Chanzo: www.hackerone.com – Mwandishi: Josh Jacobson. 1. Je, Uko Tayari Kusimamia Ripoti za Athari Zinazoingia? Kwa kawaida, madhumuni ya kuendesha programu ya zawadi ya hitilafu ni kutambua udhaifu zaidi ya kile timu yako ya usalama inaweza kupata – na kurekebisha. Hata hivyo, wakati wa kuzindua mpango wa fadhila ya hitilafu, timu nyingi za usalama hazijajiandaa kwa udhaifu ngapi utatambuliwa na hujitahidi kusuluhisha. Bila mifumo ifaayo ya kufunga mabao, inaweza kuwa changamoto kwa timu za usalama kuweka kipaumbele ripoti zinazoingia za athari na kuzirekebisha kwa njia iliyopangwa. Suluhisho: Panga na Uandae Shughuli Zako na Timu za Usalama za Mfumo wa Alama zinahitaji shughuli bora ya athari na jukwaa la kuweka vipaumbele ili kusaidia kudhibiti ripoti zinazotoka kwa wavamizi wa fadhila za hitilafu. Jukwaa la HackerOne hutoa maarifa yote muhimu, shirika, bao na nyenzo ili kuzipa timu za usalama kushughulikia ipasavyo udhaifu. Kwa mfano, jukwaa letu la Hacktivity linajumuisha kipengele cha Ugunduzi cha CVE (Hatari ya Kawaida na Mfiduo) ambacho kinawapa wateja maarifa ambayo CVEs zinaripotiwa kikamilifu na wadukuzi. Aidha, jukwaa linatumia alama zote mbili za CVSS (Common Vulnerability Scoring System) na EPSS (Exploit Prediction Scoring System), kuwezesha uwekaji vipaumbele wa kimkakati kulingana na vipengele vya kina. Vidhibiti vya Mafanikio ya Wateja wa HackerOne (CSMs) pia hufanya kazi kwa karibu na mashirika ili kuongeza mialiko ya wadukuzi kwa kiasi kinachofaa kwa mahitaji na malengo yao ya kipekee, kuepuka timu nyingi za usalama zilizo na idadi kubwa ya wavamizi na ripoti zisizoweza kudhibitiwa. 2. Je, Umejaribu Uso Wako wa Mashambulizi? Mojawapo ya sababu zinazofanya timu nyingi za usalama kutokuwa na uhakika kama ziko tayari kwa mpango wa fadhila ya hitilafu ni kutokuwa na ufahamu kamili wa usalama wa eneo lao la mashambulizi. Ingawa mpango wa fadhila ya hitilafu ndio lengo linalofaa, timu za usalama mara nyingi huruka hatua za awali, kama vile ukaguzi wa misimbo na pentest, ambazo husaidia kutoa mwanga juu ya nini cha kutarajia kutoka kwa ripoti za baadaye za hitilafu. Suluhisho: Tekeleza Ukaguzi wa Msimbo na Pentes Kila ukaguzi wa msimbo, unaofanywa na kundi maalumu la jumuiya ya HackerOne, huchukua wastani wa dakika 88 kukamilika na hukabiliana na wastani wa udhaifu 1.2. Asilimia kumi na nane ya marekebisho ya usalama hayajakamilika, na kuyafanya kuwa mojawapo ya aina muhimu zaidi za mabadiliko ya kanuni za kukaguliwa. Ingawa fadhila ya hitilafu kwa ujumla ni programu inayoendelea, wapenda pentes kwa kawaida hufuata mbinu iliyopangwa ambayo inajumuisha uchunguzi wa kina, unaozingatia wakati wa mfumo, unaolenga kutambua udhaifu ambao wapinzani wanaweza kutumia. Athari za juu zinazotambuliwa kupitia ukaguzi wa misimbo na pentest mara nyingi huingiliana na ile ya fadhila ya hitilafu, kubainisha udhaifu wa kawaida kama vile: Zaidi ya hayo, upeo mdogo na muda uliowekwa kwa ukaguzi wa misimbo na wachunguzi huwafanya kuwa hatua muhimu kuelekea kuelewa eneo lako la mashambulizi na kujiandaa kwa programu ya fadhila ya mdudu. HackerOne pentesters pia inaweza kuongezwa kwa mpango wa shirika unaoendelea wa fadhila ya hitilafu, kuendeleza wadukuzi wa nanga ambao huleta thamani kubwa zaidi. 3. Je, Una Biashara ya Kununua? Viongozi wengi wa usalama wanatatizika kupata shauku ya awali na kujinunua ili kupata faida ya hitilafu kutoka kwa washikadau na wanachama wa bodi. Hayo yanaweza kuwa mazungumzo magumu kuwa nayo bila taarifa sahihi, kwani wakati mwingine ni vigumu kuonyesha kurudi kwa kuzuia jambo fulani kutokea. Kwa hivyo, timu za usalama hazipokei rasilimali za bajeti wanazohitaji, na mpango unaendeshwa kwa ufanisi. Suluhisho: Kokotoa ROI Inayoweza Kupimika au Kurejesha Kupunguza Hatari Siyo siri kwamba wajumbe wa bodi huzungumza kwa lugha ya dola na senti, na bila uchanganuzi uliokokotolewa wa kuokoa gharama na ROI, timu za usalama hazitapewa bajeti ifaayo ili kuendesha shughuli zao kwa ufanisi. programu ya fadhila ya mdudu. Kulingana na Ripoti ya 7 ya Usalama ya Kila Mwaka ya Hacker-Powered, bei ya wastani ya mdudu kwenye jukwaa la HackerOne ni $500, kutoka $400 mwaka wa 2022. Faida ya wastani katika asilimia 90 imepanda kutoka $2,500 hadi $3,000. Gharama ya udhaifu huu kwenda bila kutambuliwa na kutumiwa, hata hivyo, ni kubwa zaidi kuliko gharama ya fadhila. Wateja wa HackerOne mara kwa mara huzingatia uokoaji wa gharama wanapopima mafanikio ya programu zao za fadhila za hitilafu, huku 59% wakithamini makadirio ya uokoaji wa matukio yanayojulikana au yanayohusiana na wateja na 54% wakithamini uokoaji wa kifedha unaokadiriwa kutokana na kuepuka hatari. “Tangu 2019, Zoom imefanya kazi na wadukuzi 900, ambapo 300 wamewasilisha udhaifu ambao tumelazimika kuendelea haraka. Tumelipa zaidi ya $7 milioni. Ni uwekezaji mkubwa lakini faida yake ni ya thamani yake: tunapata vipaji vya hali ya juu ili kupata suluhu za ulimwengu halisi kabla halijawa tatizo la ulimwengu halisi.” — Michael Adams, CISO, Zoom Mara nyingi, wateja wa HackerOne hufaulu katika kuonyesha faida ya kupunguza hatari kupitia baraka za hitilafu, kuimarisha kesi ya biashara kwa programu. “Mpango wa fadhila ya mdudu ndio ROI ya juu zaidi katika matumizi yetu yote. Ni ngumu sana kuonyesha ROI, lakini kwa fadhila ya mdudu, nina msingi. Ninaweza kusema, ‘Udhaifu huu uliweza kupatikana na mtu nje ya shirika. Mtu ambaye hakuidhinishwa kufikia mfumo huu aliweza kuufikia.’ Hata kwa udhaifu ambao hauko ndani ya mpango wetu, fadhila ya hitilafu huniruhusu kuziwekea lebo ya bei. Ninaweza kuelezea kesi hii ya biashara na washikadau wetu wanaweza kutanguliza faida ya mdudu kuliko zana zingine ambazo pia hutoa ROI. – Eric Kieling, Mkuu wa Usalama wa Maombi, Booking.com Tazama jinsi wateja wengine wa HackerOne wanavyopata ununuzi wa shirika kwa faida ya hitilafu. 4. Je, Fadhila Zako Zinauzwa Sawa? Ingawa kuna sababu zaidi ya fidia ya kifedha, 80% ya wavamizi hufanya hivyo kwa pesa (kutoka 71% mnamo 2022). Kwa kuzingatia hili, kiwango cha motisha ya kifedha ni muhimu wakati wa kuanzisha fadhila. Mashirika mengi yanaweza kufikiri yanajua kiasi kinachofaa ni kwa fadhila yoyote ya hitilafu, lakini yanapata ukosefu wa kuhusika katika mpango wao kutoka kwa jumuiya ya wadukuzi. Hiyo ni kwa sababu 48% ya wavamizi watachagua kutojiunga na mpango ikiwa zawadi ni ndogo sana. Suluhisho: Fadhila za Bei Kwa Timu za Usalama wa Data za Rika si lazima zitoe bei kwenye kisiwa. Wenzake katika kila tasnia wamekumbatia fadhila ya wadudu na udukuzi wa maadili. Ni muhimu kwa timu kuchunguza wastani wa gharama za fadhila ndani ya sekta yao kwa sababu wastani unaweza kuwa tofauti sana kutoka sekta moja hadi nyingine. Kwa mfano, unaweza kuona hapa chini kwamba wastani wa faida kwa Travel & Hospitality ni $700, wakati Cryptocurrency & Blockchain, ni zaidi ya $3,000. 5. Je, Unaweza Kushika Wadukuzi? Ingawa pesa hakika ni jambo muhimu kwa wadukuzi wakati wa kuchagua programu ya fadhila ya mdudu, sio jambo pekee wanaloona muhimu. Kwa kweli, kuna mambo mengi ambayo yanaweza kuweka hacker nje ya mpango. Kama unavyoona, nyakati za majibu ya polepole (60%) na mawasiliano duni (55%) ni muhimu zaidi kuliko fadhila za chini (48%) kwa wadukuzi wanaokatishwa tamaa na mpango wa fadhila ya hitilafu. Suluhisho: Fanya Mpango Wako Ufanye Kazi kwa Wadukuzi Wadukuzi wana uwezekano mkubwa wa kutumia muda kwenye programu yako wanapokuwa na uhusiano na timu ya usalama ya shirika lako. Kwa hivyo, mpango wako wa fadhila ya mdudu unapaswa kutoa zaidi ya malipo ya fadhila. Ili kuvutia wavamizi bora, unahitaji kuwasiliana kwa ufanisi, kutoa upeo tofauti ambao wadukuzi wanaweza kujifunza, na uwekeze muda wa kurekebisha kwa haraka udhaifu wanaotambua. Kwa mfano, GitHub imewaweka wadukuzi wanaohusika katika mpango wao wa fadhila ya hitilafu kwa miaka 10 na duka maalum la swag, inayolingana na michango ya fadhila, na kufuata sera zao za bandari salama. “Ninapoangalia mpango mpya, nitaangalia vipimo kulingana na wakati wa kutathmini na kutoa fadhila na ni kwa kiwango gani mpango huo unafikia vipimo hivyo. Ningeshauri kampuni ziwe na programu ya umma na ya kibinafsi. Mpango wa umma utachunguza na kuwahoji watafiti ambao wanaweza kuhamishwa hadi kwenye mpango wa kibinafsi ambapo unaweza kuwapa ufikiaji na nyenzo zaidi. Programu ya kibinafsi hukuruhusu kuwa na kikundi cha wasomi wa wadukuzi wanaochimba na kutafuta udhaifu huo muhimu. Kwa mfano, wadukuzi wengine wamebobea katika uchunguzi na kupata pembe hizo za miundombinu ambayo hakuna mtu anayefikiria na kuangalia kwenye pembe, basi una wadukuzi wengine ambao wana mamia ya seva zinazochanganua udhaifu. Ubunifu na kiwango ni muhimu kwa kutoa ripoti zenye matokeo.” — Tom Anthony, Hacker Angalia jinsi wateja wa HackerOne wanavyopata matokeo bora kutoka kwa wadukuzi. Je! Shirika Lako Liko Tayari kwa Mpango wa Fadhila ya Mdudu? Ni changamoto kwa viongozi wa usalama kuteua visanduku hivi vyote na kutathmini utayari wa shirika lao la fadhila ya hitilafu. Kusimamia ripoti, kupokea bajeti, kuweka fadhila zinazofaa, na kujenga mahusiano ya wadukuzi kunaweza kuonekana kuwa mgumu sana kufanya kwa usahihi na kwa wakati mmoja. Katika HackerOne, tunatoa mseto bora zaidi wa utaalamu wa ndani ili kuendesha mpango sahihi wa zawadi ya hitilafu kwa mahitaji ya kipekee ya shirika lako, pamoja na jumuiya kubwa ya wavamizi walio tayari kukufanyia kazi. Iwapo ungependa kupata maelezo zaidi kuhusu jinsi ya kuendesha mpango wa fadhila wa hitilafu unaofaa zaidi kwa shirika lako, wasiliana na timu yetu katika HackerOne leo. Url ya Chapisho asili: https://www.hackerone.com/vulnerability-management/bug-bounty-readiness-questions