安全面试:在Bug奖金世界内

2022-06-12 13:46:15来源:

当我到达匿名南伦敦建筑物时,将Bug Bounty Program Operator Hackerone的办公室抵达,前台是无人驾驶的,并且有一点迹象表明,“五分钟后回来”。我的头充满了跳跃障碍的愿景,并将钢笔测试人员跳跃。

与我不同,我在这里见面,Shlomie LiboIn,已经出现了职业生涯,使其成为一种攻击的东西,但他开始作为一个具有计算机科学学位的开发商 - 主要是因为他想知道在他到达之前如何制造事物闯入他们。

“我一开始就为Bae Systems工作,以获得公司如何建立事物的感受。在研究方面,我作为副业的工作安全。我做了很多阅读,听了很多播客。然后我开始做一些But Bounty狩猎,“他说。“我大约四年前提交了我的第一个错误,到了Dropbox。这是一份重复的。“

Liberow将他的第一个官方措施进入网络安全世界作为顾问,并最终与高净值唯一的唯一工作,这是一个积极的角色,看到他提供网络安全培训,并进行网络钓鱼模拟等笔测试练习。

现在,作为Hackerone技术方案经理,Liberow花费他的工作寿命帮助组织开发Bug赏金计划(BBPS),从开始通过开发开始发布和运营,涵盖节目设计,培训,结构等。他仍然可以打破东西,尽管他自己的时间避免了利益冲突。

那么hackerone是什么,什么是bbp?在其核心,Liberow将其描述为符合现有网络安全流程和程序的概念。

“Hackerone背后的想法是,每个成熟的公司都有某种安全团队,但无论它是多么才华,或者有多大,总会有一个不一定的区域,因为它缺乏资源,或者因为它缺乏知识,“他说。

“实际上是不可能覆盖所有基地,所以我们的模型是说,”虽然你完成所有这些安全进程,我们将把它打开到任何想要在安全和规则的基于毒品中找到错误和漏洞的人方式'。

“每个成熟的公司都有一些安全团队,但总会有一个区域不一定是因为它缺乏资源,或者因为它缺乏知识”

Shlomie Liberow,Hackerone

通过与黑客社区合作 - Hackerone在其书籍上有大约500,000个黑客 - 组织可以利用伦理安全研究人员的能力,他们信任和善意,可能会带来不同的方法,因为他们的具体兴趣和地区专业知识,不一定是公开或广泛的可用。

“你可以使用他们的经验和他们的方法来找到公司的错误,让自己更安全。关于它的很酷的事情是,在找到一个错误之前,您可以使用这些500,000个黑客而无需成本,“Liberow说。“最糟糕的情况 - 你有很多眼睛,但没有什么发现,所以没有伤害。”

对于Hackerone,没有普通客户端。就他们所拥有的基础设施而言,利比罗在成熟方面括起来,他们可能是如何,他们面临的风险程度是多少,他们想要承担多少风险。

这是通过评估他建立模型的这些因素,让他了解如何最好地量身定制以客户的独特需求。

“在第一个月内没有有100个错误的价值,但没有办法修复它们,所以我想与他们的安全团队一起工作,以P出来他们能够处理的东西,他们有兴趣他们认为他们认为他们的弱点是测试的。“

最初,客户将根据Hackerone如何对其进行分类,将客户接触到各组黑客。在非常高风险的桶或诸如防御等敏感行业的客户将仅由Hackerone清除计划认证的广泛审查的黑客,这是一个大约500次辛勤化的精英集团。

从安全面试中阅读更多信息

检查点创始人Gil Shwed讨论了他的无限下一个概念以及他计划在未来10年内重新改造网络安全世界。F-Secure的Mikko Hypponen讨论了网络武器和国家威胁,并解释了为什么武器限制条约可能有一天扩大包括恶意软件和其他威胁。Cyber​​ Security的微软公司副总裁Ann Johnson是为了证明人工智能对安全部门具有很大的承诺,她有类似的类比。

清除黑客不仅收到彻底的背景检查,他们还必须在Hackerone平台上的能力和声誉方面的某种级别,基于度量标准,例如他们的错误报告如何,他们有多少有效错误发现,等等。

“一般来说,那些黑客更高的结局,更知识渊博,更有经验,也更感兴趣,”宝贝说。

对于其他客户来说,该过程更多地与他们匹配以合适的技能的黑客,例如裂解不同系统或编码语言的专业知识。

从那里,由于客户的信心增长并更加愿意打开其基础设施的其他部分,因此,BBP将逐步扩展,酌情酌情酌情酌情进入并更愿意打开其基础设施的其他部分进行测试。

“你开始小,然后比例更加舒服,因为黑客对项目的范围更加舒服。长期目标是公开,任何在贵公司中发现错误的人都有一个途径告诉你的途径,“利润说。

“当你公开有时会有点震惊,因为它有时会触发很多额外的注意力。因此,我们往往是在我们将公司带到公共国家的速度方面非常保守。“

对于那些在完全公开的Ley的人,Hackerone也运行漏洞披露程序(VDP)。BBP和VDP之间的关键差异是运行后者的客户端通常不会提供货币奖励,仅仅是黑客负责任地披露漏洞的方式,而不会遇到麻烦或浪费时间试图找到正确的联系。许多客户发现VDP比完整的公共BBP更少迫切。

“我昨晚找到了一个,”利润说。“这是一个关键的错误,而且通常,五到十年前,我不会知道和我会遇到麻烦的话。我甚至没有寻找它,我正在做一些研究,并碰巧找到这个系统,但通过一个VDP我能够发送关于它的信息。“

“一个很好的例子是NCSC [国家网络安全中心]。如果您在任何英国政府基础设施中发现问题,您可以通过NCSC发送报告。通常,政府可以非常恐吓 - 谁想向政府机构发送信息并说,'嘿,看,有一个虫子!'?“

他继续:“我今天早上实际上提交了NCSC,回应超过90秒。与以前相比,这是现象的时机。我曾经向英国政府机构发了一条消息,我在Twitter上发消了他们 - 他们让我在帖子中寄给他们用这个错误。他们希望我实际写一封信,我想,用它的代码,并将其发布给他们。当然,我从未如此。“

向VDP或BBP打开您的组织可能是许多人的令人生畏的步骤。很容易看出为什么安全团队和Cisos可能因邀请黑客探讨他们的防御而感到威胁。

恐惧对黑客可能会发现的,这可能对组织或你的工作意味着完全合理的,因此,与VDP和BBPS一起,客户试图改变他们的心态,并在不附加羞耻或耻辱的情况下思考安全性它。

是的,他说,事件不可避免地发生,这是不可接受的,但它是完全理解的,但它不值得试图为他们归咎于他们。

“最初你必须是非常勇敢的,并且非常有信心说,”我们足够舒服地说你发现这个错误,这就是它的原因是,这就是你做了什么来解决它的原因',“ 他说。

“这可能需要时间才能让安全团队舒适,但它归结为他们努力的组织,让他们舒服,”我们感谢你的工作,你知道你在做什么,但是,这一切都是不可能的。这样,当发现一个错误时,他们不会瞧不起安全性并说'嘿,为什么会发生这种情况?“。”

许多Hackerone的客户随着时间的推移,对这个过程变得更加舒服,并且对黑客揭幕的错误变得更加开放和公开,因为他们已经学会了不被它羞辱。

“由于每天都在做多少组织,总是会发现错误。技术领导者幸福越多,开放宣传错误,其中耻辱和耻辱在其中“shlomie liberow,hackerone

“由于组织每天都在做多少,他们拥有多少服务和系统和基础设施,因此难以找到错误。科技领导者既舒服地说,他们完全快乐,开放宣传错误,其中的耻辱和耻辱越少,“利润说。

为了帮助解决此问题,Hackerone确保它永远不会超过客户安全团队的头部。

“重要的是要确保它没有被视为与我们竞争的安全团队,”利润说。“他们是帮助我们运行该计划的人,他们会尽可能多地向我们提供尽可能多的信息,因为它令人欣赏,即他们不会知道一切 - 没有人,甚至我们最好的黑客不' T。

“很多这一点只是为了欣赏黑客是非常有创意的,你能做的最好的就是采取,解决立即的问题并试图在未来思考,否则可能会出现一些东西?我今天能做什么,以确保它没有?“

最终,Liberow说,VDP或BBP有助于组织控制其安全姿势周围的消息传递。

“公司正在越来越迫使这个空间越来越反对他们的意志,因为他们被发现容易受到恶意黑客的伤害,这是利用他们是否喜欢它,所以他们有与泄漏或黑客相关的品牌标识。我们宁愿他们控制了这一消息。

“如果这样的事情确实发生了,但他们一直在运行一个错误的赏金计划,它向客户展示了他们关心安全性的客户 - 他们可能没有找到漏洞,但他们确实有进程到位。

“如果我以个人能力注册产品,公司有一个错误的赏金计划,而且他们已经发布了X报告,它并没有真正让我离开,”他的结论是。

所以,你想成为一个道德黑客

自成立以来,Hackerone已经让几百万富翁出了Bug Bounty Hunters。有些人甚至达到了一定程度的名人 - 如英国的马克·斯蒂特菲尔德,他们开始在苏格兰家乡的销售电脑,或者是美国汤米·德罗斯,这是一个送到两名监狱的前黑帽,但现在传统世界一个错误的猎人和安全教育者,犯罪的证明是犯罪的过去没有道德黑客攻击的障碍。

但这不是一天的工作。Liberow说有些人可能能够从中生活,但他不认为应该渴望这一点。他说,它可以是一个非常极端的生活,以及需要大量的应用程序,威胁和脑力。

他说,许多黑客的黑客实际上是IT顾问,开发人员或安全专业人士,他说,他们使用Bug狩猎体验让他们更好地让他们更好。这些人可能会在他们的工作期内处理相同的技术,并享受机会(和许可)来测试想法和技术。

“他们开始实验,他们可以玩和p out如何使用各种工具,了解问题,然后在自己的业务中应用它。一个人补充了另一个,它让你尖锐,“宝贝说。他估计,甚至是他的大部分黑客,也许是大多数黑客,在大型数字化组织中工作。

它也可以是杰克斯的新手或青少年的路线,但这样做的方式需要很多工作,而黑客社区通常在分享提示,技巧和利用方面非常支持,而LiboIn指出那个错误的狩猎采取疯狂的技能。

“当最终,这种知识谈到这样的事情时,我认为存在误解,因为这一知识非常强大,因为你正在进入由非常聪明的人建造的基础设施和服务中的错误,所以需要很多。那些技能不仅仅是这样 - 你必须从底部开始,“他说。

把它置于这样的方式,你不会在几小时内注册然后披露关键漏洞,你将在一个旅程中,但对于坚定的,它是Hackerone通过像黑客101这样的程序支持(获取它?),a在任何年龄或水平,任何年龄或水平都可以使用的免费在线培训资源。

“你必须在某个地方开始,对吧?”菲利斯说。“每个人都会比其他人更少地开始。”


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章