從黑客到漏洞賞金計劃所有者:學習體驗

已發表: 2022-04-27

自 2011 年成立以來,安全一直是 Braze 的主要優先事項。我們對保護客戶數據的關注使我們在構建產品時採用了安全和隱私的設計理念,確保我們獲得了 ISO 27001 認證和 SOC 2 Type 2,並建立一個專用的 HIPAA 集群,以幫助品牌保護受保護的健康信息。 但是,儘管所有這些步驟都很重要,但我們並沒有固步自封。 你總是可以做更多的事情,專注於尋找新的方法來加強我們的安全是我來這裡的一個重要原因。

早在 2020 年,Braze 的安全主管 Mark Shasha 就邀請我在這裡幫助啟動一個漏洞賞金計劃,目的是更容易識別可能影響我們產品的安全問題。 現在該程序已經啟動並運行了一年多,我認為是時候回顧一下我們構建的內容以及我在此過程中學到的東西。

什麼是漏洞賞金計劃?

在 Braze 漏洞賞金計劃中,邀請外部各方嘗試破壞經過清理的、無客戶數據的 Braze 平台版本,並在他們發現有效、可操作的安全問題時獲得報酬。 創建漏洞賞金計劃使像 Braze 這樣的公司能夠利用外部安全研究人員和專業人員來識別潛在的安全問題,從而使我們能夠主動解決漏洞。

這些計劃被廣泛視為公司可以採用的最重要的網絡安全措施之一,部分原因是它允許品牌從大量具有各種技能的不同人員那裡獲得安全見解。 通常,啟動和維護成功的公共漏洞賞金是組織擁有健康安全程序的標誌,因為運行這樣的程序沒有事故需要一定程度的安全成熟度,這需要大量的思考和謹慎才能實現。

我作為漏洞賞金參與者的日子

我第一次聽說漏洞賞金是在 2014 年,但因為我覺得它們聽起來好得令人難以置信,所以直到 2016 年我才真正參與其中。受其他道德黑客寫的一些博客文章的啟發,我參加了雅虎! 錯誤賞金計劃,發現我對這項工作有真正的訣竅。 一方面,他們讓我有機會利用我的黑客技能來幫助保護計算機系統,而不是破壞它們。 另一方面,他們讓我有機會在我工作的時候賺到大筆錢。

隨著啟動漏洞賞金計劃的公司和政府組織數量的增加,我最終專門為與一家大型電信公司相關的漏洞賞金計劃尋找服務器端請求偽造 (SSRF) 漏洞,僅從識別這些漏洞。 但是,雖然工作漏洞賞金的財務方面確實為我帶來了回報,但我發現自己缺少日常工作所帶來的結構和人際關係。 因此,當 Braze 讓我有機會啟動和監督我自己的漏洞賞金計劃時,我抓住了這個機會。

我們如何在 Braze 啟動錯誤賞金計劃

在 Braze,我們必須經過許多步驟才能將我們的漏洞賞金計劃願景變為現實。 一方面,由於參與者會為他們發現的每一個有效的、可操作的錯誤付費,因此在不解決任何和所有已知漏洞的情況下啟動賞金計劃可能會導致公司為他們已經擁有的信息付出高昂的代價,同時減少計劃的影響抬高其成本。 為此,我們在準備正式發布之前執行了以下步驟:

  • 與開發團隊部署內部安全服務水平協議 (SLA)

  • 創建漏洞管理程序

  • 部署動態分析安全測試 (DAST) 工具

  • 執行內部滲透測試

  • 進行第三方滲透測試

  • 確保已修復所有已知問題

然後,一旦我們確信為漏洞賞金計劃創建的複製版 Braze 平台已盡可能完成,我們就使用 Bugcrowd 平台啟動了一個私有的、範圍有限的計劃。 我們啟動了這個為期兩週的按需計劃,以便我們既可以將其用作概念證明,也可以幫助 Braze 組織了解運行錯誤賞金計劃的現實。 畢竟,如果您以前沒有遇到過漏洞賞金,那麼邀請黑客和安全研究人員在您的產品中尋找安全漏洞的想法可能看起來很奇怪或令人困惑。

啟動新漏洞賞金計劃的 4 大收穫

我很快就了解到,啟動一個新的漏洞賞金計劃比接管現有的要困難得多。 有很多不同的因素會影響創建一個成功的程序而沒有得到那麼多的關注——部分原因是它們不如識別關鍵錯誤、快速修復它們以及支付大筆獎金那麼令人興奮。 鑑於此,讓我們談談我最大的一些經驗:

1. 啟動漏洞賞金計劃需要跨團隊協作

最初,我希望啟動該程序就像決定做它、選擇正確的平台、確定範圍和賞金金額一樣簡單,然後就可以開始了。 但是,正確地做事需要比我想像的更多的計劃、準備和關注。 一方面,我沒有考慮到 Braze 中在支持漏洞賞金計劃啟動方面發揮作用的所有其他團隊——從我們的法律團隊所做的工作中,我們確保我們有適當的措辭我們對創建 SLA 的工作達成安全港協議,並確保在發生違規行為時我們有正確的升級流程。 這項工作可能具有挑戰性,但絕對必要。 未經仔細計劃和執行的漏洞賞金計劃將不可避免地遇到許多問題,這反過來又會導致對該計劃的口碑不佳,使其更難吸引頂級黑客和安全研究人員,並可能注定了整個努力。

2.永遠不要忽視你與黑客和研究人員的關係

對於品牌而言,重要的是要記住,成功的漏洞賞金計劃取決於該計劃與參與其中的黑客/研究人員之間的關係。 快樂的黑客更願意把時間花在你的程序上,並且鑑於每個賞金計劃都在爭奪有限資源的份額——即黑客/研究人員的時間和注意力——確保你自己做好準備很重要通過優先考慮這種關係並儘你所能將自己與其他項目區分開來,以獲得成功。 一些公司通過為各種錯誤類別和嚴重程度支付高於行業平均水平的獎金來做到這一點,但這並不是唯一(或最好)的方式。

由於我作為漏洞賞金獵人的背景,我能夠利用我的經驗來幫助了解 Braze 如何培養這種關係。 例如,我能夠獲得支持,以確保 Braze 同時運行公共和私人漏洞賞金計劃。 這使我們能夠識別參與我們公共計劃的個人,他們報告了良好、有效的報告,然後通過邀請他們參加我們的私人計劃來獎勵他們。 在我們將它們添加到公共程序之前,這些參與者俱有額外的功能來測試並獲得新範圍添加的第一次破解。 我相信,通過做這樣的小事,公司可以對為他們的項目做出貢獻的研究人員表示感謝,並鼓勵他們在未來加深參與。

3. 漏洞賞金看起來與公司不同

在我開始運行自己的漏洞賞金計劃之前,我不喜歡使用由第三方平台管理的程序。 對於像這樣設置的程序,公司通常依賴平台提供的第三方分類器,他們審查黑客/研究人員的提交並確定每個已識別錯誤的嚴重性,我在分類器有一些經驗撥打了我不同意的電話。

然而,現在我站在另一邊,我可以看到這種平台驅動的方法為使用它的公司提供了多少價值。 雖然我們仍在直接監督我們使用的第三方分類器所做的工作,但我發現利用它們可以大大減少與運行此類程序相關的時間和精力負擔。 與我們合作的分類器是專業人士,並且已被證明是我們計劃的重要資產,有助於使我們的成功推出成為可能。

4. 發現錯誤後工作不會結束

在加入 Braze 之前,我經常對需要數週或數月才能修復我提交給他們的漏洞的漏洞賞金計劃感到沮喪。 從我的角度來看,這些問題通常看起來很簡單,我覺得這些錯誤的補丁應該很少或根本不需要時間來實施。

但是現在我已經目睹了當提交其中一個錯誤時在幕後發生的事情,我意識到我沒有考慮到在安全漏洞的生命週期中在幕後完成的所有討論和工作——來自調查確認錯誤並將這些細節交付給內部負責團隊,以便在真正解決錯誤之前進行實際的編碼更改、測試和發布。 現實情況是,這些事情需要時間,而且作為一名黑客,我並不總是考慮所涉及的工作,部分原因是我希望盡快完成整個過程,以便獲得報酬。

最後的想法

去年運行一個漏洞賞金計劃改變了我對這個行業的整個看法,甚至改變了我選擇空閒時間關注的漏洞賞金計劃的方式。 這一幕後的一瞥讓我更加尊重平台分類人員所做的基本工作,並更好地了解公司評估和解決我提交的錯誤的現實時間表。 有了這個新的見解,我希望我可以繼續改進和發展 Braze 漏洞賞金計劃,同時也看到未來作為漏洞賞金獵人取得更大的成功。

有興趣加入 Braze 的團隊嗎? 查看我們的空缺職位