Böcek ödül programlarının ilk kez süpernova olmaya başlamasından bu yana yaklaşık on yıl geçti, ancak jüri hala bunların etkinliği konusunda kararsız. Luta Security’nin kurucusu ve CEO’su Katie Moussouris’e göre, ortalama bir kuruluş, hata ödüllerinden anlamlı güvenlik sonuçları elde etmek için mücadele ediyor ve yürütme ile boğuşmaya devam ediyor.
Ödül programları, şu anda sadece büyük teknoloji şirketlerinden çok daha fazlasında popüler olan ödül programları ile kesinlikle her zamankinden daha yaygın. Artan bir dizi kuruluştaki ürün güvenliği ve kurumsal siber güvenlik uzmanları, genellikle büyüyen hata ödüllü platform pazarının kolaylık ve satış makinesinden beslenen bir uygulama güvenliği geri dönüşü olarak hareket etmek için bu tür programlara giderek daha fazla yöneliyor.
Ancak Moussouris, Dark Reading’e verdiği demeçte, birçok kuruluş böcek ödül programlarıyla güçlü bir şekilde başlasa da, “yaklaşık 18 ay ila iki yıl arasında kendi ağırlıkları altında çökmeye başlarlar” diyor.
Bu çöküş tipik olarak, ödül avcıları tarafından gönderilen hataların hacmine ayak uyduramayan bu şirketlerdeki bunalmış, çok çalışan program yöneticilerinin yanı sıra hala güvenlik açıklarıyla dolu ve çoğu zaman en temel güvenlik kusurlarıyla uğraşan yazılımların habercisidir. .
11 Ağustos Perşembe günü Black Hat ABD’de yapılması planlanan bir konuşmada zorlukları tartışacak olan Moussouris, “Size böcek ödüllerinin son on yılda kötü uygulanmış harika bir fikir olduğunu söyleyebilirim” diyor.Hata Ödülü Evrimi: Torununuzun Hata Ödülü Değil“
“Bence, yalnızca hata ödüllerinin nasıl tasarlanıp yürütüldüğü konusunda değil, aynı zamanda bir hata ödülünün çalıştığı ekosistemin bütünsel resminde de bir ton iyileştirme için yer var” dedi.
Büyük sistemik sorunlardan biri, temel siber güvenlik programının uygulamalarının olgunluğuna bakılmaksızın birçok hata ödül programının uygulanmasıdır. Moussouris, bunun varlık görünürlüğü, güvenlik açığı yönetimi, geliştirici eğitimi ve daha fazlası anlamına geldiğini söylüyor. Hata ödülleri, sağlam bir uygulama güvenliği uygulamaları temeli için harika bir ek olsa da, bazı kuruluşlar yanlışlıkla yazılımlarını güvende tutmak için yalnızca ödüllere güvenebileceklerine inanırlar.
“Bizim bakış açımızdan, ‘böcek ödüllü Botoks’ demeyi seviyoruz. Moussouris, içeriden güzel olmanızı istiyoruz” diyor. “Kuruluşların yalnızca bir güvenlik açığı ifşa programında veya hata ödül programında çitin üzerinden atılan hataları düzeltmeye değil, aynı zamanda temel güvenlik yatırımlarına bakmalarını istiyoruz. [They also need to be] genel güvenlik programlarının sağlığının bir göstergesi olarak hata ödül programlarını kullanmak. Çünkü düşünürseniz, her hata, güvenlik sistemlerinde altta yatan bir bozukluğun belirtisidir.”
İyi Güvenlik Sonuçları için Tasarım Hatası Ödülleri
Moussouris, sorunun “özünde sistem dinamiği sorunu” olduğunu söylüyor. Black Hat’ta, güvenlik ekiplerinin, istedikleri ve anlamlı ve ölçülebilir bir şekilde gösterilebilecek kasıtlı güvenlik sonuçlarını yaratabilmeleri için ödülleri kullanmak için bütünsel programlarını nasıl tasarlayabileceklerine dair önerileri araştırmayı planlıyor.
Sonuç olarak, bir hata ödül programının sadece geleneksel uygulama güvenlik uygulamalarından keşfedilebilecek düşük asılı meyveleri vurgulamaması gerektiğine, aynı zamanda karmaşık, bulunması zor ve kullanılması zor olan şeyleri ortaya çıkarmak için teşvikler sağlaması gerektiğine inanıyor. kusurlar.
Avcılar için Daha İyi Hata-Ödül Programları
Moussouris, konuşmasının aynı zamanda böcek ödül ekosisteminin diğer tarafını da ele alacağını söylüyor – yani sistemin böcek ödül avcılarına çok iyi hizmet etmemesi gerçeği.
“Bu, alabileceğiniz en kötü ekonomi işi gibi” diye açıklıyor. “Bir Uber veya Lyft işinden daha kötü, çünkü Uber ve Lyft ile yaptığınız her iş için ödeme alıyorsunuz; eğer bir bug-ödül avcısıysanız, bulduğunuz her bir bug için para almıyorsunuz. Yani bu pazarın her iki tarafı da şu anda var olduğu gibi ticarileştirme tarafından yanlış yapılmıştır.”
Buna ek olarak, derinlemesine bir dalış yapmak da dahil olmak üzere güvenlik işgücü pazarını genişletmek için güvenlik dünyasının ne yapması gerektiğini keşfedecek. çıraklık modelleri ve güvenlik açığı iyileştirme ve uygulama güvenliği esnekliği etrafında yetenek ve eğitim geliştirmek için bir boru hattı oluşturmak.