จากแฮ็กเกอร์สู่เจ้าของโปรแกรม Bug Bounty: ประสบการณ์การเรียนรู้

การรักษาความปลอดภัยเป็นสิ่งสำคัญที่ Braze ให้ความสำคัญตั้งแต่เริ่มก่อตั้งในปี 2554 การมุ่งเน้นในการปกป้องข้อมูลของลูกค้าทำให้เราน้อมรับแนวความคิดด้านความปลอดภัยและความเป็นส่วนตัวด้วยการออกแบบเมื่อสร้างผลิตภัณฑ์ของเรา รับรองว่าเราได้รับการรับรองตามมาตรฐาน ISO 27001 และ SOC 2 Type 2 และเพื่อสร้างคลัสเตอร์ HIPAA โดยเฉพาะเพื่อช่วยแบรนด์ในการปกป้องข้อมูลด้านสุขภาพที่ได้รับการคุ้มครอง แต่ในขณะที่ขั้นตอนทั้งหมดนั้นมีความสำคัญ เราไม่ได้หยุดอยู่ที่เกียรติยศของเรา คุณยังทำสิ่งต่างๆ ได้อีกมาก และการมุ่งเน้นที่การค้นหาวิธีใหม่ๆ ในการเสริมความปลอดภัยให้แข็งแกร่งขึ้นเป็นเหตุผลหลักว่าทำไมฉันถึงมาอยู่ที่นี่

ย้อนกลับไปในปี 2020 Mark Shasha หัวหน้าฝ่ายความปลอดภัยที่ Braze ได้พาฉันเข้ามาช่วยเปิดตัวโปรแกรมหาจุดบกพร่องที่นี่ โดยมีเป้าหมายเพื่อให้ระบุปัญหาด้านความปลอดภัยที่อาจส่งผลกระทบต่อผลิตภัณฑ์ของเราได้ง่ายขึ้น และตอนนี้โปรแกรมได้ดำเนินการมาเป็นเวลากว่าหนึ่งปีแล้ว ฉันคิดว่าถึงเวลาแล้วที่จะมองย้อนกลับไปถึงสิ่งที่เราสร้างขึ้นและสิ่งที่ฉันได้เรียนรู้ระหว่างทาง

โปรแกรม Bug Bounty คืออะไร?

ในโครงการ Braze Bug Bounty บุคคลภายนอกจะได้รับเชิญให้พยายามประนีประนอมกับแพลตฟอร์ม Braze เวอร์ชันปลอดข้อมูลลูกค้าที่ผ่านการฆ่าเชื้อแล้ว และได้รับเงินเมื่อพวกเขาระบุปัญหาด้านความปลอดภัยที่ถูกต้อง นำไปดำเนินการได้ การสร้างโปรแกรม Bug Bounty ช่วยให้บริษัทอย่าง Braze ใช้ประโยชน์จากนักวิจัยด้านความปลอดภัยภายนอกและผู้เชี่ยวชาญเพื่อระบุปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นได้ ซึ่งช่วยให้เราสามารถแก้ไขจุดอ่อนในเชิงรุกได้

โปรแกรมเหล่านี้ถูกมองว่าเป็นหนึ่งในมาตรการรักษาความปลอดภัยทางไซเบอร์ที่สำคัญที่สุดที่บริษัทสามารถทำได้ ส่วนหนึ่งเป็นเพราะช่วยให้แบรนด์ต่างๆ รวบรวมข้อมูลเชิงลึกด้านความปลอดภัยจากผู้คนจำนวนมากที่มีทักษะหลากหลาย ตามกฎแล้ว การเปิดตัวและรักษาค่าหัวบั๊กสาธารณะให้ประสบความสำเร็จนั้นเป็นสัญญาณว่าองค์กรมีโปรแกรมความปลอดภัยที่ดี เนื่องจากการรันโปรแกรมเช่นนี้โดยไม่เกิดเหตุการณ์ใดๆ จำเป็นต้องมีระดับความปลอดภัยขั้นสูงที่ต้องใช้ความคิดและความระมัดระวังอย่างมากเพื่อให้บรรลุ

วันของฉันในฐานะผู้เข้าร่วม Bug Bounty

ครั้งแรกที่ฉันได้ยินเกี่ยวกับ Bug Bounties ในปี 2014 แต่เนื่องจากฉันคิดว่ามันฟังดูดีเกินกว่าจะเป็นจริง ฉันจึงไม่ได้เข้าร่วมจริงๆ จนกระทั่งปี 2016 ฉันจึงเข้าร่วมด้วยแรงบันดาลใจจากโพสต์ในบล็อกที่เขียนโดยแฮกเกอร์ที่มีจริยธรรมคนอื่นๆ ยาฮู! โปรแกรม Bug Bounty และพบว่าฉันมีความสามารถพิเศษในการทำงาน ประการหนึ่ง พวกเขาให้โอกาสฉันในการใช้ประโยชน์จากทักษะการแฮ็กเพื่อช่วยปกป้องระบบคอมพิวเตอร์ แทนที่จะประนีประนอมกับพวกเขา อีกประการหนึ่งคือพวกเขาให้โอกาสฉันในการทำเงินจำนวนมากในขณะที่ฉันอยู่ที่นั้น

เนื่องจากจำนวนบริษัทและหน่วยงานของรัฐที่เปิดตัวโปรแกรม Bug Bounty เพิ่มขึ้น ฉันจึงลงเอยด้วยความเชี่ยวชาญในการค้นหาจุดบกพร่องฝั่งเซิร์ฟเวอร์ (SSRF) สำหรับโปรแกรม Bug Bounty ที่เกี่ยวข้องกับบริษัทโทรคมนาคมรายใหญ่ และทำเงินได้ไม่ถึง 1 ล้านดอลลาร์ การระบุจุดอ่อนเหล่านั้น แต่ในขณะที่ด้านการเงินของค่าหัวบั๊กจากการทำงานนั้นได้ผลจริง ๆ สำหรับฉัน ฉันพบว่าตัวเองขาดโครงสร้างและความสัมพันธ์ส่วนตัวที่มาพร้อมกับการมีงานทำ ดังนั้นเมื่อ Braze เสนอโอกาสให้ฉันเปิดตัวและดูแลโปรแกรมหาค่าหัวบักของตัวเอง ฉันก็เลยฉวยโอกาส

เราเปิดตัวโปรแกรม Bug Bounty ที่ Braze . ได้อย่างไร

ที่ Braze เราต้องผ่านหลายขั้นตอนก่อนจึงจะสามารถทำให้วิสัยทัศน์ของโปรแกรมหาค่าหัวบักกลายเป็นจริงได้ ประการหนึ่ง เนื่องจากผู้เข้าร่วมจะได้รับเงินสำหรับทุกๆ จุดบกพร่องที่สามารถดำเนินการได้จริงที่พวกเขาพบ การเปิดตัวโปรแกรมค่าหัวโดยไม่ระบุจุดอ่อนที่ทราบทั้งหมดสามารถนำบริษัทต่างๆ จ่ายเงินก้อนใหญ่สำหรับข้อมูลที่มีอยู่แล้ว ช่วยลดผลกระทบของโปรแกรมในขณะเดียวกัน ผลักดันค่าใช้จ่าย ด้วยเหตุนี้ เราจึงได้ดำเนินการตามขั้นตอนต่อไปนี้ก่อนที่จะเตรียมการเปิดตัวอย่างเป็นทางการ:

• การปรับใช้ข้อตกลงระดับบริการความปลอดภัยภายใน (SLA) กับทีมพัฒนา

• การสร้างโปรแกรมจัดการช่องโหว่

• การปรับใช้เครื่องมือทดสอบความปลอดภัยการวิเคราะห์แบบไดนามิก (DAST)

• ทำการทดสอบการเจาะภายใน

• ดำเนินการทดสอบการเจาะโดยบุคคลที่สาม

• ตรวจสอบให้แน่ใจว่าปัญหาที่ทราบทั้งหมดได้รับการแก้ไขแล้ว

จากนั้น เมื่อเรามั่นใจว่าเวอร์ชันที่ซ้ำกันของแพลตฟอร์ม Braze ที่สร้างขึ้นสำหรับโปรแกรม Bug Bounty นั้นถูกติดกระดุมให้มากที่สุด เราจึงเริ่มโปรแกรมส่วนตัวที่มีขอบเขตจำกัดโดยใช้แพลตฟอร์ม Bugcrowd เราเปิดตัวโปรแกรมแบบออนดีมานด์ที่มีระยะเวลา 2 สัปดาห์เพื่อให้เราทั้งคู่สามารถใช้เป็นหลักฐานของแนวคิดและเพื่อช่วยแนะนำองค์กร Braze ให้รู้จักกับความเป็นจริงของการรันโปรแกรมให้รางวัลจุดบกพร่อง ท้ายที่สุด แนวคิดในการเชิญแฮ็กเกอร์และนักวิจัยด้านความปลอดภัยให้ค้นหาข้อบกพร่องด้านความปลอดภัยในผลิตภัณฑ์ของคุณ อาจดูแปลกหรือสับสนหากคุณไม่เคยพบข้อผิดพลาดมาก่อน

4 การเรียนรู้ครั้งใหญ่จากการเปิดตัวโปรแกรม Bug Bounty ใหม่

ฉันเรียนรู้ได้อย่างรวดเร็วว่าการเปิดตัวโปรแกรมหาข้อผิดพลาดใหม่นั้นยากกว่าการรับช่วงต่อที่มีอยู่ มีปัจจัยหลายอย่างที่ส่งผลต่อการสร้างโปรแกรมที่ประสบความสำเร็จซึ่งไม่ได้รับความสนใจมากนัก ส่วนหนึ่งเป็นเพราะปัจจัยเหล่านี้ไม่น่าตื่นเต้นเท่ากับการระบุจุดบกพร่องที่สำคัญ การแก้ไขอย่างรวดเร็ว และการจ่ายเงินรางวัลก้อนใหญ่ ให้มาพูดถึงการเรียนรู้ที่ยิ่งใหญ่ที่สุดบางส่วนของฉัน:

1. การเปิดตัวโปรแกรม Bug Bounty ต้องใช้การทำงานร่วมกันข้ามทีม

เดิมที ฉันหวังว่าการเปิดตัวโปรแกรมจะง่ายพอๆ กับการตัดสินใจเลือกแพลตฟอร์มที่เหมาะสม ตัดสินใจเกี่ยวกับขอบเขตและจำนวนเงินรางวัล จากนั้นจึงเริ่มลงมือทำ แต่การทำอย่างถูกต้องต้องใช้การวางแผน การเตรียมตัว และความสนใจในการจัดการมากกว่าที่ฉันคิดไว้มาก ประการหนึ่ง ฉันไม่ได้คำนึงถึงทีมอื่นๆ ทั้งหมดใน Braze ที่มีบทบาทสนับสนุนการเปิดตัวโปรแกรมให้รางวัลบั๊ก—จากการทำงานที่ทีมกฎหมายของเราทำเพื่อให้แน่ใจว่าเรามีถ้อยคำที่เหมาะสม ข้อตกลง Safe Harbor ของเราต่องานที่ทำเพื่อสร้าง SLA ของเรา และทำให้แน่ใจว่าเรามีกระบวนการยกระดับที่ถูกต้องเมื่อมีการละเมิดเกิดขึ้น งานนี้อาจเป็นสิ่งที่ท้าทาย แต่จำเป็นอย่างยิ่ง โปรแกรมหาบั๊กที่ไม่ได้วางแผนและดำเนินการอย่างรอบคอบจะประสบปัญหามากมาย ซึ่งอาจนำไปสู่การบอกปากต่อปากที่ไม่ดีเกี่ยวกับโปรแกรม ทำให้ดึงดูดแฮ็กเกอร์ระดับแนวหน้าและนักวิจัยด้านความปลอดภัยได้ยากขึ้นและอาจ สาปแช่งความพยายามทั้งหมด

2. อย่ามองข้ามความสัมพันธ์ของคุณกับแฮกเกอร์และนักวิจัย

เป็นสิ่งสำคัญสำหรับแบรนด์ที่ต้องจำไว้ว่าโปรแกรมให้รางวัลบั๊กที่ประสบความสำเร็จนั้นขึ้นอยู่กับความสัมพันธ์ระหว่างโปรแกรมกับแฮกเกอร์/นักวิจัยที่เข้าร่วม แฮ็กเกอร์ที่มีความสุขมักเต็มใจที่จะใช้เวลากับโปรแกรมของคุณ และเพราะว่าทุกโปรแกรมเงินรางวัลกำลังต่อสู้เพื่อส่วนแบ่งของทรัพยากรที่มีจำกัด กล่าวคือ เวลาและความเอาใจใส่ของแฮ็กเกอร์/นักวิจัย สิ่งสำคัญคือต้องแน่ใจว่าคุณกำลังเตรียมการ เพื่อความสำเร็จโดยจัดลำดับความสำคัญของความสัมพันธ์นี้และทำสิ่งที่คุณทำได้เพื่อทำให้ตัวเองแตกต่างจากโปรแกรมอื่นๆ บางบริษัททำเช่นนี้โดยจ่ายเงินรางวัลที่มากกว่าค่าเฉลี่ยของอุตสาหกรรมสำหรับประเภทข้อผิดพลาดและความรุนแรงต่างๆ แต่นั่นไม่ใช่วิธีเดียว (หรือดีที่สุด) ที่จะทำ

เนื่องจากภูมิหลังของฉันในฐานะนักล่าค่าหัวแมลง ฉันจึงสามารถใช้ประสบการณ์ของฉันเพื่อช่วยแจ้งว่า Braze หล่อเลี้ยงความสัมพันธ์นั้นอย่างไร ตัวอย่างเช่น ฉันสามารถได้รับการบายอินเพื่อให้แน่ใจว่า Braze ใช้งานทั้งโปรแกรมค่าหัวบั๊กสาธารณะและส่วนตัวพร้อมกัน ซึ่งช่วยให้เราสามารถระบุตัวบุคคลที่เกี่ยวข้องกับโครงการสาธารณะของเราซึ่งกำลังรายงานรายงานที่ดีและถูกต้อง จากนั้นให้รางวัลแก่พวกเขาด้วยการเชิญพวกเขาเข้าร่วมโปรแกรมส่วนตัวของเรา ผู้เข้าร่วมเหล่านี้มีฟังก์ชันเพิ่มเติมเพื่อทดสอบและรับการถอดรหัสครั้งแรกในการเพิ่มขอบเขตใหม่ ก่อนที่เราจะเพิ่มลงในโปรแกรมสาธารณะ ฉันเชื่อว่าการทำสิ่งเล็กๆ แบบนี้ บริษัทต่างๆ สามารถแสดงความขอบคุณต่อนักวิจัยที่มีส่วนร่วมในโครงการของพวกเขา และกระตุ้นให้พวกเขามีส่วนร่วมมากขึ้นในอนาคต

3. Bug Bounty ดูแตกต่างไปจากด้านบริษัท

ก่อนที่ฉันจะเริ่มใช้โปรแกรมหาจุดบกพร่องของตัวเอง ฉันไม่ชอบทำงานกับโปรแกรมที่จัดการโดยแพลตฟอร์มของบุคคลที่สาม สำหรับโปรแกรมที่ตั้งขึ้นเช่นนี้ เป็นเรื่องปกติที่บริษัทต่างๆ จะพึ่งพาตัวไตรเอจของบุคคลที่สามที่แพลตฟอร์มจัดหาให้ ซึ่งตรวจสอบการส่งจากแฮ็กเกอร์/นักวิจัย และกำหนดความรุนแรงของข้อบกพร่องที่ระบุแต่ละรายการ และฉันเคยมีประสบการณ์ที่ผู้ไตร่ตรองมี โทรไปที่ฉันไม่เห็นด้วย

อย่างไรก็ตาม ตอนนี้ฉันอยู่อีกด้านหนึ่ง ฉันเห็นได้ว่าแนวทางที่ขับเคลื่อนด้วยแพลตฟอร์มประเภทนี้ให้คุณค่าแก่บริษัทที่ใช้มันมากน้อยเพียงใด แม้ว่าเราจะยังเกี่ยวข้องโดยตรงกับการดูแลงานที่ทำโดยผู้ทดสอบบุคคลที่สามที่เราใช้อยู่ แต่ฉันพบว่าการใช้ประโยชน์จากพวกมันสามารถทำอะไรได้มากมายเพื่อลดเวลาและภาระด้านพลังงานที่เกี่ยวข้องกับการรันโปรแกรมเช่นนี้ Triagers ที่เราทำงานด้วยเป็นผู้เชี่ยวชาญและได้พิสูจน์แล้วว่าเป็นทรัพยากรที่ยอดเยี่ยมสำหรับโปรแกรมของเรา ซึ่งช่วยให้การเปิดตัวของเราประสบความสำเร็จ

4. งานไม่สิ้นสุดเมื่อมีการระบุจุดบกพร่อง

ก่อนเข้าร่วม Braze ฉันมักจะรู้สึกหงุดหงิดกับโปรแกรม Bug Bounty ที่ต้องใช้เวลาหลายสัปดาห์หรือหลายเดือนในการแก้ไขช่องโหว่ที่ฉันส่งถึงพวกเขา จากมุมมองของฉัน ปัญหาโดยทั่วไปดูเหมือนค่อนข้างสั้นและแห้ง และฉันรู้สึกว่าโปรแกรมแก้ไขสำหรับจุดบกพร่องเหล่านั้นควรใช้เวลาเพียงเล็กน้อยหรือไม่มีเลยในการติดตั้ง

แต่ตอนนี้ ฉันได้เห็นสิ่งที่เกิดขึ้นเบื้องหลังเมื่อมีการส่งจุดบกพร่องเหล่านี้ ฉันตระหนักว่าฉันล้มเหลวในการคำนึงถึงการอภิปรายและงานทั้งหมดที่ทำเบื้องหลังระหว่างวงจรชีวิตของช่องโหว่ด้านความปลอดภัย—จากการสอบสวน และการยืนยันจุดบกพร่องและการส่งรายละเอียดเหล่านั้นไปยังทีมที่รับผิดชอบภายในถึงการเปลี่ยนแปลงการเข้ารหัส การทดสอบ และการเผยแพร่ที่เกิดขึ้นจริงก่อนที่จะมีการแก้ไขจุดบกพร่องอย่างแท้จริง ความจริงก็คือสิ่งเหล่านี้ต้องใช้เวลา และในฐานะแฮ็กเกอร์ ฉันไม่ได้คำนึงถึงงานที่เกี่ยวข้องเสมอไป ส่วนหนึ่งเป็นเพราะฉันต้องการให้กระบวนการทั้งหมดเสร็จสิ้นโดยเร็วที่สุดเพื่อที่ฉันจะได้รับเงิน

ความคิดสุดท้าย

การดำเนินโครงการ Bug Bounty สำหรับปีที่แล้วได้เปลี่ยนมุมมองทั้งหมดของฉันในอุตสาหกรรม และยังเปลี่ยนวิธีที่ฉันเลือกโปรแกรม Bug Bounty ที่ฉันมุ่งเน้นในเวลาว่าง การแอบดูหลังม่านนี้ทำให้ฉันเคารพงานสำคัญที่ทำโดยผู้ตรวจสอบแพลตฟอร์มและเข้าใจถึงไทม์ไลน์ที่เป็นจริงสำหรับบริษัทต่างๆ ในการประเมินและจัดการกับจุดบกพร่องที่ฉันส่งมากขึ้น ด้วยข้อมูลเชิงลึกใหม่นี้ ฉันหวังว่าฉันจะสามารถปรับปรุงและพัฒนาโปรแกรม Braze Bug Bounty ต่อไปได้ ในขณะที่มองเห็นความสำเร็จมากยิ่งขึ้นในฐานะนักล่าเงินรางวัล Bug Bounty ในอนาคต

สนใจร่วมทีมที่ Braze ไหม? ตรวจสอบบทบาทที่เปิดกว้างของเรา !