实施Bug Bounty程序：正确和错误的方法

虽然bug-bounty程序对于那些更有效地发现系统漏洞的公司来说似乎是一种万灵药解决方案，但事实仍然是，如果以错误的方式实施，程序可能会压倒公司的内部安全团队并导致其他重大问题。

“你必须意识到人群将比你典型的内部笔测试团队发现更多的漏洞。 因此，经常有这种工程推迟，就像坚持，我们没有设置我们的内部流程，“Bugcrowd首席安全官David Baker告诉Threatpost。

Threatpost采用Baker来讨论正确和错误的方法，以实施一个能够以最小的运营中断有效提升公司安全性的赏金计划。 收听下面的完整播客。

点击此处直接下载播客。 有关播客的轻微编辑的文字记录，请参见下文。

Lindsey O'Donnell ：这是Lindsey O'Donnell的Threatpost播客。 我和Bugcrowd的首席安全官，Bugcrowd的运营副总裁David Baker在这里。 大卫，非常感谢你加入我们。

大卫贝克 ：谢谢你拥有我。

LO ：所以既然我们之前没有谈过，你能简单介绍一下你自己以及你在Bugcrowd的工作时间吗？

DB ：很棒。 所以我在Bugcrowd待了两年半。 我以前是Okta的首席安全官......在此之前，WebEx的安全架构师。 我[也]在IOActive运营所有专业服务，IOActive是西雅图的一家安全研究公司。 所以我已经在安全领域工作了大约15年。

LO ：所以你真的看到了这一切。 我想谈谈你目前在bug-bounty风景中看到的一些顶级趋势。 在节目如何演变或者猎人如何变化方面，有什么东西真的对你有用吗？

DB ：是的，大约五年前，我认为，[网络应用的时代]，所以你的网络平台是研究人员如何互动的主要支柱。 很多公司都有一个可以通过互联网访问的平台，一个Web应用程序平台。 因此研究人员通常会以这种方式进行交互，发现错误并报告错误。 我们现在看到的是，许多公司正在转向更多基于API的平台，在这个平台上，您有一个位于手机上的Web应用程序，并且有一个API层可以反馈到后面 - 终端服务。 而这正在推动事物变得更具移动性，[并且]它是一个完全不同的目标，尤其是API结构。

而另一方面是，他们总是试图引入一个设备，所以使用手机，可能有一个设备可以放在你家里或办公室里的无线网络上。 因此，您的API层，某种物联网设备的组合，实际上变得越来越普遍。 因此，正在做的是改变研究人员与互联网可用的东西进行互动的本质，但不是网络前端。 所以这是一种截然不同的攻击方式，它是一种非常不同的测试方式，依此类推。 设备通常是商品化的，你可以在任何地方拿起它们，研究人员可以随时拿到它们，并且能够非常容易地获得它们。 因此，他们有时会在硬件层面进行交互。 所以我们现在看到了扩展到新领域的能力，具有新的复杂性。 我们实际上正在努力提高认识并培训研究人员以开始在该领域的竞争。

LO ：是的，我很好奇，你提到物联网。 显然，在安全方面，这是一个巨大的威胁。 您在物联网设备上看到了什么样的兴趣？ 对于研究这类设备的研究人员和赏金猎人而言，这有何不同，因为很明显，你拥有硬件和操作系统以及不同层次的设备。

DB ：是的，这很有意思，因为你有我称之为你的IoT设备的Gen One。 而Gen One将是您的路由器，或者您通常在办公室中使用的交换机。 而现在，你有第二代（甚至可能是第三代），这是你的Ring设备，或者...... Xfinity作为有线电视提供商，他们将这些设备插入你的墙上，它们可以帮助你控制你的无线信号屋。 你知道，Alexa设备，等等。 所以这些互动设备非常新，他们坐在家里。 你的手表，你的Fitbits，等等，你的无人机，所有这些都是现在无处不在的这两种设备。 这些与你的第一代产品有很大的不同，它很容易接入，你可以很容易地访问固件。 如今，Gen Two设备的商品化硬件要多得多，但获得访问权限和实际目标却大不相同。 它还引入了围绕供应方安全威胁的安全意识。 因此，围绕让研究人员确定供应方安全问题的潜在领域有很多兴趣。

LO ：那么从供应商的角度来看，你能否谈谈一般的bug-bounty程序，以及供应商在推出赏金计划时面临的一些挑战？

DB ：当然可以。 从运营角度来看，这是我的团队负责处理实际运营。 因此，作为供应商，我们为客户管理错误赏金计划 - 所以[包括]如何配对研究人员（引进研究人员），研究人员等等的所有复杂性等等。 我认为，我们经常看到的最初挑战是......安全团队出去购买解决方案，但你必须意识到人群会发现比典型的内部笔测试团队更多的漏洞。 所以经常有这种工程推迟，就像坚持一样，我们没有设置内部流程。 营销人员经常会混淆“我们是否想谈论它。”谈论它实际上是非常有益的，它也吸引了很多研究人员，因为他们想要参与。 因此，有时候我们会发现这些公司可能不一定准备好马上去。 这是管理部分的一部分; 我们帮助他们起床和跑步。 我认为公司想要开始非常缓慢，他们想要在水中浸泡脚趾。 有时这会对招募研究人员产生不利影响。 当你进入赏金计划时，你想做好准备，做好准备意味着你想要吸引研究人员，你希望他们参与。 长期以来，两三个研究人员很难做到这一点。

LO ：是的，这是一个非常好的观点。 然后是什么，紧接着呢？ 一个公司可以做的第一个或两个步骤是什么才能准备好启动bug-bounty程序？

DB ：这是一个很好的问题。 您必须拥有良好的[服务水平协议]（SLA）以及您的工程安全性。 那么SLA已经建立，如果确定存在一个非常严重的错误，那么工程[必须]修复它需要多长时间？ 通常情况下，这是24小时，但如果是一周，那么它是否合适？ 你必须建立[时间段]。 而且 - 如果它是一个影响更小的bug，你不想忽略它们。 您需要能够承诺工程可以在一个月或六个月内解决这些较低级别的缺陷，并且确定该流程。 因为将要发生的事情是，当你初始化资金时，你会遇到这些错误，工程师必须花时间在他们身上，所以他们必须成为谈话的一部分。

我们能够围绕他们如何进行软件和安全开发来整合工程生命周期。 因此，当发生这种情况时，你希望他们在桌子旁; 他们需要成为这个过程的一部分。 接下来就是，你真的想了解你的价值目标是什么，对吗？ 这不是为了省钱，而是为了识别漏洞。 通过识别这些漏洞，您自然可以节省资金。 而且，您可以降低风险 - 这是您最终的成本节约。 但是你希望能够在一开始就拥有资金，以确保研究人员能够上台。 这两件事非常重要。

LO ：你认为公司在这一点上意识到了这些吗？ 或者你们真的需要亲自帮助他们理解这一点吗？ 您如何看待bug-bounty程序的感知？

DB ：这是一个很好的问题。 它到了那里。 所以我想，你知道，在过去的五年里，真的只是真正的早期采用者扩展他们的程序，而那些早期采用者已经为臭虫奖励命名。 不是每个人都进来说，我想这样做。 早期，有一群人担心。 早期采用者克服了对人群的恐惧。 现在已经消失了。 所以现在，更多的公司都希望这样做。 但这里的想法很好，我想尝试一下，花一点钱就可以试试。 虽然您可以从较低成本的层开始，但您必须拥有自己的流程[和]工程。 这是人们的下一阶段，而不仅仅是跳进去。

LO ：我遇到的另一个问题是，你认为未来前景如何？ 当谈到bug-bounty程序背后的操作时，甚至是漏洞披露的概念以及它如何发挥作用？

DB ：这是一个很好的问题......通常情况下，它非常专业。 但我们所看到的是，你真的能够将其作为更多的Gig经济解决方案来实现; 我们的公司有非常非常具体的需求。 因此，虽然bug-bounty程序将只是您的安全结构的一个自然层，或洋葱的一部分，洋葱的几层，公司将能够利用这些众包平台能够做到真正针对千兆经济计划[针对]一个非常具体的问题，并为这个问题提供非常具体的人才。 将它们一对一地连接起来，这是下一次发展的过程。

LO ：看看未来会如何发展应该会很有趣。 嗯，大卫，非常感谢你今天加入我们的Threatpost播客。

DB ：谢谢Lindsey。

不要错过 7月24日星期三美国东部时间下午2点 的免费直播 威胁邮件网络研讨会 “ 精简补丁管理”。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势，如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 注册并了解更多信息