, így egyszerűbb és kifizetődőbb volt kiszervezni ezt a tevékenységet.

2020-ban létrejött a HACKTIFY platform, ami a magyar cégek számára is elhozta a bug bounty lehetőségét.

Hogyan zajlik egy bug bounty program?

1. Program meghatározása

A megkeresés után egy online meeting keretein belül megbeszéljük a cég tulajdonosával,ügyvezetőjével vagy IT vezetőjével, hogy melyik program lenne számára a legmegfelelőbb: publikus, privát vagy helyszíni program.

Publikus program: Nyitott program, a Hacktify oldalon regisztrált összes hacker láthatja ezeknek a programoknak a részleteit, jelentkezhet, és elkezdhet sérülékenységet keresni.

Mikor válaszd?

  • ha céged szolgáltatásai már élő rendszerek az interneten
  • ha szeretnéd, hogy ne csak 1-2 hacker tesztelje a rendszered, hanem egy egész közösség
  • ha kevesebb pénzt szeretnél ráfordítani

Privát program: Csak a céged által kiválasztott etikus hackerek kapnak meghívást, akiket a ranglistán lévő információbiztonsági szakemberek közül választhatsz ki. A privát programnál magasabb jutalékot ígérhetsz a sérülékenységekért.

Mikor válaszd?

  • ha limitálni szeretnéd a résztvevők számát és csak a legjobb szakemberekkel dolgoznál együtt
  • ha magasabb jutalékot ajánlanál ezért a prémium programért
  • ha először ki szeretnéd próbálni a folyamatot és kevesebb számú hacker közreműködésében kisebb kockázatot látsz
  • ha egy új terméket szeretnél teszteltetni a megjelenés előtt határozott idejű szerződéssel.

A HackerOne 2019-es tanulmánya alapján a cégek 21%-a választja a publikus programot és 79% a privát programot.

Helyszíni program: Ez a legdiszkrétebb program típusunk, mely során az általad kiválasztott etikus hackerekkel dolgozhatsz együtt a saját céges környezetedben. A hibák felderítése a helyszínen történik, ezért azonnal nekiállhatsz a javításuknak.

Mikor válaszd?

  • ha a legnagyobb diszkrécióra törekszel
  • ha a még nem piacon lévő termékeidet is teszteltetnéd
  • ha egy gyors és rövidtávú programot szeretnél magas pénzjutalmakkal 
  • ha a saját laborodban szeretnéd a tesztelést végrehajtani

A program kiválasztása után a részleteket beszéljük meg: melyik szolgáltatást szeretnéd tesztelni, milyen sérülékenységre vagy kíváncsi, van-e olyan rész, ami out of scope (tehát a hackerek számára tiltott rész), mekkora pénzügyi jutalom jár a hibákért stb.

2. Szerződéskötés

Ha az IT csapatoddal megbeszélted a részleteket és elfogadod a feltételeket, akkor megkötjük a szerződést, ezután pedig megnyitjuk a programot. Publikus program esetén a hackerek értesítést kapnak az új lehetőségről. Privát és helyszíni program esetén az etikus hackerek kiválasztása után a meghívókat küldjük ki számukra.

3. Hibavadászat

Kezdődhet a hibavadászat! Az etikus hackerek nekiállnak tesztelni a céged által kért rendszereket.

4. Riport ellenőrzése

Ha az etikus hacker sérülékenységet talál, kitölti a riportot és továbbítja nekünk. Mi ellenőrizzük, hogy megfelel-e a szabályoknak, valamint, hogy ez a hiba be volt-e már jelentve. Ha megfelelőnek találjuk a riportot, továbbítjuk a tulajdonosnak, ő pedig a hiba ellenőrzése után értesítést küld annak elfogadásáról.

A bountyk esetén megtalált sérülékenységek legnagyobb része (41%) átlagos hiba, ugyanakkor fontos megemlíteni, hogy a negyede (25%) súlyos vagy kritikus hiba, amely nagy veszélyt jelent a vállalatokra nézve. (HackerOne)

5. Jutalom kifizetése

Ezt a lépést követi a jutalom kifizetése. A talált bug-okra járó jutalom kifizetésre kerül a bejelentőnek. A jutalom mellett pontokat is gyűjthetnek, melyek hozzáadódnak a hackerek profiljához. Ezzel feljebb juthatnak a ranglistán és részvételt szerezhetnek a privát programokban. A pontozási rendszer alapján látható, hogy társaihoz képest mennyire kiemelkedő egy adott hacker.

Honnan tudhatom, hogy megbízhatok a hackerekben és nem adják tovább az adataimat?

Többféle hacker típust különböztethetünk meg. Léteznek fekete kalapos hackerek, szürke kalapos hackerek és fehér kalapos hackerek is. Mi a fehér kalapos vagy más néven etikus hackerekkel dolgozunk együtt, akik kiváló informatikai szakemberek. Tudásukat arra használják fel, hogy megbízás alapján, a szabályokat betartva sérülékenységeket keressenek egy adott rendszerben.

A regisztráció során a hackerek elfogadják a tesztelésre vonatkozó szabályokat, használati feltételeket és ezek alapján végzik munkájukat. A tesztelés során titoktartási kötelezettség köti őket (ezt szerződés formájában is rögzítjük), így nem hozhatnak nyilvánosságra semmilyen információt. A sérülékenységek csak az engedélyezett személyek számára hozzáférhetőek.

Bug bountyval felvértezve

Bug bounty programra mindenkinek szüksége lehet. Feltörések, támadások mindig érhetik a céget, ezért jobb megelőzni az ilyen problémákat. A mai digitális világban szükségünk van egy olyan eszközre, amivel biztosítani tudjuk szolgáltatásunk biztonságát.

A bug bounty programok legnagyobb része az internetes és online szolgáltatások, az informatikai szoftverek, valamint a pénzügyi és a média szolgáltatások esetén fordulnak elő. (HackerOne)

A bug bounty programmal cégedet biztonságban érezheted, tisztában lehetsz a hiányosságaival és tudhatod, hogy mindent megtettél annak érdekében, hogy elkerüld a támadásokat. Ahogy a digitalizáció fejlődik, egyre több sérülékenység jelenik meg, ezért szükségszerű a folyamatos ellenőrzés.

Gondolhatjuk, hogy kis cég létünkre minket elkerülnek a támadások, de ebben sohasem lehetünk biztosak. A hackerek nem tesznek különbséget kis és nagy cég között, nem csak a nagy vállalatokat veszik célba. 

Amennyiben erősen korlátozottak a pénzügyi forrásaink, akkor is indíthatunk bug bounty programot, hiszen a cég szabhatja meg, hogy mekkora összeget tud ráfordítani. A hibakeresés addig folytatódik, míg az etikus hackerek el nem érik ezt a keretet. Emellett pedig csak akkor kell fizetni, ha a hackerek sérülékenységet találnak. Ha nem találnak semmit, a vizsgálat ingyen volt. Egy ilyen program csak előnyére válhat a cégnek, hiszen egy sikeres program után az ügyfeleik is nagyobb biztonságban érezhetik az adataikat.

Az elmúlt évek példáiból tanulva legyünk előrelátók és amennyire csak tudjuk, akadályozzuk meg a lehetséges támadásokat azáltal, hogy elvégezzük a frissítéseket, mentünk, titkosítunk, kontroll alatt tartjuk sérülékenységeinket, hiszen a bírság összege sokkal nagyobb lesz, mint amennyit a biztonságra kellene fordítani.

Vedd fel a harcot a rossz oldalon álló hackerekkel szemben és tartozz te is a nagyok közé! 

Keress minket bizalommal, és megtaláljuk a legjobb megoldást céged számára!

Megosztás

Tartalomjegyzék

Legfrisebb cikkeink

Készen állsz?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco la

Kapcsolatfelvétel Cégeknek
CSatlakozz hackerként

Közép- és Kelet-Európa bug bounty platformja, hogy rendszered védve legyen a támadásoktól! 

Cégeknek

Hackereknek

Információ

Hírlevél

  • Iratkozz fel hírlevelünkre, hogy elsőként értesülhess aktuális programjainkról és híreinkről.
Hírlevél - footer
We are
Facebook-f Instagram Linkedin Youtube

© 2024 Hacktify International Kft.