Bug Bounty programma’s

Bug Bounty programma’s

Inleiding

Een nieuwe ontwikkeling op het gebied van testen op IT kwetsbaarheden begint in opkomst te raken. Bedrijven als HackerOne, Synack en Bugcrowd bieden hiervoor diensten aan. Bug bounty programma’s is de term die hiervoor wordt gebruikt.

De genoemde bedrijven zijn intermediair. Ondernemingen die haar IT dienstverlening op kwetsbaarheden willen testen worden verbonden met ethische hackers. De communicatie, rapportage, opvolging van kwetsbaarheden en uitbetaling van beloningen voor een ontdekte kwetsbaarheid worden via het bug bounty platform van deze intermediairs gefaciliteerd.

Hoe werkt een Bug Bounty programma?

Om de werking van een bug bounty programma uit te leggen gebruik ik het HackerOne platform als voorbeeld, Synack en Bugcrowd werken op een enigszins vergelijkbare manier. Globaal ziet het model er als volgt uit:

HackerOne heeft een web applicatie ontwikkeld (platform noem ik het in het vervolg) waar aan de ene kant bedrijven zich kunnen aanmelden die hun product of dienst (continue) getest willen hebben door security researchers c.q. ethische hackers. Bij het HackerOne platform zijn bijvoorbeeld bekende bedrijven aangesloten als Yahoo, Twitter en Dropbox. Maar het zijn niet alleen de bekende namen, ieder bedrijf kan deelnemen en een stap voorwaarts maken. De aangesloten bedrijven kunnen aangeven wat wel of niet getest mag worden, hoe getest mag worden en voor welke diensten het bug bounty programma van toepassing is. Daarnaast kan men aangeven of een ontdekte kwetsbaarheid publiek bekend gemaakt mag worden als er binnen een bepaalde termijn geen reactie is geweest.

Aan de andere kant kunnen ethische hackers zich aanmelden op het HackerOne platform en proberen kwetsbaarheden te vinden in de software, website of dienst die de aangesloten bedrijven graag getest willen hebben. Dit zijn over het algemeen individuele hackers die zich overal ter wereld kunnen bevinden.

De ethische hackers testen de beveiliging en mochten deze een kwetsbaarheid vinden dan dienen ze een rapport in via het HackerOne platform. Dit rapport wordt beoordeeld door het betreffende bedrijf en mocht het gemelde een issue zijn dat opgelost moet worden, dan krijgt de ethische hacker een beloning toegekend voor het vinden van deze kwetsbaarheid. De range waarin de meeste bedrijven zitten qua beloning loopt van € 50 voor een klein issue, € 1000 voor een middel issue, maar voor high impact issues wordt soms wel € 15.000 of meer betaald.

Verdienmodel HackerOne

HackerOne ontvangt een opslag van 20% bovenop de bonus dat een bedrijf heeft toegekend aan een ethisch hacker. Kijk maar eens op de website van HackerOne, op de hoofdpagina van de website geeft men aan hoeveel kwetsbaarheden er zijn ontdekt via het platform en hoeveel geld er uitgekeerd is. Zal vast een beetje marketing zijn, maar het geeft wel de potentie weer van het platform: https://hackerone.com/

Een aangesloten bedrijf bepaald zelf hoeveel bonus er uitgekeerd zal worden aan de ethische hacker. HackerOne legt hier geen eisen op. Wel komt natuurlijk marktwerking om de hoek kijken. Een bedrijf dat minimaal betaald voor een gevonden kwetsbaarheid wordt minder interessant voor de aangesloten ethisch hacker.

Tijdsinvestering voor deelnemende bedrijven

Ik denk dat de urenbesteding voor deelname aan een bug bounty programma best fors zou kunnen zijn. Alle rapporten die men ontvangt over mogelijke issues zal een bedrijf moeten beoordelen, testen en eventueel overleggen met de indiener van het rapport en dat in een redelijke termijn. Normaal gesproken schrijft een bedrijf zich niet in voor deze dienstverlening als er zelf al geen intern programma bestaat om kwetsbaarheden actief op te sporen.

Welke bedrijven zijn de doelgroep voor bug bounty programma’s?

Optimistisch gezien zou ik denken ieder bedrijf. Echter daar informatiebeveiliging risico gericht is, dient er een afweging gemaakt te worden. Wegen de tijdsbesteding en de kosten op tegen het risico dat wordt gelopen?

Daarmee denk ik dat bug bounty programma’s primair van toepassing zijn op bedrijven die zelf software ontwikkelen of een eigen ontwikkelde website / dienst hebben opgezet. Deze bedrijven kunnen het meest profiteren van bug bounty programma’s

De winst voor bedrijven die zelf geen software ontwikkelen maar een dienst aanbieden met bestaande software zit vooral het ontdekken van misconfiguraties en verkeerde architectuur opzet. Men zal moeten afwegen of deze investering gewenst is bovenop de interne programma’s die hiervoor zullen bestaan in een bedrijf.


Comments are closed.