Hacker'dan Bug Bounty Programı Sahibine: Bir Öğrenme Deneyimi
Yayınlanan: 2022-04-272011 yılındaki kuruluşumuzdan bu yana Braze'de güvenlik büyük bir öncelik olmuştur. Müşterilerimizin verilerini korumaya odaklanmamız, ürünümüzü oluştururken tasarım yoluyla bir güvenlik ve gizlilik zihniyetini benimsememize ve ISO 27001 ile bağlantılı olarak sertifikalandırıldığımızdan emin olmamıza neden oldu. ve SOC 2 Tip 2 ve markaların korunan sağlık bilgilerini korumasına yardımcı olmak için özel bir HIPAA kümesi oluşturmak. Ancak tüm bu adımlar önemli olsa da, defnemize dayanmıyoruz. Her zaman yapabileceğiniz daha çok şey vardır ve güvenliğimizi güçlendirmenin yeni yollarını bulmaya odaklanmak burada olmamın büyük bir nedenidir.
2020'de, Braze Güvenlik Müdürü Mark Shasha, ürünümüzü etkileyebilecek güvenlik sorunlarını tanımlamayı kolaylaştırmak amacıyla beni burada bir hata ödül programı başlatmaya yardım etmem için getirdi. Ve şimdi program bir yıldan biraz fazla bir süredir hazır ve çalışıyor, ne inşa ettiğimize ve yol boyunca ne öğrendiğime bakmanın zamanının geldiğini düşündüm.
Hata Ödül Programı Nedir?
Braze hata ödül programında, dış taraflar Braze platformunun temizlenmiş, müşteri verilerinden arındırılmış bir sürümünü tehlikeye atmaya davet edilir ve geçerli, eyleme dönüştürülebilir bir güvenlik sorunu belirlediklerinde ödeme yapılır. Bir hata ödül programı oluşturmak, Braze gibi bir şirketin potansiyel güvenlik sorunlarını belirlemek için harici güvenlik araştırmacıları ve profesyonellerinden yararlanmasını mümkün kılar ve bu da güvenlik açıklarını proaktif olarak ele almamızı sağlar.
Bu programlar yaygın olarak bir şirketin benimseyebileceği en önemli siber güvenlik önlemlerinden biri olarak görülüyor - kısmen, çünkü markaların çok çeşitli becerilere sahip çok sayıda farklı insandan güvenlik içgörüleri elde etmesine olanak tanıyor. Kural olarak, başarılı bir genel hata ödülü başlatmak ve sürdürmek, bir kuruluşun sağlıklı bir güvenlik programına sahip olduğunun bir işaretidir, çünkü böyle bir programı olaysız çalıştırmak, elde edilmesi çok fazla düşünce ve özen gerektiren bir güvenlik olgunluğu düzeyi gerektirir.
Bug Bounty Katılımcısı Olarak Günlerim
Hata ödüllerini ilk kez 2014'te duydum, ancak kulağa gerçek olamayacak kadar iyi geldiğini düşündüğüm için 2016'ya kadar gerçekten katılmadım. Diğer etik korsanlar tarafından yazılan bazı blog yazılarından ilham alarak katıldım. Yahoo! bug bounty programı buldum ve bu iş için gerçek bir ustalığım olduğunu keşfettim. Birincisi, bilgisayar sistemlerini tehlikeye atmak yerine korumaya yardımcı olmak için bilgisayar korsanlığı becerilerimden yararlanma fırsatı verdiler. Bir diğeri için, ben işteyken bana büyük miktarda para kazanma fırsatı verdiler.
Hata ödül programları başlatan şirket ve hükümet kuruluşlarının sayısı arttıkça, büyük bir telekomünikasyon şirketi ile ilişkili bir hata ödül programı için sunucu tarafı istek sahteciliği (SSRF) hatalarını avlama konusunda uzmanlaştım ve sadece 1 milyon doların hemen altında bir para kazandım. bu güvenlik açıklarının belirlenmesi. Ancak, çalışan böcek ödüllerinin mali yönü benim için gerçekten işe yarasa da, kendimi bir günlük iş ile gelen yapıyı ve kişisel bağlantıları kaçırırken buldum. Bu yüzden Braze bana kendi böcek ödül programımı başlatma ve denetleme fırsatını sunduğunda, şansımı kaçırdım.
Braze'de Bug Bounty Programını Nasıl Başlattık?
Braze'de böcek ödül programı vizyonumuzu gerçeğe dönüştürmeden önce birkaç adımdan geçmemiz gerekiyordu. Birincisi, katılımcılara buldukları her geçerli, eyleme geçirilebilir hata için ödeme yapıldığından, bilinen tüm güvenlik açıklarını ele almadan bir ödül programı başlatmak, şirketlerin halihazırda sahip oldukları bilgiler için en yüksek doları ödemesine neden olabilir ve bu da programın etkisini azaltırken eş zamanlı olarak maliyetini artırıyor. Bu amaçla, resmi bir lansmana hazırlanmadan önce aşağıdaki adımları gerçekleştirdik:
Geliştirme ekipleriyle iç güvenlik hizmeti düzeyi anlaşmaları (SLA'lar) dağıtma
Bir güvenlik açığı yönetim programı oluşturma
Dinamik analiz güvenlik testi (DAST) araçlarını dağıtma
Dahili sızma testleri yapmak
Üçüncü taraf sızma testleri gerçekleştirin
Bilinen tüm sorunların giderildiğinden emin olmak
Ardından, hata ödül programı için oluşturulan Braze platformunun çoğaltılmış sürümünün mümkün olduğunca ayrıntılı olduğundan emin olduktan sonra, Bugcrowd platformunu kullanarak özel, sınırlı kapsamlı bir program başlattık. Bu iki haftalık, isteğe bağlı programı, hem konsept kanıtı olarak kullanabilmemiz hem de Braze organizasyonunu bir hata ödül programı yürütmenin gerçekleriyle tanıştırmaya yardımcı olabilmemiz için başlattık. Sonuçta, daha önce hata ödülleriyle karşılaşmadıysanız, bilgisayar korsanlarını ve güvenlik araştırmacılarını ürününüzdeki güvenlik açıklarını aramaya davet etme fikri garip veya kafa karıştırıcı görünebilir.
Yeni Bir Hata Ödül Programı Başlatmaktan 4 Büyük Öğrenim
Yeni bir hata ödül programı başlatmanın mevcut bir programı devralmaktan çok daha zor olduğunu çok çabuk öğrendim. Başarılı bir program oluşturmaya giden ve bu kadar fazla dikkat çekmeyen pek çok farklı faktör vardır - kısmen, çünkü bunlar kritik hataları belirlemek, onları hızlı bir şekilde düzeltmek ve büyük ödüller ödemek kadar heyecan verici değildir. Bunu göz önünde bulundurarak, en büyük öğrenmelerimden birkaçını konuşalım:
1. Bir Hata Ödül Programı Başlatmak Ekipler Arası İşbirliği Gerektirir
Başlangıçta, programı başlatmanın, onu yapmaya karar vermek, doğru platformu seçmek, kapsam ve ödül miktarlarına karar vermek ve ardından her şeyi başlatmak kadar basit olacağını ummuştum. Ama bunu doğru yapmak düşündüğümden çok daha fazla planlama, hazırlık ve dikkat gerektiriyor. Birincisi, hata ödül programının başlatılmasını desteklemekte rolü olan Braze'deki diğer tüm ekipleri hesaba katmamıştım - Hukuk ekibimizin doğru ifadelere sahip olduğumuzdan emin olmak için yaptığı çalışmalardan. SLA'larımızı oluşturmak ve ihlaller olduğunda doğru yükseltme sürecine sahip olmamızı sağlamak için yapılan çalışmalara Güvenli Liman anlaşmamız. Bu çalışma zorlu olabilir, ancak kesinlikle gereklidir. Dikkatlice planlanmamış ve uygulanmamış bir hata ödül programı, kaçınılmaz olarak birçok sorunla karşılaşacak ve bu da program hakkında kötü söylentilere yol açarak üst düzey bilgisayar korsanlarını ve güvenlik araştırmacılarını çekmeyi zorlaştıracak ve potansiyel olarak tüm çabayı mahvediyor.
2. Hackerlar ve Araştırmacılarla İlişkinizi Asla Gözden Kaçırmayın
Başarılı bir hata ödül programının, program ile programa katılan bilgisayar korsanları/araştırmacılar arasındaki ilişkiye bağlı olduğunu markaların hatırlaması önemlidir. Mutlu bilgisayar korsanları zamanlarını programınıza harcamaya çok daha isteklidirler ve her ödül programının sınırlı bir kaynağın -yani bilgisayar korsanlarının/araştırmacıların zaman ve dikkati- payı için savaştığı göz önüne alındığında, kendinizi hazırladığınızdan emin olmanız önemlidir. Bu ilişkiye öncelik vererek ve kendinizi diğer programlardan ayırmak için elinizden geleni yaparak başarı için. Bazı şirketler bunu, çeşitli hata sınıfları ve ciddiyetleri için sektör ortalamasından daha büyük ödüller ödeyerek yapar, ancak bunu yapmanın tek (veya en iyi) yolu bu değildir.
Bir böcek ödül avcısı olarak geçmişim nedeniyle, Braze'in bu ilişkiyi nasıl beslediği konusunda bilgi vermek için deneyimlerimi kullanabildim. Örneğin, Braze'in hem genel hem de özel hata ödül programlarını aynı anda çalıştırdığından emin olmak için katılım satın alabildim. Bu, genel programımıza dahil olan ve iyi ve geçerli raporlar bildiren kişileri belirlememize ve ardından onları özel programımıza davet ederek ödüllendirmemize olanak tanır. Bu katılımcıların, biz onları genel programa eklemeden önce yeni kapsam eklemelerini test etmek ve ilk çatlağı elde etmek için ek işlevleri vardır. Şirketlerin bunun gibi küçük şeyler yaparak programlarına katkıda bulunan araştırmacılara takdirlerini gösterebileceklerine ve onları gelecekte bağlılıklarını derinleştirmeye teşvik edebileceklerine inanıyorum.
3. Hata Ödülleri Şirket Tarafından Farklı Görünüyor
Kendi hata ödül programımı çalıştırmaya başlamadan önce, üçüncü taraf bir platform tarafından yönetilen programlarla çalışmanın hayranı değildim. Bu şekilde kurulan programlar için, şirketlerin, bilgisayar korsanlarından/araştırmacılardan gelen gönderileri gözden geçiren ve tanımlanan her bir hatanın ciddiyetini belirleyen, platform tarafından sağlanan üçüncü taraf triyajlarına güvenmesi yaygındır ve triyajörlerin olduğu yerlerde bazı deneyimlerim oldu. Kabul etmediğim aramalar yaptı.
Ancak şimdi diğer tarafta olduğum için, bu tür platform odaklı yaklaşımın onu kullanan şirketlere ne kadar değer sağladığını görebiliyorum. Kullandığımız üçüncü taraf tetikleyiciler tarafından yapılan işi doğrudan denetlemekle hâlâ ilgilensek de, bunlardan yararlanmanın böyle bir programı çalıştırmayla ilişkili zaman ve enerji yükünü azaltmak için çok şey yapabileceğini gördüm. Birlikte çalıştığımız triyajlar profesyoneller ve programımıza büyük bir değer kattıklarını kanıtladılar ve başarılı bir şekilde kullanıma sunmamızı mümkün kılmaya yardımcı oldular.
4. Hata Tespit Edildiğinde İş Bitmez
Braze'e katılmadan önce, onlara sunduğum güvenlik açıklarını düzeltmesi haftalar veya aylar süren hata ödül programlarından sık sık sıkılırdım. Benim bakış açıma göre, sorunlar genellikle oldukça kesik ve kuru görünüyordu ve bu hataların yamasının uygulanmasının çok az zaman alması veya hiç zaman almaması gerektiğini hissettim.
Ancak şimdi, bu hatalardan biri gönderildiğinde sahne arkasında neler olduğuna tanık olduğum için, bir güvenlik açığının yaşam döngüsü boyunca sahne arkasında yapılan tüm tartışmaları ve çalışmaları - soruşturmadan itibaren - hesaba katmadığımı fark ettim. ve hatanın doğrulanması ve bu ayrıntıların, hata gerçekten ele alınmadan önce gerçekleşmesi gereken gerçek kodlama değişiklikleri, testler ve sürümler için dahili olarak sorumlu ekibe iletilmesi. Gerçek şu ki, bu işler zaman alıyor ve bir bilgisayar korsanı olarak, ilgili işi her zaman dikkate almadım, çünkü kısmen tüm sürecin mümkün olduğunca çabuk yapılmasını istedim, böylece ödeme alabildim.
Son düşünceler
Geçen yıl bir hata ödül programı yürütmek, sektöre dair tüm bakış açımı değiştirdi ve hatta boş zamanlarımda hangi hata ödül programlarına odaklanacağımı seçme şeklimi bile değiştirdi. Perdenin arkasındaki bu bakış, platform triyagerleri tarafından yapılan temel çalışmalara çok daha fazla saygı duymamı ve şirketlerin sunduğum hataları değerlendirip ele almaları için gerçekçi zaman çizelgelerinin ne olduğunu daha iyi anlamamı sağladı. Bu yeni anlayışla, bir hata ödül avcısı olarak ileride daha da fazla başarı elde ederken, Braze böcek ödül programını geliştirmeye ve büyütmeye devam edebileceğimi umuyorum.
Braze'deki ekibe katılmak ister misiniz? Açık rollerimize göz atın !