해커에서 버그 바운티 프로그램 소유자로: 학습 경험
게시 됨: 2022-04-27Braze는 2011년 설립 이후 보안을 최우선 과제로 삼았습니다. 고객 데이터 보호에 중점을 두어 제품을 구축할 때 보안 및 개인 정보 보호에 대한 사고 방식을 도입하고 ISO 27001과 관련하여 인증을 받았는지 확인합니다. 및 SOC 2 유형 2, 그리고 브랜드가 보호되는 건강 정보를 보호할 수 있도록 전용 HIPAA 클러스터를 구축합니다. 그러나 이러한 모든 단계가 중요하지만 우리는 우리의 월계관에 안주하지 않습니다. 당신이 할 수 있는 일은 항상 더 많으며, 우리의 보안을 강화할 새로운 방법을 찾는 데 집중하는 것이 내가 여기 있는 큰 이유입니다.
2020년으로 돌아가서 Braze의 보안 책임자인 Mark Shasha는 우리 제품에 영향을 미칠 수 있는 보안 문제를 더 쉽게 식별할 수 있도록 하는 목적으로 여기에서 버그 바운티 프로그램을 시작하는 데 도움을 주기 위해 저를 데려왔습니다. 이제 프로그램이 시작되어 실행된 지 1년이 조금 넘었으므로 이제 우리가 구축한 것과 그 과정에서 배운 것을 되돌아볼 때라고 생각했습니다.
버그 바운티 프로그램이란 무엇입니까?
Braze 버그 포상금 프로그램에서는 외부 당사자가 Braze 플랫폼의 정제된 고객 데이터 없는 버전을 손상시키도록 초대되며 유효하고 실행 가능한 보안 문제를 식별할 때 비용을 받습니다. 버그 포상금 프로그램을 만들면 Braze와 같은 회사에서 외부 보안 연구원 및 전문가를 활용하여 잠재적인 보안 문제를 식별할 수 있으므로 취약성을 사전에 해결할 수 있습니다.
이러한 프로그램은 기업이 수용할 수 있는 가장 중요한 사이버 보안 조치 중 하나로 널리 알려져 있습니다. 부분적으로는 브랜드가 다양한 기술을 가진 수많은 사람들로부터 보안 통찰력을 크라우드소싱할 수 있기 때문입니다. 일반적으로 성공적인 공개 버그 포상금을 시작하고 유지하는 것은 조직에 건전한 보안 프로그램이 있다는 신호입니다. 사고 없이 이와 같은 프로그램을 실행하려면 달성하기 위해 많은 생각과 주의가 필요한 수준의 보안 성숙도가 필요하기 때문입니다.
버그 바운티 참가자로서의 나의 하루
2014년에 버그 현상금에 대해 처음 들었지만 사실이라고 하기에는 너무 좋은 것 같아서 2016년이 되어서야 실제로 버그 현상금에 참여하게 되었습니다. 다른 윤리적 해커가 작성한 일부 블로그 게시물에서 영감을 받아 버그 현상금에 참여했습니다. 야후! 버그 바운티 프로그램을 접하고 제가 이 일에 정말 소질이 있다는 것을 알게 되었습니다. 우선, 그들은 제 해킹 기술을 활용하여 컴퓨터 시스템을 손상시키지 않고 보호할 수 있는 기회를 주었습니다. 다른 한편으로는 내가 일하는 동안 많은 돈을 벌 수 있는 기회를 주었습니다.
버그 바운티 프로그램을 시작하는 회사와 정부 기관의 수가 늘어남에 따라 저는 결국 주요 통신 회사와 관련된 버그 바운티 프로그램에 대한 SSRF(서버 측 요청 위조) 버그 사냥을 전문으로 하게 되었고 100만 달러 미만의 수익을 올렸습니다. 이러한 취약점을 식별합니다. 그러나 버그 포상금을 작동하는 재정적 측면은 정말 저에게 도움이 되었지만, 저는 하루 일과를 하면서 얻을 수 있는 구조와 개인적 연결이 그리워지는 것을 발견했습니다. 그래서 Braze가 제 자신의 버그 바운티 프로그램을 시작하고 감독할 수 있는 기회를 제공했을 때 저는 그 기회에 뛰어 들었습니다.
Braze에서 버그 바운티 프로그램을 시작한 방법
Braze에서 우리는 버그 현상금 프로그램에 대한 우리의 비전을 현실로 만들기 전에 여러 단계를 거쳐야 했습니다. 우선 참가자는 발견한 모든 유효하고 실행 가능한 버그에 대해 비용을 지불받기 때문에 알려진 모든 취약점을 해결하지 않고 현상금 프로그램을 시작하면 기업이 이미 보유하고 있는 정보에 대해 최고 비용을 지불하게 되어 프로그램의 영향을 줄이면서 동시에 프로그램의 영향을 줄일 수 있습니다. 비용을 증가시킵니다. 이를 위해 정식 출시를 준비하기 전에 다음 단계를 수행했습니다.
개발 팀과 함께 내부 보안 SLA(서비스 수준 계약) 배포
취약점 관리 프로그램 작성
DAST(동적 분석 보안 테스트) 도구 배포
내부 침투 테스트 수행
타사 침투 테스트 수행
알려진 모든 문제가 수정되었는지 확인
그런 다음 버그 바운티 프로그램을 위해 생성된 Braze 플랫폼의 복제 버전이 최대한 활성화되었다고 확신하고 Bugcrowd 플랫폼을 사용하여 제한된 범위의 비공개 프로그램을 시작했습니다. 우리는 개념 증명으로 사용하고 Braze 조직이 버그 현상금 프로그램을 실행하는 현실을 소개하는 데 도움이 되도록 2주 동안의 주문형 프로그램을 시작했습니다. 결국, 이전에 버그 현상금을 만난 적이 없다면 해커와 보안 연구원을 초대하여 제품의 보안 결함을 찾도록 한다는 아이디어가 이상하거나 혼란스러워 보일 수 있습니다.
새로운 버그 바운티 프로그램을 시작하면서 얻은 4가지 큰 교훈
나는 새로운 버그 바운티 프로그램을 시작하는 것이 기존 프로그램을 인수하는 것보다 훨씬 어렵다는 것을 꽤 빨리 배웠습니다. 많은 관심을 받지 못하는 성공적인 프로그램을 만드는 데 필요한 다양한 요소가 있습니다. 부분적으로는 중요한 버그를 식별하고 신속하게 수정하고 많은 현상금을 지불하는 것만큼 흥미롭지 않기 때문입니다. 이를 감안할 때 저의 가장 큰 교훈 몇 가지를 이야기해 보겠습니다.
1. 버그 바운티 프로그램을 시작하려면 팀 간 협업이 필요합니다.
원래 저는 프로그램 시작이 실행하기로 결정하고, 올바른 플랫폼을 선택하고, 범위와 포상금 금액을 결정한 다음 시작하는 것처럼 간단하기를 바랐습니다. 하지만 제대로 하려면 생각보다 훨씬 더 많은 계획, 준비, 주의가 필요합니다. 우선, 버그 바운티 프로그램 출시를 지원하는 역할을 하는 Braze 내의 다른 모든 팀을 고려하지 않았습니다. SLA를 생성하고 위반이 발생했을 때 올바른 에스컬레이션 프로세스를 갖도록 하기 위해 수행한 작업에 대한 세이프 하버 계약. 이 작업은 어려울 수 있지만 절대적으로 필요합니다. 신중하게 계획하고 실행하지 않은 버그 바운티 프로그램은 필연적으로 많은 문제에 부딪히게 되며, 결과적으로 프로그램에 대한 나쁜 소문으로 이어질 수 있으며, 상위 계층의 해커와 보안 연구원을 유치하기 어렵게 만들고 잠재적으로 전체 노력을 망치고 있습니다.
2. 해커 및 연구원과의 관계를 절대 놓치지 마십시오.
브랜드가 버그 바운티 프로그램의 성공 여부는 프로그램과 이에 참여하는 해커/연구원 간의 관계에 달려 있음을 기억하는 것이 중요합니다. 행복한 해커는 프로그램에 훨씬 더 기꺼이 시간을 할애하고 모든 현상금 프로그램이 유한한 자원, 즉 해커/연구원의 시간과 관심을 공유하기 위해 싸우고 있다는 점을 감안할 때 자신을 설정하는 것이 중요합니다. 이 관계를 우선시하고 다른 프로그램과 차별화하기 위해 할 수 있는 일을 함으로써 성공을 위해. 일부 회사는 다양한 버그 클래스 및 심각도에 대해 업계 평균보다 더 많은 포상금을 지불하여 이를 수행하지만 이것이 유일한(또는 최선의) 방법은 아닙니다.
버그 현상금 사냥꾼으로서의 나의 배경 때문에, 나는 Braze가 그 관계를 키우는 방법을 알려주는 데 나의 경험을 사용할 수 있었습니다. 예를 들어, 저는 Braze가 공개 및 비공개 버그 바운티 프로그램을 동시에 실행하도록 승인할 수 있었습니다. 이를 통해 우리는 우수하고 유효한 보고서를 보고하는 공개 프로그램에 관련된 개인을 식별한 다음 비공개 프로그램에 초대하여 보상할 수 있습니다. 이러한 참가자는 공개 프로그램에 추가하기 전에 새로운 범위 추가를 테스트하고 첫 번째 크랙을 얻을 수 있는 추가 기능이 있습니다. 나는 이와 같은 작은 일을 함으로써 기업들이 프로그램에 기여하는 연구원들에게 감사를 표하고 미래에 그들의 참여를 심화하도록 격려할 수 있다고 믿습니다.
3. 버그 현상금이 회사 측과 다르게 보입니다.
자체 버그 바운티 프로그램을 실행하기 전에는 타사 플랫폼에서 관리하는 프로그램으로 작업하는 것을 좋아하지 않았습니다. 이와 같이 설정된 프로그램의 경우, 해커/연구원의 제출을 검토하고 식별된 각 버그의 심각도를 결정하는 플랫폼에서 제공하는 타사 분류기에 회사가 의존하는 것이 일반적입니다. 동의하지 않는 전화를 걸었다.
하지만 이제 반대편에 섰으니 이러한 플랫폼 기반 접근 방식이 이를 사용하는 회사에 얼마나 많은 가치를 제공하는지 알 수 있습니다. 우리는 여전히 우리가 사용하는 타사 분류자가 수행하는 작업을 직접 감독하는 데 관여하고 있지만 이러한 분류자를 활용하면 이와 같은 프로그램 실행과 관련된 시간과 에너지 부담을 줄일 수 있습니다. 우리가 함께 일하는 분류기는 전문가이며 우리 프로그램의 큰 자산임이 입증되어 성공적인 롤아웃을 가능하게 합니다.
4. 버그가 발견되어도 작업이 끝나지 않는다
Braze에 합류하기 전에 제출한 취약점을 수정하는 데 몇 주 또는 몇 달이 걸리는 버그 현상금 프로그램에 종종 좌절했습니다. 내 관점에서 볼 때 문제는 일반적으로 매우 짧고 건조해 보였고 해당 버그에 대한 패치를 구현하는 데 시간이 거의 또는 전혀 걸리지 않아야 한다고 느꼈습니다.
그러나 이제 이러한 버그 중 하나가 제출되었을 때 배후에서 어떤 일이 발생하는지 목격하고 조사에서 보안 취약점의 수명 주기 동안 배후에서 수행된 모든 논의와 작업을 고려하지 못했다는 것을 깨달았습니다. 버그 확인 및 버그가 진정으로 해결되기 전에 발생해야 하는 실제 코딩 변경, 테스트 및 릴리스에 대해 내부적으로 담당 팀에 이러한 세부 정보를 전달합니다. 현실은 이러한 일에 시간이 걸리고 해커로서 나는 항상 관련된 작업을 고려하지 않는다는 것입니다. 부분적으로는 전체 프로세스가 가능한 한 빨리 완료되어 돈을 받을 수 있기를 원했기 때문입니다.
마지막 생각들
작년에 버그 바운티 프로그램을 운영하면서 업계에 대한 전체적인 관점이 바뀌었고 자유 시간에 집중하는 버그 바운티 프로그램을 선택하는 방법도 바뀌었습니다. 커튼 뒤를 살짝 들여다보면서 플랫폼 심사자가 수행하는 필수 작업에 대해 더 많은 존경심을 갖게 되었고 회사가 내가 제출한 버그를 평가하고 해결해야 하는 현실적인 일정이 무엇인지 더 잘 이해할 수 있었습니다. 이 새로운 통찰력을 통해 Braze 버그 현상금 프로그램을 계속 개선하고 성장시키는 동시에 버그 현상금 사냥꾼으로서 더 많은 성공을 볼 수 있기를 바랍니다.
여기 Braze에서 팀에 합류하는 데 관심이 있으십니까? 우리의 열린 역할을 확인하십시오 !