Il Bug Bounty Program mira a risolvere i più seri problemi di sicurezza, ma può nascondere insidie e sfide: ecco come sfruttarlo al massimo
Un Bug Bounty Program è un'iniziativa avviata da un'azienda per coinvolgere hacker etici nella ricerca di bug, vulnerabilità ed exploit. Il vantaggio principale che offre è di estendere la ricerca di problemi a una massa eterogenea di professionisti, stimolati da ricompense che li portano a dare sempre il meglio di sé.
Tuttavia, per sua natura, un Bug Bounty Program richiede competenza e dedizione per essere organizzato al meglio, tanto che spesso le aziende di dimensioni più piccole preferiscono affidare la sicurezza a metodi più tradizionali. In questo articolo mostriamo come, con l'aiuto di un partner fidato, il Bug Bounty Program può rivelarsi uno strumento efficace ed efficiente per qualsiasi realtà aziendale
Fonte: Gogetsecure
In UNGUESS, fin dal principio, ci siamo posti il problema di come una qualsiasi azienda possa sviluppare un Bug Bounty Program di qualità e che potesse attirare alcuni dei migliori hacker etici, pur non avendo strutture e disponibilità paragonabili a quelli di colossi come Google, Meta o Microsoft. Per farlo, siamo partiti considerando le criticità di un Bug Bounty Program.
Al contrario di ciò che dipinge l’immaginario collettivo, un Bug Bounty Program non è una generica chiamata alle armi tramite un post nel sito aziendale o nei social. Si tratta, al contrario, di un’attività molto complessa sia in termini di avvio che di gestione. E se questo vale per aziende già addentro al mondo della sicurezza informatica, figurarsi per quelle che sono un po’ a digiuno dell’argomento. Perché organizzare un Bug Bounty Program richiede di conoscere i precetti della sicurezza informatica aziendale, ma anche le basi etiche e tecniche in gioco nel bug hunting.
Senza contare che si deve sapere dove cercare e come scegliere i migliori hacker etici, come impostare il piano di ricompense e tanto altro ancora. Un lavoro immane, che richiede tempo e risorse e che, se non fatto come si deve, può tradursi in un boomerang clamoroso. Magari perché non si ottengono i risultati sperati, o perché la caccia matta e disperata di professionisti porta a condividere informazioni sensibili con attori sconosciuti. E anche se le fasi di avvio del Bug Bounty Program sono organizzate al meglio, si rischia che l’esecuzione si tramuti in un mezzo disastro.
Ci riferiamo al caso nel quale la foga di organizzare un Bug Bounty Program in grande porti a una grande massa di hacker etici che si muove incontrollata per la rete aziendale. Succede quando il Bug Bounty Program manca di coordinamento e gestione continua delle risorse in gioco. In questo caso, il risultato può portare a numerosi problemi.
Per esempio la saturazione della rete, quando non si riscontrino molteplici tentativi di exploiting per via di un regolamento poco chiaro o una scarsa profilazione delle figure professionali coinvolte nel progetto. Così facendo i team interni di sicurezza, che si occupano della gestione della rete, sono inondati di segnalazioni difficili da filtrare e verificare con il giusto tempismo.
I risultati possono essere catastrofici, poiché tra le attività afferenti al Bug Bounty Program se ne possono celare alcune di effettivamente malevole, portate avanti da veri criminali informatici, che potrebbero così approfittare della confusione del momento, a fronte di sistemi di monitoraggio inadeguati. È così che si corre il rischio, reale, di Bug Bounty Program che si tramutano in esperienze drammatiche che non portano a risultati tangibili e che, al contrario, possono essere fonte di grossi problemi di efficienza e business continuity per l’azienda.
C’è poi il problema della fiducia. Un Bug Bounty Program gestito in modo approssimativo può tradursi in migliaia di hacker etici al lavoro sulla rete, tra i quali potrebbero celarsene alcuni dalle intenzioni non ben definite. Una via intermedia tra un hacker grey hat e uno black hat, o semplicemente un individuo che si spaccia da ethical hacker ma che poi affida il proprio lavoro ad altri attori, in contoterzismo.
L’azienda, a questo punto, perde il controllo del programma e l’esperienza del Bug Bounty Program si rivela così negativa da scoraggiare un’attività che oggi è ormai imprescindibile.
Fonte: Gogetsecure.
In UNGUESS abbiamo trovato una soluzione a tutte queste, e altre, criticità creando UNGUESS SECURITY , una piattaforma di ethical hacker in crowdsourcing, sotto il nostro coordinamento. Una vera e propria community di professionisti che sono selezionati dal nostro team, in base a requisiti molto rigidi sia in termini di competenza tecnica che di integrità.
L’ethical hacker, con la nostra piattaforma, smette di essere un oscuro individuo al quale affidare la rete di un’azienda tenendo le dita incrociate, e diventa invece una risorsa affidabile, conosciuta e pronta a mettersi al servizio della sicurezza di un’impresa.
In un contesto del genere, dove viene fatta una stretta selezione all’ingresso dei partecipanti, si è creata una comunità affidabile di oltre 500 hacker etici , a cui si affidano aziende di qualsiasi dimensione, dalle piccole realtà alle multinazionali.
Chi sceglie la nostra piattaforma non deve più preoccuparsi della gestione tout court del Bug Bounty Program, ma dare solo le indicazioni necessarie per raggiungere gli obiettivi di sicurezza designati. Tutto il resto viene gestito dalla piattaforma in ogni fase del programma:
La piattaforma UNGUESS SECURITY è uno strumento utile non solo alle aziende, ma anche agli stessi hacker etici, che ci scelgono per evitarsi scocciature burocratiche e organizzative, e potersi concentrare sull’analisi vera e propria. Un concetto che fa da richiamo ai migliori hacker etici e che sta sancendo il successo della nostra piattaforma.
La UNGUESS SECURITY platform rappresenta anche un prezioso punto di contatto tra due mondi, hacking etico e azienda, che fino a oggi faticavano a interagire, perché mancava una figura che facesse da garante per ambo le parti. Oggi quella figura c’è e ha il nome di UNGUESS SECURITY.
Se non integrati con la normale operatività, gli sforzi di User Research rischiano di essere inutili. Ottimizzare il processo è possibile
Una Customer Journey Map mostra l'esperienza utente, indica come gli utenti stanno raggiungendo i loro obiettivi e identifica lacune e sfide nel...
Quando si lavora per migliorare la CRO uno dei modi per ottenere risultati soddisfacenti e duraturi è proporre all’utenza un progetto che garantisca...
Saper eliminare tutte le criticità nel minor tempo possibile: seppur i bug software siano inevitabili, la più grande sfida è proprio quella di essere...