Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

Articoli

Icona delle News




5 motivi per non fare affidamento sui programmi Bounty

09/02/21 CoreTech Blog

Congratulazioni! Hai preso la decisione giusta per avviare un programma di taglie. Ciò significa che puoi mantenere una postura sicura senza uno scanner di vulnerabilità web e test di penetrazione manuali? E se no, perché no?

Molte aziende stanno saltando sul carro del programma di taglie e questo è fantastico! Sfortunatamente, molti di loro lo considerano la soluzione principale per la sicurezza delle loro applicazioni web, e non è così eccezionale.

Avere un programma di taglie in atto senza attività di sicurezza delle applicazioni web interne è come avere un caveau di una banca con solo una semplice serratura, senza telecamere, senza agenti di sicurezza, senza sensori di alcun tipo e affiggendo un poster sulla porta della banca con scritto "$ 1000 se puoi provare che il nostro caveau di una banca può essere scassinato”. È una ricetta per il disastro.

Diamo un'occhiata a 5 motivi per cui non dovresti fare affidamento su un programma di taglie come principale garanzia di sicurezza delle applicazioni web.

Motivo 1. Non tutti sanno del tuo programma

Torniamo all'esempio del caveau di una banca. Se metti un poster sulla porta della tua banca, solo i passanti lo noteranno potenzialmente e ancora meno lo leggeranno. La possibilità che una di queste persone sia un professionista della sicurezza che avrebbe le capacità per testare effettivamente il tuo caveau è quasi nulla. È esattamente lo stesso con un programma di taglie: se non lo promuovi, nessuno lo saprà.

Non è facile promuovere un programma di taglie. Meno marchio popolare rappresenti, più devi investire in pubblicità specialistica mirata alla comunità degli hacker: la semplice registrazione a un programma di sicurezza in crowdsourcing non sarà sufficiente. Tutto sommato, per rendere il tuo programma di taglie efficace come mezzo principale per proteggere le tue applicazioni web, dovresti investire una cifra piuttosto elevata. Sarebbe uno degli approcci economicamente meno validi alla sicurezza web.

Banner

Motivo 2. Non tutti si preoccupano del tuo programma

Anche se gli hacker conoscono il tuo programma, anche se sei molto efficace nel pubblicizzarlo, non vi è alcuna garanzia che un hacker darà un'occhiata alle tue applicazioni web. Gli hacker hanno tempo e risorse limitati e si concentrano sul lavoro che paga meglio.

Ci sono tre fattori che influenzano la probabilità che il tuo programma di taglie venga percepito come attraente dalla comunità degli hacker:

  1. Fattore uno: i soldi. Se un hacker riceve $ 1000 dal tuo programma di taglie ma può aspettarsi $ 10000 da un'altra azienda, ovviamente tenterà di ottenere prima il premio più grande. Pertanto, per testare la tua sicurezza, potresti finire in una feroce concorrenza per l'attenzione.
  2. Fattore due: difficoltà. Ovviamente, gli hacker cercheranno prima i lavori facili. Pertanto, se la tua applicazione web è piena di vulnerabilità minori, puoi aspettarti che vengano trovate rapidamente. Tutto sommato, sprecherai denaro per questioni che non rappresentano davvero una minaccia e le vulnerabilità davvero pericolose e difficili da trovare potrebbero persistere per sempre.
  3. Fattore tre: prestigio. Se rappresenti un marchio noto, è più probabile che gli hacker tenteranno di aiutarti perché potranno vantarsene in seguito. Se non hai un'azienda popolare come Google o Facebook, sarai molto più in basso nei loro elenchi.

Motivo 3. I cacciatori di taglie si concentrano su vulnerabilità specifiche

Come abbiamo accennato, i cacciatori di taglie sono solo umani e trovare le vulnerabilità richiede molto tempo. Gli hacker non riescono a trovare cento numeri al giorno. Spesso trascorrono molti giorni lavorando su una sola potenziale vulnerabilità. Questo è il motivo per cui spesso si concentrano su tipi specifici di vulnerabilità, a seconda della loro area di competenza e preferenze personali.

Un programma di bug bounty non può garantire una copertura completa di tutte le potenziali vulnerabilità. Anche se un hacker esperto si interessa al tuo programma, molto probabilmente si concentrerà solo su una piccola classe di vulnerabilità, ignorando completamente tutte le altre.

Motivo 4. Ci vuole molto tempo perché il programma Bounty funzioni

Anche se tutti i problemi precedenti venissero risolti, il processo richiederebbe molto tempo. Anche se i cacciatori di taglie alla fine venissero a conoscenza del tuo programma, si interessassero ad esso e se trovassi molti specialisti che si concentrano su diversi tipi di vulnerabilità, impiegherebbero comunque molto tempo per eseguire test di sicurezza manuali su un sito web o un'applicazione web complessi.

In pratica, significa che potrebbero volerci diversi mesi o più per vedere i risultati del tuo programma di bug bounty. Fino a quando non vedi questi risultati, le tue applicazioni web rimangono completamente aperte agli attacchi. E ricorda, gli hacker black hat hanno la stessa possibilità di imbattersi nei tuoi insetti come i cacciatori di taglie.

Motivo 5. I cacciatori di taglie ti fanno pagare per l'utilizzo di software che potresti acquistare

Ultimo ma non meno importante, i cacciatori di taglie sono intelligenti e sanno come rendere il loro lavoro più facile. Se si rendono conto che molte aziende hanno programmi di ricompensa in atto ma non utilizzano alcun software automatizzato, useranno tale software da sole. Pertanto, i cacciatori di taglie possono scansionare il tuo sito web usando ad esempio Acunetix, trovare diverse vulnerabilità e in questo modo coprire il costo della loro licenza.

Banner

A breve termine, potresti pensare che sia più conveniente lasciare che i cacciatori di taglie paghino per il software che dovresti utilizzare. Tuttavia, a lungo termine, non sarai affatto protetto e questo potrebbe continuare a succederti ancora e ancora. Per non parlare del fatto che perderesti tutti gli altri vantaggi che una soluzione di sicurezza web ti offre.

Soluzione: l'immagine completa

Significa tutto che il tuo programma bug bounty è inutile e investire in esso è stato un errore? Assolutamente no! Dimostra solo che il programma non deve essere trattato come la soluzione definitiva.

Torniamo di nuovo all'esempio del caveau di una banca. Un caveau di una banca ben protetto necessita di telecamere installate in più punti. In molti casi, ci sarebbero anche sensori di pressione e laser. Ci sarebbero guardie di sicurezza in servizio 24 ore al giorno accanto ad essa. Anche la porta della banca sarebbe stata chiusa. Ci sarebbero anche pulsanti di allarme per i dipendenti, linee di comunicazione indipendenti per chiedere aiuto e molte altre misure.

È esattamente lo stesso con la sicurezza delle applicazioni web. Hai bisogno di molti elementi per avere successo:

  1. Al centro del tuo programma di sicurezza delle applicazioni web, dovresti avere uno scanner di vulnerabilità delle applicazioni web (uno strumento DAST). Questo ti aiuterà a trovare e risolvere la maggior parte dei problemi in modo rapido ed efficace. Comunque, questo non è abbastanza.
  2. Inoltre, è necessario eseguire test di penetrazione manualiper trovare problemi che non possono essere rilevati da alcun software automatico. Poiché un team di sicurezza interno può essere prevenuto o sovraccarico di lavoro, è necessario ordinare test di penetrazione esterni una volta ogni pochi mesi. Se hai le risorse, potresti anche migliorare la tua posizione aggiungendo esercizi di squadra rossi .
  3. Un programma di bug bounty è un'ottima aggiunta ai due passaggi precedenti. Il suo scopo principale è quello di coprire solo le vulnerabilità che verrebbero perse nei due passaggi precedenti e di consentire una divulgazione responsabile. Non dovrebbe mai essere considerato un sostituto della scansione delle vulnerabilità e dei test di penetrazione.
  4. È inoltre necessario considerare l'utilizzo di un firewall per applicazioni Web integrato con lo scanner di vulnerabilità. Sebbene un firewall per applicazioni Web da solo non sia molto utile per trovare le vulnerabilità, se integrato con uno scanner può essere utilizzato con il massimo vantaggio: per proteggerti dallo sfruttamento delle vulnerabilità che sono state trovate ma che non possono essere risolte immediatamente.
  5. Ultimo ma non meno importante, dovresti prendere in considerazione lo spostamento a sinistra e l'introduzione di DevSecOps. Questo ti consentirebbe di testare il tuo software il prima possibile, utilizzando non solo DAST ma anche strumenti SAST e / o IAST , trovando così ancora più potenziali problemi prima che diventino un problema.

Se qualcuno ti dice che puoi ottenere la sicurezza senza prendere in considerazione tutto quanto sopra, ti sta fuorviando. A riprova, basta ricordare l'esempio del caveau di una banca.

 


Articoli su Sicurezza

Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft