ハッカーから脆弱性報奨金プログラムの所有者へ:学習体験

公開: 2022-04-27

2011年の創業以来、ここBrazeではセキュリティが最優先事項となっています。お客様のデータを保護することに重点を置いているため、製品を構築する際にセキュリティとプライバシーの考え方を取り入れ、ISO27001に関連して認定されていることを確認しました。およびSOC2Type 2、およびブランドが保護された健康情報を保護するのに役立つ専用のHIPAAクラスターを構築します。 しかし、これらすべてのステップは重要ですが、私たちは栄光に頼っていません。 あなたができることは常にたくさんあり、私たちのセキュリティを強化するための新しい方法を見つけることに焦点を当てていることが、私がここにいる大きな理由です。

2020年に、Brazeのセキュリティ責任者であるMark Shashaが、当社の製品に影響を与える可能性のあるセキュリティ問題を簡単に特定できるようにすることを目的として、ここでバグ報奨金プログラムの立ち上げを支援してくれました。 そして、プログラムが1年余り稼働している今、私たちが構築したものと、その過程で学んだことを振り返る時が来たと思いました。

バグバウンティプログラムとは何ですか?

Brazeバグバウンティプログラムでは、外部の関係者は、Brazeプラットフォームのサニタイズされた、顧客データのないバージョンを侵害しようとするように招待され、有効で実用的なセキュリティ問題を特定したときに支払われます。 バグバウンティプログラムを作成することで、Brazeのような企業は、外部のセキュリティ研究者や専門家を活用して潜在的なセキュリティ問題を特定し、脆弱性に積極的に対処することができます。

これらのプログラムは、企業が採用できる最も重要なサイバーセキュリティ対策の1つとして広く認識されています。これは、ブランドがさまざまなスキルセットを持つ膨大な数の異なる人々からセキュリティインサイトをクラウドソーシングできるためです。 原則として、パブリックバグバウンティを成功裏に開始して維持することは、組織が健全なセキュリティプログラムを持っていることを示します。このようなプログラムを問題なく実行するには、達成するために多くの考慮と注意を払うレベルのセキュリティ成熟度が必要だからです。

バグバウンティ参加者としての私の日々

バグバウンティについては2014年に初めて聞いたのですが、あまりにも良さそうだと思ったので、2016年まで実際に参加することはありませんでした。他の倫理的ハッカーが書いたブログ投稿に触発されて参加しました。 Yahoo! 脆弱性報奨金プログラムで、私にはその仕事の本当のコツがあることがわかりました。 一つには、彼らは私にハッキングスキルを活用してコンピューターシステムを危険にさらすのではなく保護する機会を与えてくれました。 別の理由として、彼らは私がそれにいる間に多額のお金を稼ぐ機会を私に与えてくれました。

バグバウンティプログラムを開始する企業や政府機関の数が増えるにつれ、私は大手通信会社に関連するバグバウンティプログラムのサーバー側リクエストフォージェリ(SSRF)バグの追跡に特化し、それらの脆弱性を特定します。 しかし、脆弱性報奨金を働くことの経済的側面は私にとって本当に報われていましたが、私は自分自身が日雇いの仕事に伴う構造と個人的なつながりを失っていることに気づきました。 それで、ブレイズが私に自分のバグ報奨金プログラムを立ち上げて監督する機会を提供してくれたとき、私はそのチャンスに飛びつきました。

Brazeでバグバウンティプログラムを開始した方法

ブレイズでは、バグバウンティプログラムのビジョンを実現する前に、いくつかの手順を踏む必要がありました。 一つには、参加者は見つけたすべての有効で実用的なバグに対して報酬が支払われるため、既知の脆弱性に対処せずに報奨金プログラムを開始すると、企業はすでに持っている情報に最高額を支払うことになり、同時にプログラムの影響を減らすことができますそのコストを押し上げます。 そのために、正式な立ち上げの準備をする前に、次の手順を実行しました。

  • 開発チームとの内部セキュリティサービスレベル契約(SLA)の展開

  • 脆弱性管理プログラムの作成

  • 動的分析セキュリティテスト(DAST)ツールの展開

  • 内部侵入テストの実行

  • サードパーティの侵入テストを実施する

  • すべての既知の問題が修正されたことを確認する

次に、バグバウンティプログラム用に作成されたBrazeプラットフォームの複製バージョンが可能な限りボタンで留められていると確信したら、Bugcrowdプラットフォームを使用して限定スコープのプライベートプログラムを開始しました。 この2週間のオンデマンドプログラムを開始しました。これは、概念実証として、また脆弱性報奨金プログラムの実行の現実をBraze組織に紹介するために使用できるようにするためです。 結局のところ、ハッカーやセキュリティ研究者を招待して製品のセキュリティ上の欠陥を探すという考えは、これまでにバグの報奨金に遭遇したことがない場合、奇妙または混乱を招く可能性があります。

新しいバグバウンティプログラムの立ち上げからの4つの大きな学習

新しいバグバウンティプログラムを立ち上げることは、既存のプログラムを引き継ぐよりもはるかに難しいことをすぐに学びました。 成功するプログラムの作成には、それほど注目されないさまざまな要因があります。その理由の1つは、重大なバグを特定し、迅速に修正し、多額の報奨金を支払うほどエキサイティングではないためです。 それを踏まえて、私の最大の学習のいくつかについて話しましょう。

1.バグバウンティプログラムの開始にはチーム間のコラボレーションが必要

当初、私は、プログラムの立ち上げが、それを実行することを決定し、適切なプラットフォームを選択し、範囲と報奨金の額を決定し、そして単に物事を開始するのと同じくらい簡単であることを望んでいました。 しかし、それを正しく行うには、私が思っていたよりもはるかに多くの計画、準備、および対処の注意が必要です。 一つには、私は、バグバウンティプログラムの立ち上げをサポートする役割を果たしたBraze内の他のすべてのチームを考慮していませんでした。 SLAを作成し、違反が発生したときに適切なエスカレーションプロセスを確実に実行するために行われた作業に対するセーフハーバー契約。 この作業は難しい場合がありますが、絶対に必要です。 慎重に計画および実行されていない脆弱性報奨金プログラムは、必然的に多くの問題に遭遇し、その結果、プログラムに関する口コミが悪くなり、一流のハッカーやセキュリティ研究者を引き付けることが難しくなり、潜在的に努力全体を運命づけます。

2.ハッカーや研究者との関係を見失うことはありません

ブランドにとって重要なのは、バグバウンティプログラムが成功するかどうかは、プログラムとそれに参加するハッカー/研究者との関係にかかっているということです。 幸せなハッカーはあなたのプログラムに時間を費やすことをはるかに望んでおり、すべての報奨金プログラムが有限のリソースの共有、つまりハッカー/研究者の時間と注意を求めて戦っていることを考えると、自分自身を設定していることを確認することが重要ですこの関係を優先し、他のプログラムとは一線を画すためにできることを行うことで成功を収めます。 一部の企業は、さまざまなバグクラスと重大度に対して業界平均よりも大きな報奨金を支払うことでこれを行っていますが、それが唯一の(または最良の)方法ではありません。

バグバウンティハンターとしての経歴があるため、私は自分の経験を利用して、ブレイズがその関係をどのように育んでいるかを知ることができました。 たとえば、Brazeがパブリックバグバウンティプログラムとプライベートバグバウンティプログラムの両方を同時に実行できるようにするために、賛同を得ることができました。 これにより、公的プログラムに関与し、優れた有効な報告を報告している個人を特定し、私的プログラムに招待することで報酬を得ることができます。 これらの参加者には、パブリックプログラムに追加する前に、新しいスコープの追加をテストして最初のクラックを取得するための追加機能があります。 このような小さなことをすることで、企業はプログラムに貢献している研究者に感謝の意を表し、将来のエンゲージメントを深めることができると信じています。

3.バグバウンティは会社側とは異なって見える

自分のバグバウンティプログラムを実行し始める前は、サードパーティのプラットフォームで管理されているプログラムを操作するのが好きではありませんでした。 このように設定されたプログラムの場合、企業はプラットフォームが提供するサードパーティのトリアージャーに依存するのが一般的です。サードパーティのトリアージャーは、ハッカー/研究者からの提出物を確認し、特定された各バグの重大度を判断します。私は、トライエイジャーが経験したこともあります。私が同意しなかった電話をかけた。

しかし、私は反対側にいるので、この種のプラットフォーム駆動型アプローチがそれを使用している企業にどれほどの価値を提供しているかがわかります。 私たちが使用しているサードパーティのトリアージャーによって行われている作業を直接監視することにはまだ関わっていますが、それらを活用することで、このようなプログラムの実行に関連する時間とエネルギーの負担を大幅に減らすことができることがわかりました。 私たちが協力しているトリアージャーはプロであり、私たちのプログラムにとって大きな資産であることが証明されており、私たちの成功した展開を可能にするのに役立ちます。

4.バグが特定されても作業は終了しません

Brazeに参加する前は、提出した脆弱性を修正するのに数週間から数か月かかるバグ報奨金プログラムに不満を感じることがよくありました。 私の見解では、問題は一般的にかなりカットされて乾燥しているように見え、それらのバグのパッチは実装にほとんどまたはまったく時間がかからないはずだと感じました。

しかし、これらのバグの1つが送信されたときに舞台裏で何が起こるかを目撃したので、セキュリティの脆弱性のライフサイクル中に舞台裏で行われたすべての議論と作業を調査から考慮に入れていなかったことに気付きました。バグの確認と、バグが実際に解決される前に行わなければならない実際のコーディングの変更、テスト、およびリリースに対して、内部で責任のあるチームにそれらの詳細を配信します。 現実には、これらのことには時間がかかり、ハッカーとして、私は常に関連する作業を考慮に入れていませんでした。その理由の1つは、支払いを受けるためにプロセス全体をできるだけ早く実行したかったためです。

最終的な考え

昨年、バグバウンティプログラムを実行したことで、業界に対する私の全体的な見方が変わり、自由な時間に焦点を当てるバグバウンティプログラムの選択方法も変わりました。 カーテンの後ろのこの覗き見は、プラットフォームトリアージャーによって行われている重要な作業に対するより多くの敬意と、企業が提出したバグを評価して対処するための現実的なタイムラインについての理解を深めました。 この新しい洞察により、今後もバグバウンティハンターとしての成功をさらに見ながら、ブレイズバグバウンティプログラムを改善し、成長させ続けることができることを願っています。

ここブレイズのチームに参加することに興味がありますか? 私たちのオープンな役割をチェックしてください