Uma visão linear sobre Bug Bounty Program

Líderes deveriam avaliar a viabilidade de aderir a estes programas, pois, além de ajudar e incentivar a comunidade hacker a utilizar seus conhecimentos para proteger a sociedade, ainda podem receber um bom prêmio

Por: Rangel Rodrigues, ⌚ 12/03/2018 às 14h45 - Atualizado em 13/03/2018 às 17h52

O relatório Security Report 2017 da HackerOne apresentou a existência de mais 800 programas de recompensa e compensação para pesquisadores de segurança (white hats) que divulgassem bugs em sistemas de empresas que aderem ao programa. Perto de 50.000 vulnerabilidades de segurança foram resolvidas por clientes em 2017 e 20.000 em 2016 individualmente.

 

Empresas como Facebook, General Motors, StarBucks, Uber, U.S. Department of Defense, Lufhansa, Microsoft, Nitendo, entre outras, já abraçaram a iniciativa e estão recompensando hackers até $900.000 em prêmios e recompensas por ano para Bounty Awards Program. O relatório da HackerOne ressalta que houve um crescimento médio de 41% em 2016 e 16% para críticos issues desde 2015. Apesar do crescimento deste programa ainda 94% das principais companhias listadas da Forbes Global não possuem política (vulnerability disclosure policies) para este tipo de programa.

 

Um dos grandes benefícios de um Bug Bounty Program é a velocidade para identificar uma vulnerabilidade por security experts e ser remediada pela empresa. Vejamos hoje a crescente onda de tecnologia, tais como Internet of Things (IoT), mobile e web application em Cloud, tem sido um desafio para proteger estes ambientes. IoT por exemplo, ao mesmo tempo que traz muitos benefícios pode apresentar um risco para a organização e principalmente no que tange a privacidade das pessoas. Pode ser útil e confortável ter um automóvel conectado à Internet, como também usar um robô para conduzir uma cirurgia de coluna em um hospital, ou manter os eletrodomésticos, luz, chuveiro, caixas, máquinas de suprimentos, sinais de trânsito, conectados a sistemas online, mas uma vez violada pode custar muito caro.

 

Por trás temos a tecnologia blockchain uma ferramenta promissora para ajudar na automatização descentralizada e garantir maior confiabilidade, mas que ainda muitos programadores estão investindo esforços para torná-la mais aplicável e revolucionar o mercado de transações financeiras entre outros.

 

Os dados apontados no relatório revelam que a adoção de um programa de Bug Bounty tem movimentado o mercado de tecnologia considerando, Governo, instituições Financeiras, Indústria, Media e Comunicação estão aderindo ao programa de Bug Bounty para ajudar a proteger seus ativos digitais.

 

O programa Bug Bounty foi reintroduzido pela Netscape em 1995 e depois aderido e aperfeiçoado pelas gigantes Microsoft, Google, Facebook e Mozila. Podemos dizer que white hats estão tendo a chance de ganhar alguns dólares em cima de vulnerabilidade identificadas. Eventos massivos como do ransomware “WannaCry” que afeitou mais de 100 organizações no globo, estimou uma perda de $8 bilhões de dólares e quase a metade das falhas foram causadas por criminosos do mundo virtual de acordo com Ponemon Institute.

 

Enfim, qual é a moral deste artigo com o programa Bug Bounty? Considerando todo histórico e resultados que este tipo de programa tem contribuído para estas organizações creio que um líder de segurança, CSO, CISO, CTO, entre outros líderes deveriam avaliar a viabilidade de aderir a estes programas. Além de ajudar e incentivar a comunidade hacker a utilizar seus conhecimentos para proteger a humanidade e ainda podem receber um bom prêmio.

 

Por um lado ajuda na velocidade para empresa descobrir uma falha e corrigir imediatamente dentro do seu timeline, e conscientiza os white hats a pensar sabiamente que o conhecimento em uma tecnologia pode ser usada para um propósito beneficiário para a sociedade como todo. Em alguns casos os hackers doaram perto de $100.000 ganhos destes programas Bug Bounty para instituições de caridade incluindo os médicos sem fronteiras, a UNICEF, eis um bom exemplo que este tipo de programa tem tendência de crescimento com atos de generosidade.

 

Obviamente muitos executivos ainda são resistentes para este tipo de programa porque ainda soa de forma negativa, pois não aceitam ou ignoram quando um white hat encontra um bug e comunica por meio do canal de comunicação da empresa. Em muitos casos estes reports são ignorados pela companhia e poderiam ser uma excelente oportunidade para melhorar o nível de segurança. Embora ainda seja uma ferramenta pouco utilizada, um líder de segurança deveria pensar como um hacker e saber aproveitar as oportunidades para fazer uma diferença com o C-level, claro que existe um risco, mas grandes vitórias requerem ousadia.

 

Para resumir, procurei elencar abaixo alguns pontos a pensar antes de aderir a um Bug Bounty Program.

 

•    Como líder de segurança, se você domina sobre o assunto, faça um benchmarking com outros líderes de organizações que já aderiam ao programa. Caso necessite de ajuda busque conselheiros como HackerOne.

 

 

•    Mantenha em seu time pelo menos um profissional com competência técnica para conduzir este programa e reavaliar as possíveis vulnerabilidades encontradas. Procure compreender o pesquisar/hacker/security workforce que vai ajudar com a defesa e ataque.

 

 

•    Esteja conectado com o programa de gestão de mudança a fim de agilizar a correção em produção e funcional o processo de gestão de vulnerabilidade.

 

 

•    Defina uma política de divulgação de vulnerabilidades (vulnerability disclosure policies) para este tipo de programa e alinhe todas as regras com os executivos e suportado pelo jurídico e compliance. Tenha pleno controle dos pesquisadores (white hats) que aderirem ao programa, ex: N.D.A e/ou recursos adicionais.

 

 

•    Ter um programa de Bug Bounty não significa que você deve deixar de fazer um Pentest, aliás se sua empresa está sujeita ao PCI-DSS, um scan de vulnerabilidade é requerido trimestralmente de acordo com a regulamentação. Portanto, mantenha parceiras com empresas especializadas e sempre testes suas aplicações críticas.

 

 

•    Utilize guidelines como OWASP para proteger as aplicações web. Treine e conscientize sua equipe de desenvolvedores. Cross-site Scripting (XSS) ainda continua sendo a vulnerabilidade mais explorada em aplicações web exceto para instituições financeiras que foi a Improprer Authentication a mais explorada e no campo de Healthcare, SQL Injection é a grande vilã de acordo com a HackerOne.

 

 

•    Para sistemas e aplicações web, mobile, ou que usam tecnologia IoT e são consideradas críticas: ex: mobile app online banking, aplicativos para automóveis, etc. São boas oportunidades para serem testados por um programa “Bug Bounty” e melhorar a segurança. Empresa como a United Airlines teve uma vulnerabilidade critica encontrada em seu sistema de reserva de passagem por um pesquisador 6 meses antes, mas a empresa levou 5 meses para corrigir a falha que poderia causar uma perda de milhões de dólares.

 

 

•    Entender as ferramentas e técnicas para encontrar vulnerabilidades ajuda a melhorar o nível de segurança. Pense: criar incentivos para ferramentas e técnicas para a descoberta de vulnerabilidade é uma maneira mais eficiente para os defensores drenarem o arsenal ofensivo de acordo com os experts do MIT.

 

 

•    Os prêmios concedidos ao Bug Bounties são uma forma eficaz de ajudar a encontrar vulnerabilidades especialmente em software menos maduro. Vai um argumento para justificar o ROI.

 

 

Enfim, para concluir na minha humilde opinião, todas as organizações podem aprender com o programa de Bug Bounty. Pense na dificuldade de se manter atualizado dentro da sua empresa e muitas vezes não sobra tempo devido aos projetos diários, assim talvez esta seja a hora de colocar em prática a ousadia.

 

 

*Rangel Rodrigues, especialista em Segurança da Informação, CISSP e pós-graduado em Redes e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP. Atuou como Information Security Officer em empresas nacionais e internacionais de grande porte e no momento trabalha para uma multinacional com Information Security.

 



Newsletter

Abian Laginestra
Rangel Rodrigues
Rangel Rodrigues
Rangel Rodrigues

/ VEJA TAMBÉM



/ COMENTÁRIOS