De hacker à propriétaire du programme Bug Bounty : une expérience d'apprentissage
Publié: 2022-04-27La sécurité est une priorité majeure ici chez Braze depuis notre création en 2011. Notre concentration sur la protection des données de nos clients nous a amenés à adopter un état d'esprit de sécurité et de confidentialité dès la conception lors de la construction de notre produit, assurez-vous que nous avons été certifiés dans le cadre de la norme ISO 27001 et SOC 2 Type 2, et de créer un cluster HIPAA dédié pour aider les marques à protéger les informations de santé protégées. Mais bien que toutes ces étapes soient importantes, nous ne nous reposons pas sur nos lauriers. Il y a toujours plus que vous pouvez faire, et cette concentration sur la recherche de nouvelles façons de renforcer notre sécurité est l'une des principales raisons pour lesquelles je suis ici.
En 2020, Mark Shasha, responsable de la sécurité chez Braze, m'a fait venir pour aider à lancer un programme de primes de bogues ici, dans le but de faciliter l'identification des problèmes de sécurité qui pourraient avoir un impact sur notre produit. Et maintenant que le programme est opérationnel depuis un peu plus d'un an, j'ai pensé qu'il était temps de revenir sur ce que nous avons construit et sur ce que j'ai appris en cours de route.
Qu'est-ce qu'un programme Bug Bounty ?
Dans le programme Braze bug bounty, les tiers sont invités à essayer de compromettre une version épurée et sans données client de la plate-forme Braze et sont payés lorsqu'ils identifient un problème de sécurité valide et exploitable. La création d'un programme de primes de bogues permet à une entreprise comme Braze de tirer parti de chercheurs et de professionnels de la sécurité externes pour identifier les problèmes de sécurité potentiels, ce qui nous permet de traiter les vulnérabilités de manière proactive.
Ces programmes sont largement considérés comme l'une des mesures de cybersécurité les plus importantes qu'une entreprise puisse adopter, en partie parce qu'ils permettent aux marques de collecter des informations sur la sécurité auprès d'un grand nombre de personnes différentes avec une grande variété de compétences. En règle générale, le lancement et le maintien d'une prime de bogue publique réussie est un signe qu'une organisation dispose d'un programme de sécurité sain, car l'exécution d'un programme comme celui-ci sans incident nécessite un niveau de maturité en matière de sécurité qui demande beaucoup de réflexion et de soin.
Mes journées en tant que participant au Bug Bounty
J'ai entendu parler pour la première fois des primes de bogue en 2014, mais parce que je pensais qu'elles semblaient trop belles pour être vraies, je n'ai finalement participé à aucune avant 2016. Inspiré par certains articles de blog écrits par d'autres hackers éthiques, j'ai participé à le Yahoo! programme de primes de bogues et j'ai découvert que j'avais un vrai talent pour le travail. D'une part, ils m'ont donné l'occasion de tirer parti de mes compétences en piratage pour aider à protéger les systèmes informatiques, plutôt que de les compromettre. D'autre part, ils m'ont donné l'opportunité de gagner de grosses sommes d'argent pendant que j'y étais.
Au fur et à mesure que le nombre d'entreprises et d'organisations gouvernementales lançant des programmes de primes de bogues augmentait, j'ai fini par me spécialiser dans la recherche de bogues de falsification de requête côté serveur (SSRF) pour un programme de primes de bogues associé à une grande entreprise de télécommunications et j'ai gagné un peu moins d'un million de dollars rien qu'à partir de identifier ces vulnérabilités. Mais alors que l'aspect financier des primes de bogues de travail était vraiment payant pour moi, je me suis retrouvé à manquer de la structure et des relations personnelles qui accompagnent le fait d'avoir un travail de jour. Ainsi, lorsque Braze m'a offert l'opportunité de lancer et de superviser mon propre programme de primes aux bugs, j'ai sauté sur l'occasion.
Comment nous avons lancé un programme Bug Bounty chez Braze
Chez Braze, nous avons dû franchir un certain nombre d'étapes avant de pouvoir concrétiser notre vision d'un programme de primes aux bogues. D'une part, parce que les participants sont payés pour chaque bogue valide et exploitable qu'ils trouvent, le lancement d'un programme de primes sans s'attaquer à toutes les vulnérabilités connues peut amener les entreprises à payer le gros prix pour les informations qu'elles possèdent déjà, réduisant ainsi l'impact du programme tout en faisant grimper son coût. À cette fin, nous avons effectué les étapes suivantes avant de préparer un lancement officiel :
Déployer des accords de niveau de service (SLA) de sécurité interne avec les équipes de développement
Création d'un programme de gestion des vulnérabilités
Déploiement d'outils de test de sécurité d'analyse dynamique (DAST)
Réalisation de tests d'intrusion internes
Effectuer des tests d'intrusion tiers
S'assurer que tous les problèmes connus ont été résolus
Puis, une fois que nous étions convaincus que la version dupliquée de la plateforme Braze créée pour le programme de primes de bogues était aussi boutonnée que possible, nous avons lancé un programme privé à portée limitée utilisant la plateforme Bugcrowd. Nous avons lancé ce programme à la demande d'une durée de deux semaines afin de pouvoir l'utiliser à la fois comme preuve de concept et pour aider à présenter l'organisation Braze aux réalités de la gestion d'un programme de primes de bogues. Après tout, l'idée d'inviter des pirates et des chercheurs en sécurité à rechercher des failles de sécurité dans votre produit peut sembler étrange ou déroutante si vous n'avez jamais rencontré de primes de bogues auparavant.
4 grandes leçons du lancement d'un nouveau programme de primes de bogues
J'ai appris assez rapidement que lancer un nouveau programme de bug bounty est beaucoup plus difficile que d'en reprendre un existant. Il y a tellement de facteurs différents qui entrent dans la création d'un programme réussi qui ne reçoivent pas autant d'attention, en partie parce qu'ils ne sont pas aussi excitants que d'identifier les bogues critiques, de les corriger rapidement et de payer de grosses primes. Compte tenu de cela, parlons de quelques-uns de mes plus grands apprentissages :
1. Le lancement d'un programme Bug Bounty nécessite une collaboration entre équipes
À l'origine, j'avais espéré que le lancement du programme serait aussi simple que de décider de le faire, de choisir la bonne plate-forme, de décider de la portée et des montants des primes, puis de lancer les choses. Mais le faire correctement demande beaucoup plus de planification, de préparation et d'attention que je ne le pensais. D'une part, je n'avais pas pris en compte toutes les autres équipes de Braze qui avaient un rôle à jouer dans le soutien au lancement du programme de primes de bogues - du travail que notre équipe juridique a fait pour s'assurer que nous avions la bonne formulation en place pour notre accord Safe Harbor au travail effectué pour créer nos SLA et nous assurer que nous avions le bon processus d'escalade lorsque des violations se produisent. Ce travail peut être difficile, mais il est absolument essentiel. Un programme de primes de bogues qui n'a pas été soigneusement planifié et exécuté se heurtera inévitablement à de nombreux problèmes, qui, à leur tour, peuvent conduire à un mauvais bouche à oreille à propos du programme, ce qui rend plus difficile d'attirer des pirates informatiques et des chercheurs en sécurité de haut niveau et potentiellement condamner toute l'entreprise.
2. Ne perdez jamais de vue votre relation avec les pirates et les chercheurs
Il est important que les marques se souviennent qu'un programme de bug bounty réussi dépend de la relation entre le programme et les hackers/chercheurs qui y participent. Les hackers heureux sont beaucoup plus disposés à consacrer leur temps à votre programme et étant donné que chaque programme de primes se bat pour une part d'une ressource limitée, à savoir le temps et l'attention des hackers/chercheurs, il est important de vous assurer que vous vous préparez pour réussir en donnant la priorité à cette relation et en faisant ce que vous pouvez pour vous démarquer des autres programmes. Certaines entreprises le font en payant des primes plus importantes que la moyenne de l'industrie pour diverses classes et gravités de bogues, mais ce n'est pas la seule (ou la meilleure) façon de le faire.
En raison de mon expérience de chasseur de primes de bogues, j'ai pu utiliser mes expériences pour aider à expliquer comment Braze entretient cette relation. Par exemple, j'ai pu obtenir l'adhésion pour m'assurer que Braze exécute simultanément des programmes de primes de bogues publics et privés. Cela nous permet d'identifier les personnes impliquées dans notre programme public qui signalent de bons rapports valides, puis de les récompenser en les invitant à notre programme privé. Ces participants ont des fonctionnalités supplémentaires pour tester et obtenir la première fissure sur les nouveaux ajouts de portée avant de les ajouter au programme public. Je crois qu'en faisant de petites choses comme celle-ci, les entreprises peuvent montrer leur appréciation pour les chercheurs qui contribuent à leur programme et les encourager à approfondir leur engagement à l'avenir.
3. Les Bug Bounties sont différents du côté de l'entreprise
Avant de commencer à exécuter mon propre programme de primes de bogues, je n'étais pas fan de travailler avec des programmes gérés par une plate-forme tierce. Pour les programmes mis en place comme celui-ci, il est courant que les entreprises s'appuient sur des trieurs tiers fournis par la plate-forme, qui examinent les soumissions des pirates/chercheurs et déterminent la gravité de chaque bogue identifié, et j'avais eu des expériences où les trieurs avaient fait des appels avec lesquels je n'étais pas d'accord.
Cependant, maintenant que je suis de l'autre côté, je peux voir à quel point ce type d'approche axée sur la plateforme apporte de la valeur aux entreprises qui l'utilisent. Bien que nous soyons toujours impliqués dans la supervision directe du travail effectué par les trieurs tiers que nous utilisons, j'ai constaté que leur utilisation peut faire beaucoup pour réduire le temps et l'énergie associés à la gestion d'un programme comme celui-ci. Les trieurs avec lesquels nous travaillons sont des pros et se sont avérés être un atout majeur pour notre programme, contribuant à rendre possible notre déploiement réussi.
4. Le travail ne s'arrête pas lorsqu'un bogue est identifié
Avant de rejoindre Braze, j'étais souvent frustré par les programmes de primes de bogues qui mettaient des semaines ou des mois à corriger les vulnérabilités que je leur avais soumises. De mon point de vue, les problèmes semblaient généralement assez clairs et secs et j'avais l'impression que le correctif pour ces bogues devrait prendre peu ou pas de temps à mettre en œuvre.
Mais maintenant que j'ai été témoin de ce qui se passe dans les coulisses lorsque l'un de ces bogues est soumis, j'ai réalisé que je n'avais pas pris en compte toutes les discussions et le travail effectué dans les coulisses pendant le cycle de vie d'une vulnérabilité de sécurité - depuis l'enquête et la confirmation du bogue et la livraison de ces détails à l'équipe responsable en interne pour les changements de codage réels, les tests et les versions qui doivent avoir lieu avant que le bogue ne soit vraiment résolu. La réalité est que ces choses prennent du temps et, en tant que hacker, je n'ai pas toujours pris en compte le travail impliqué, en partie parce que je voulais que tout le processus soit fait le plus rapidement possible afin que je puisse être payé.
Dernières pensées
L'exécution d'un programme de primes de bogues au cours de la dernière année a complètement changé ma vision de l'industrie et a même changé la façon dont je sélectionne les programmes de primes de bogues sur lesquels je me concentre pendant mon temps libre. Ce coup d'œil derrière le rideau m'a donné beaucoup plus de respect pour le travail essentiel effectué par les trieurs de plate-forme et une meilleure compréhension des délais réalistes pour que les entreprises évaluent et corrigent les bogues que je soumets. Avec cette nouvelle perspective, j'espère pouvoir continuer à améliorer et à développer le programme de primes de bogues Braze tout en voyant encore plus de succès en tant que chasseur de primes de bogues à l'avenir.
Intéressé à rejoindre l'équipe de Braze ? Découvrez nos postes ouverts !