从黑客到漏洞赏金计划所有者:学习体验

已发表: 2022-04-27

自 2011 年成立以来,安全一直是 Braze 的主要优先事项。我们对保护客户数据的关注使我们在构建产品时采用了安全和隐私的设计理念,确保我们获得了 ISO 27001 认证和 SOC 2 Type 2,并建立一个专用的 HIPAA 集群,以帮助品牌保护受保护的健康信息。 但是,尽管所有这些步骤都很重要,但我们并没有固步自封。 你总是可以做更多的事情,专注于寻找新的方法来加强我们的安全是我来这里的一个重要原因。

早在 2020 年,Braze 的安全主管 Mark Shasha 就邀请我在这里帮助启动一个漏洞赏金计划,目的是更容易识别可能影响我们产品的安全问题。 现在该程序已经启动并运行了一年多,我认为是时候回顾一下我们构建的内容以及我在此过程中学到的东西。

什么是漏洞赏金计划?

在 Braze 漏洞赏金计划中,邀请外部各方尝试破坏经过清理的、无客户数据的 Braze 平台版本,并在他们发现有效、可操作的安全问题时获得报酬。 创建漏洞赏金计划使像 Braze 这样的公司能够利用外部安全研究人员和专业人员来识别潜在的安全问题,从而使我们能够主动解决漏洞。

这些计划被广泛视为公司可以采用的最重要的网络安全措施之一,部分原因是它允许品牌从大量具有各种技能的不同人员那里获得安全见解。 通常,启动和维护成功的公共漏洞赏金是组织拥有健康安全程序的标志,因为运行这样的程序没有事故需要一定程度的安全成熟度,这需要大量的思考和谨慎才能实现。

我作为漏洞赏金参与者的日子

我第一次听说漏洞赏金是在 2014 年,但因为我觉得它们听起来好得令人难以置信,所以直到 2016 年我才真正参与其中。受其他道德黑客写的一些博客文章的启发,我参加了雅虎! 错误赏金计划,发现我对这项工作有真正的诀窍。 一方面,他们让我有机会利用我的黑客技能来帮助保护计算机系统,而不是破坏它们。 另一方面,他们让我有机会在我工作的时候赚到大笔钱。

随着启动漏洞赏金计划的公司和政府组织数量的增加,我最终专门为与一家大型电信公司相关的漏洞赏金计划寻找服务器端请求伪造 (SSRF) 漏洞,仅从识别这些漏洞。 但是,虽然工作漏洞赏金的财务方面确实为我带来了回报,但我发现自己缺少日常工作所带来的结构和人际关系。 因此,当 Braze 让我有机会启动和监督我自己的漏洞赏金计划时,我抓住了这个机会。

我们如何在 Braze 启动错误赏金计划

在 Braze,我们必须经过许多步骤才能将我们的漏洞赏金计划愿景变为现实。 一方面,由于参与者会为他们发现的每一个有效的、可操作的错误付费,因此在不解决任何和所有已知漏洞的情况下启动赏金计划可能会导致公司为他们已经拥有的信息付出高昂的代价,同时减少计划的影响抬高其成本。 为此,我们在准备正式发布之前执行了以下步骤:

  • 与开发团队部署内部安全服务水平协议 (SLA)

  • 创建漏洞管理程序

  • 部署动态分析安全测试 (DAST) 工具

  • 执行内部渗透测试

  • 进行第三方渗透测试

  • 确保已修复所有已知问题

然后,一旦我们确信为漏洞赏金计划创建的复制版 Braze 平台已尽可能完成,我们就使用 Bugcrowd 平台启动了一个私有的、范围有限的计划。 我们启动了这个为期两周的按需计划,以便我们既可以将其用作概念证明,也可以帮助 Braze 组织了解运行错误赏金计划的现实。 毕竟,如果您以前没有遇到过漏洞赏金,那么邀请黑客和安全研究人员在您的产品中寻找安全漏洞的想法可能看起来很奇怪或令人困惑。

启动新漏洞赏金计划的 4 大收获

我很快就了解到,启动一个新的漏洞赏金计划比接管现有的要困难得多。 有很多不同的因素会影响创建一个成功的程序而没有得到那么多的关注——部分原因是它们不如识别关键错误、快速修复它们以及支付大笔奖金那么令人兴奋。 鉴于此,让我们谈谈我最大的一些经验:

1. 启动漏洞赏金计划需要跨团队协作

最初,我希望启动该程序就像决定做它、选择正确的平台、确定范围和赏金金额一样简单,然后就可以开始了。 但是,正确地做事需要比我想象的更多的计划、准备和关注。 一方面,我没有考虑到 Braze 中在支持漏洞赏金计划启动方面发挥作用的所有其他团队——从我们的法律团队所做的工作中,我们确保我们有适当的措辞我们对创建 SLA 的工作达成安全港协议,并确保在发生违规行为时我们有正确的升级流程。 这项工作可能具有挑战性,但绝对必要。 未经仔细计划和执行的漏洞赏金计划将不可避免地遇到许多问题,这反过来又会导致对该计划的口碑不佳,使其更难吸引顶级黑客和安全研究人员,并可能注定了整个努力。

2.永远不要忽视你与黑客和研究人员的关系

对于品牌而言,重要的是要记住,成功的漏洞赏金计划取决于该计划与参与其中的黑客/研究人员之间的关系。 快乐的黑客更愿意把时间花在你的程序上,并且鉴于每个赏金计划都在争夺有限资源的份额——即黑客/研究人员的时间和注意力——确保你自己做好准备很重要通过优先考虑这种关系并尽你所能将自己与其他项目区分开来,以获得成功。 一些公司通过为各种错误类别和严重程度支付高于行业平均水平的奖金来做到这一点,但这并不是唯一(或最好)的方式。

由于我作为漏洞赏金猎人的背景,我能够利用我的经验来帮助了解 Braze 如何培养这种关系。 例如,我能够获得支持,以确保 Braze 同时运行公共和私人漏洞赏金计划。 这使我们能够识别参与我们公共计划的个人,他们报告了良好、有效的报告,然后通过邀请他们参加我们的私人计划来奖励他们。 在我们将它们添加到公共程序之前,这些参与者具有额外的功能来测试并获得新范围添加的第一次破解。 我相信,通过做这样的小事,公司可以对为他们的项目做出贡献的研究人员表示感谢,并鼓励他们在未来加深参与。

3. 漏洞赏金看起来与公司不同

在我开始运行自己的漏洞赏金计划之前,我不喜欢使用由第三方平台管理的程序。 对于像这样设置的程序,公司通常依赖平台提供的第三方分类器,他们审查黑客/研究人员的提交并确定每个已识别错误的严重性,我在分类器有一些经验拨打了我不同意的电话。

然而,现在我站在另一边,我可以看到这种平台驱动的方法为使用它的公司提供了多少价值。 虽然我们仍在直接监督我们使用的第三方分类器所做的工作,但我发现利用它们可以大大减少与运行此类程序相关的时间和精力负担。 与我们合作的分类器是专业人士,并且已被证明是我们计划的重要资产,有助于使我们的成功推出成为可能。

4. 发现错误后工作不会结束

在加入 Braze 之前,我经常对需要数周或数月才能修复我提交给他们的漏洞的漏洞赏金计划感到沮丧。 从我的角度来看,这些问题通常看起来很简单,我觉得这些错误的补丁应该很少或根本不需要时间来实施。

但是现在我已经目睹了当提交其中一个错误时在幕后发生的事情,我意识到我没有考虑到在安全漏洞的生命周期中在幕后完成的所有讨论和工作——来自调查确认错误并将这些细节交付给内部负责团队,以便在真正解决错误之前进行实际的编码更改、测试和发布。 现实情况是,这些事情需要时间,而且作为一名黑客,我并不总是考虑所涉及的工作,部分原因是我希望尽快完成整个过程,以便获得报酬。

最后的想法

去年运行一个漏洞赏金计划改变了我对这个行业的整个看法,甚至改变了我选择空闲时间关注的漏洞赏金计划的方式。 这一幕后的一瞥让我更加尊重平台分类人员所做的基本工作,并更好地了解公司评估和解决我提交的错误的现实时间表。 有了这个新的见解,我希望我可以继续改进和发展 Braze 漏洞赏金计划,同时也看到未来作为漏洞赏金猎人取得更大的成功。

有兴趣加入 Braze 的团队吗? 查看我们的空缺职位