Become a partner   | Request Support  | Contact Sales  | 1Stack access

    • Diventa Autore per CoreTech | Scopri di più


    Aggiornamento listini
    Aumento listino prezzi
    Avviso
    Cambio listini
    Fiere it
    News
    Promotion
    Risoluzione problema
    Update

    1Backup1Stack1SuiteAKCPAVGAcronisAcunetixAdobeAvastBackupBusinessCSPCertificatiSSLCloudCloudRevolutionsCompleteBoxCompleteFTPCoreTechDRaaSDeviceLockDisasterRecoveryDrWebEgoSecureEsetEventiFirewallFlashStartGDPRGDataGFIGFI ClearViewGFIArchiverGFIClearViewGFIEventsManagerGFIFaxMakerGFIHelpDeskGFILanguardGFIMailEssentialsGFIUnlimitedGITHTTP3HackingJenkinsJoomlaKasperskyKerioKerioConnectKerioConnectCloudKerioControlKerioOperatorLinuxMSPMSPRichardTubbMacMailMailArchiveMailStoreMarketingMicroFocusMotoEMyEndpointProtectorN-AbleNAbleNAble MDRNAbleMDRNod32NodeJSOffice365PBSaaSPRTGPleskProgrammazioneRocketBoxRocketMailRocketNewsletterRocketWebRohosRunecastSMINESPLAMicrosoftSSLSecurityServ-UServerlessSicurezzaSigilloSmartWorkingSmarterMailSmarterTrackSmaterMailStellarSummitSummit2020SygmaSygmaConnectSygmaPasswordSysAdminTSPlusTuxCareVMExplorerVMWareVMWxplorerVPNaaSVirtualPrinterVirtualizzazioneWMWareWebWebinarWindowsWordpressZEN Dev ServereSport

    5 motivi per non fare affidamento sui programmi Bounty

    09/02/21 CoreTech Blog

    Congratulazioni! Hai preso la decisione giusta per avviare un programma di taglie. Ciò significa che puoi mantenere una postura sicura senza uno scanner di vulnerabilità web e test di penetrazione manuali? E se no, perché no?

    Molte aziende stanno saltando sul carro del programma di taglie e questo è fantastico! Sfortunatamente, molti di loro lo considerano la soluzione principale per la sicurezza delle loro applicazioni web, e non è così eccezionale.

    Avere un programma di taglie in atto senza attività di sicurezza delle applicazioni web interne è come avere un caveau di una banca con solo una semplice serratura, senza telecamere, senza agenti di sicurezza, senza sensori di alcun tipo e affiggendo un poster sulla porta della banca con scritto "$ 1000 se puoi provare che il nostro caveau di una banca può essere scassinato”. È una ricetta per il disastro.

    Diamo un'occhiata a 5 motivi per cui non dovresti fare affidamento su un programma di taglie come principale garanzia di sicurezza delle applicazioni web.

    Motivo 1. Non tutti sanno del tuo programma

    Torniamo all'esempio del caveau di una banca. Se metti un poster sulla porta della tua banca, solo i passanti lo noteranno potenzialmente e ancora meno lo leggeranno. La possibilità che una di queste persone sia un professionista della sicurezza che avrebbe le capacità per testare effettivamente il tuo caveau è quasi nulla. È esattamente lo stesso con un programma di taglie: se non lo promuovi, nessuno lo saprà.

    Non è facile promuovere un programma di taglie. Meno marchio popolare rappresenti, più devi investire in pubblicità specialistica mirata alla comunità degli hacker: la semplice registrazione a un programma di sicurezza in crowdsourcing non sarà sufficiente. Tutto sommato, per rendere il tuo programma di taglie efficace come mezzo principale per proteggere le tue applicazioni web, dovresti investire una cifra piuttosto elevata. Sarebbe uno degli approcci economicamente meno validi alla sicurezza web.

    Motivo 2. Non tutti si preoccupano del tuo programma

    Anche se gli hacker conoscono il tuo programma, anche se sei molto efficace nel pubblicizzarlo, non vi è alcuna garanzia che un hacker darà un'occhiata alle tue applicazioni web. Gli hacker hanno tempo e risorse limitati e si concentrano sul lavoro che paga meglio.

    Ci sono tre fattori che influenzano la probabilità che il tuo programma di taglie venga percepito come attraente dalla comunità degli hacker:

    1. Fattore uno: i soldi. Se un hacker riceve $ 1000 dal tuo programma di taglie ma può aspettarsi $ 10000 da un'altra azienda, ovviamente tenterà di ottenere prima il premio più grande. Pertanto, per testare la tua sicurezza, potresti finire in una feroce concorrenza per l'attenzione.
    2. Fattore due: difficoltà. Ovviamente, gli hacker cercheranno prima i lavori facili. Pertanto, se la tua applicazione web è piena di vulnerabilità minori, puoi aspettarti che vengano trovate rapidamente. Tutto sommato, sprecherai denaro per questioni che non rappresentano davvero una minaccia e le vulnerabilità davvero pericolose e difficili da trovare potrebbero persistere per sempre.
    3. Fattore tre: prestigio. Se rappresenti un marchio noto, è più probabile che gli hacker tenteranno di aiutarti perché potranno vantarsene in seguito. Se non hai un'azienda popolare come Google o Facebook, sarai molto più in basso nei loro elenchi.

    Motivo 3. I cacciatori di taglie si concentrano su vulnerabilità specifiche

    Come abbiamo accennato, i cacciatori di taglie sono solo umani e trovare le vulnerabilità richiede molto tempo. Gli hacker non riescono a trovare cento numeri al giorno. Spesso trascorrono molti giorni lavorando su una sola potenziale vulnerabilità. Questo è il motivo per cui spesso si concentrano su tipi specifici di vulnerabilità, a seconda della loro area di competenza e preferenze personali.

    Un programma di bug bounty non può garantire una copertura completa di tutte le potenziali vulnerabilità. Anche se un hacker esperto si interessa al tuo programma, molto probabilmente si concentrerà solo su una piccola classe di vulnerabilità, ignorando completamente tutte le altre.

    Motivo 4. Ci vuole molto tempo perché il programma Bounty funzioni

    Anche se tutti i problemi precedenti venissero risolti, il processo richiederebbe molto tempo. Anche se i cacciatori di taglie alla fine venissero a conoscenza del tuo programma, si interessassero ad esso e se trovassi molti specialisti che si concentrano su diversi tipi di vulnerabilità, impiegherebbero comunque molto tempo per eseguire test di sicurezza manuali su un sito web o un'applicazione web complessi.

    In pratica, significa che potrebbero volerci diversi mesi o più per vedere i risultati del tuo programma di bug bounty. Fino a quando non vedi questi risultati, le tue applicazioni web rimangono completamente aperte agli attacchi. E ricorda, gli hacker black hat hanno la stessa possibilità di imbattersi nei tuoi insetti come i cacciatori di taglie.

    Motivo 5. I cacciatori di taglie ti fanno pagare per l'utilizzo di software che potresti acquistare

    Ultimo ma non meno importante, i cacciatori di taglie sono intelligenti e sanno come rendere il loro lavoro più facile. Se si rendono conto che molte aziende hanno programmi di ricompensa in atto ma non utilizzano alcun software automatizzato, useranno tale software da sole. Pertanto, i cacciatori di taglie possono scansionare il tuo sito web usando ad esempio Acunetix, trovare diverse vulnerabilità e in questo modo coprire il costo della loro licenza.

    A breve termine, potresti pensare che sia più conveniente lasciare che i cacciatori di taglie paghino per il software che dovresti utilizzare. Tuttavia, a lungo termine, non sarai affatto protetto e questo potrebbe continuare a succederti ancora e ancora. Per non parlare del fatto che perderesti tutti gli altri vantaggi che una soluzione di sicurezza web ti offre.

    Soluzione: l'immagine completa

    Significa tutto che il tuo programma bug bounty è inutile e investire in esso è stato un errore? Assolutamente no! Dimostra solo che il programma non deve essere trattato come la soluzione definitiva.

    Torniamo di nuovo all'esempio del caveau di una banca. Un caveau di una banca ben protetto necessita di telecamere installate in più punti. In molti casi, ci sarebbero anche sensori di pressione e laser. Ci sarebbero guardie di sicurezza in servizio 24 ore al giorno accanto ad essa. Anche la porta della banca sarebbe stata chiusa. Ci sarebbero anche pulsanti di allarme per i dipendenti, linee di comunicazione indipendenti per chiedere aiuto e molte altre misure.

    È esattamente lo stesso con la sicurezza delle applicazioni web. Hai bisogno di molti elementi per avere successo:

    1. Al centro del tuo programma di sicurezza delle applicazioni web, dovresti avere uno scanner di vulnerabilità delle applicazioni web (uno strumento DAST). Questo ti aiuterà a trovare e risolvere la maggior parte dei problemi in modo rapido ed efficace. Comunque, questo non è abbastanza.
    2. Inoltre, è necessario eseguire test di penetrazione manualiper trovare problemi che non possono essere rilevati da alcun software automatico. Poiché un team di sicurezza interno può essere prevenuto o sovraccarico di lavoro, è necessario ordinare test di penetrazione esterni una volta ogni pochi mesi. Se hai le risorse, potresti anche migliorare la tua posizione aggiungendo esercizi di squadra rossi .
    3. Un programma di bug bounty è un'ottima aggiunta ai due passaggi precedenti. Il suo scopo principale è quello di coprire solo le vulnerabilità che verrebbero perse nei due passaggi precedenti e di consentire una divulgazione responsabile. Non dovrebbe mai essere considerato un sostituto della scansione delle vulnerabilità e dei test di penetrazione.
    4. È inoltre necessario considerare l'utilizzo di un firewall per applicazioni Web integrato con lo scanner di vulnerabilità. Sebbene un firewall per applicazioni Web da solo non sia molto utile per trovare le vulnerabilità, se integrato con uno scanner può essere utilizzato con il massimo vantaggio: per proteggerti dallo sfruttamento delle vulnerabilità che sono state trovate ma che non possono essere risolte immediatamente.
    5. Ultimo ma non meno importante, dovresti prendere in considerazione lo spostamento a sinistra e l'introduzione di DevSecOps. Questo ti consentirebbe di testare il tuo software il prima possibile, utilizzando non solo DAST ma anche strumenti SAST e / o IAST , trovando così ancora più potenziali problemi prima che diventino un problema.

    Se qualcuno ti dice che puoi ottenere la sicurezza senza prendere in considerazione tutto quanto sopra, ti sta fuorviando. A riprova, basta ricordare l'esempio del caveau di una banca.

     

    Articoli su Sicurezza

    Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23

    Knowledge Base su Sicurezza

    Web App Penetration Test con BurpLe sfide per il programmatore nell’era della sicurezza ITAnalisi dei rischi per SysAdmin, DevOps e DevSviluppare in sicurezza: strumenti e best practicesCome nasce un malwareIl protocollo HTTP3 e QuicAutorizzazione delegata e OAuth2

    Eventi su Sicurezza

    20/03/25 Nuove tecniche di Phishing e protezione del dato11/03/25 Security Summit Milano 202520/11/24 VERA. Valutare il rischio velocemente25/09/24 ISO/IEC 27001. I sistemi di gestione per la sicurezza delle informazioni08/05/24 Whistleblowing. Un’esperienza di adeguamento19/04/24 REDHOTCYBER Conference18/04/24 NIS2: Cosa è richiesto e come prepararsi29/03/24 Corso in aula HACKER Challenge19/03/24 ChatGPT applicato al mondo del coding21/09/23 MSP: AdS nella pratica per il GDPR21/09/23 RMM LAB20/06/23 Infosecurity Europe24/11/22 Cybersecurity: Prevenire e difendersi dagli attacchi cyber con ACSIA XDR Plus21/06/22 Infosecurity Europe17/03/22 L’importanza di gestire e mitigare il rischio17/02/22 Assisti ad un attacco ransomware in tempo reale e scopri come prevenirlo17/02/22 Fondi PON per Reti locali e sicurezza nelle Scuole28/01/22 WAPT con Owasp Zap - Introduzione17/12/21 OSINT con Spiderfoot26/11/21 Vulnerability Assessment con Nmap10/06/21 Come nasce un malware12/05/21 Sviluppo sicuro: strumenti e best practices per ridurre i rischi di compromissione esterna dei propri prodotti software