Güvenlik açıkları ön plana çıkmaya devam ederken ve kuruluşlar hata ödülü ve güvenlik güvence programları başlatmaya çalışırken, iyi araştırmacılar için rekabet şiddetlidir. Ancak potansiyel araştırmacıların bu programları değerlendirmesi zor olabilir. Bazı yaygın sorular, yaygın güvenlik açıkları için mevcut oranların ne olduğunu içerir. Rapor triyaj çalışmasını gerçekleştiren ekip ne kadar deneyimli? Neyin güvenlik açığı olarak sınıflandırıldığına ilişkin kararları bir güvenlik ekibi veya uzmanı mı veriyor?
Araştırmacılar, genel olarak, bir ürün ve geliştirme ekibinin, algılanan güvenlik uzmanlığı eksikliği nedeniyle bir hata raporunu bir güvenlik açığı olarak sınıflandırabileceğinden şüphe duyuyor. Bunun yerine, özel bir güvenlik ekibi (ProdSec, AppSec, PSIRT vb. gibi) bir raporun güvenlik açığı olup olmadığına karar verirse, bir programa daha fazla güvenme eğilimindedirler.
Güvenlik araştırmacıları ayrıca, genellikle önceki yıla ait toplam ödemeleri içeren program istatistiklerini incelemeyi sever. Daha yüksek toplam ödemeler genellikle bulunacak daha fazla hata olduğunu gösterir, burada daha düşük ödemeler daha az hata ve/veya ödül anlamına gelebilir. Ayrıca, ortalama triyaj süresini veya geçerli veya geçersiz bir güvenlik açığının sunulması ile kabulü arasındaki süreyi de önemserler. Bu, araştırmacılara programın deneyimli ve yeterince desteklenip desteklenmediğini söyleyebilir.
Gönderim ile ödeme arasındaki süre veya ödüle kadar geçen ortalama süre de önemlidir. Yine, daha kısa daha iyidir ve genellikle programın finansman sorunları olmadığı ve araştırmacının zamanına değer verdiği anlamına gelir. Daha uzun ödül geri dönüşleri belirsizliğe neden olabilir.
Araştırmacıların daha yüksek ödüllerden hoşlanırken, satıcıların daha düşük önemdeki ödülleri ve daha düşük ödemeleri tercih ettiği bir sır değil. Daha düşük bir ödeme ortalaması, güvenlik açıklarının küçümseneceği inancına yol açabilir ve daha yüksek önemdeki sorunlar hak ettikleri ilgiyi görmeyebilir. Yüksek ödemeler, araştırmacılara, yeni araştırmacıları programa katılmaktan caydırabilecek düşük asılı meyve bulunmadığının sinyalini verebilir. Ayrıca, bir güvenlik açığı bulmak için harcanan zamanın çok yüksek olduğuna da işaret edebilir. Genellikle ılımlı bir ödeme ortalaması en iyisidir.
Araştırmacıları caydırabilecek başka bir alan da güvenlik açığı raporlamasının yasallığıdır. Bir taraf kendini değerli hissetmediğinde, koordineli güvenlik açığı açıklama politikalarının izlenmesi zor olabilir. Güvenli Liman bir vaattir ancak bir tehdit olarak da görünebilir.
Güvenli Liman, bir güvenlik açığı ifşa programı politikasına eklenen bir maddedir ve güvenlik araştırmacısının, bu araştırma iyi niyetle yapılırsa ve güvenlik araştırmasının hedefi tarafından yasal sonuçlardan korkması gerekmeyeceğini (ve hatta ekstra koruma sağlanabileceğini) ana hatlarıyla belirtir. hedefle işbirliği içinde. Bu, satıcıların ihlalleri nasıl ele aldıklarını veya bir satıcı kendi belirtilen politikalarına uymadığında nasıl destek alınacağını bilmek isteyen araştırmacılara yol açar. Bunlar tanımlanması gereken önemli süreçlerdir.
Araştırmacılar bir programda neye değer verir? Tecrübelerime göre, altı ana alan var.
Hız
Daha önce de belirtildiği gibi, daha hızlı daha iyidir. Araştırmacılar karar verme, yanıtlar, güvenlik açığı açıklama ve ödüllerin hızla dağıtılmasını istiyor.
İnsanlık
Araştırmacılar bir şirketten veya onun avukatlarından değil, insanlardan haber almak istiyor. Araştırma yapan robotlar gibi değil, insan gibi muamele görmek ve konuşulmak istiyorlar.
Şeffaflık ve Erişilebilirlik
Bir hata raporu gönderirken mümkün olduğunca az engel olmalıdır. Araştırmacıların bir vergi numarasına, e-posta adresine veya şifreleme yazılımına ihtiyacı var mı? Bir araştırmacı bir satıcı ve programla en iyi nasıl etkileşim kurabilir? Araştırmacıların hangi araçlara, yazılıma, donanıma, eğitime yatırım yapması gerekiyor? Ve satıcı, araştırmacı popülasyonuna nasıl yatırım yapıyor veya yapacak? Bu soruları yanıtlayın ve şeffaf olun.
Uzmanlık
Araştırmacılar, bir ürünü ve nasıl çalıştığını öğrenmek için zaman harcarlar, onu kırmanın veya tasarlanmamış şeyleri yapmasının yollarını bulmadan önce. Sonuç olarak, raporlarını okuyan kişilerin en azından aynı düzeyde uzmanlığa sahip olmasını beklerler.
savunuculuk
Araştırmacılar satıcı için çalışmaz; Bu, bir hata ödül programı aracılığıyla göndermelerinin bir nedenidir. Tüm konuşmalara dahil olamazlar, bu yüzden şirket içinde bir avukata ihtiyaçları vardır.
Takdir/Ödüller
Hata ödül programları, tamamen “Bir şey gör, bir şey söyle” kavramına dayanan, ancak sadece doğru olan şey olduğu için bunu yapmak yerine bir ödül teşviki sunan bir güvenlik açığı açıklama programının (VDP) bir mutasyonudur. . Sunulan teşviklerin araştırmacının amaçlarına uygun olmasını sağlamak çok önemlidir. Tanınmak mı yoksa gizli kalmak mı istiyorlar? Ödeme istiyorlar mı? Ödül almalarına bile izin veriliyor mu?
Satıcılar için yetenekli araştırmacıları çekerken dikkate alınması gereken çok şey var. Program istatistiklerini en az yılda bir kez sunun (gerçek zamanlı değilse). Ödüller ve tanınma için karar matrisini yayınlayın, böylece araştırmacılar en yüksek ödülü almak için ne gerektiğini bilir. Bir hata raporunun araştırmacının elinden çıktığı andan itibaren geçirdiği süreci açıklayan belgeleri hazır bulundurun. Süreçteki önemli adımlar için hizmet düzeyi anlaşmaları belirleyin ve ekibin bunları ne kadar iyi karşıladığıyla ilgili istatistikleri yayınlayın. İnsan dilini kullanın ve bu süreçte herkesin hata yaptığını anlayın, ancak bunlar nadiren kötü niyetlidir. Yargılamadan önce anlamaya çalışın.
Son olarak, hata ödülleri hakkında daha fazla bilgi edinmek istiyorsanız şu kuruluşları göz önünde bulundurun: Bug Bounty İlgi Alanı Topluluğu, İLKve OWSP. Hata ödül programları olgunlaştıkça ve daha insancıllaştıkça, satıcılar ve araştırmacılar, dahil olan herkes için ödüllendirici politikalar ve süreçler oluşturmak için birlikte çalışabilirler.