Radzenie sobie z wyzwaniami związanymi ze zleceniami żebrania


Wyobraź sobie scenę: jesteś w pracy i dostajesz plik powiadomienie o podatności z którymi najwyraźniej musisz pilnie się uporać. Działasz teraz, delegujesz analitykowi, czy zostawiasz to na później?

Jeśli to drugie, jest to kwestia tego, jak poważna jest luka. Sprawdzasz, od kogo pochodzi i czego dotyczy problem. W tym momencie zdajesz sobie sprawę, że to tylko wynik skanowania Twojej sieci, poinformowania Cię o tym, co znaleźli i poproszenia o zapłatę nagroda za błędy dla tego.

Witamy w tym, co zostało określone jako „nagroda błagania”. Te e-maile, dalekie od oszustwa, są często kierowane do firm, w których badacz przeprowadził proste skanowanie pod kątem podstawowych błędnych konfiguracji lub luk w zabezpieczeniach, a następnie wycina i wkleja wyniki do wstępnie zdefiniowanego szablonu wiadomości e-mail.

Główny naukowiec Sophos, Chester Wisniewski, podkreśla to w a ostatni blognazywając ich „ujawnieniami etycznymi, które zawierają wszystkie potrzebne informacje i sugerują, że byłoby miło, gdybyś wysłał im nagrodę”. Zdarzają się jednak przypadki, w których może dojść do „granicznego wymuszenia, domagania się zapłaty, nawet nie dostarczając informacji wystarczających do ustalenia zasadności żądania”.

Wiśniewski mówi, że tego typu podejście może zazwyczaj wymagać płatności od 150 do 2000 USD za błąd, w zależności od wagi. Jednak jego badania wykazały, że żadna z luk w zabezpieczeniach, które zbadał, nie była warta zapłaty.

„Jeśli otrzymasz jeden z takich e-maili, warto potraktować go poważnie, ponieważ prawdopodobnie masz bardzo słabe stanowisko w zakresie bezpieczeństwa, ale nie powinieneś angażować się w kontakt z osobą, która pozyskuje Twój biznes” – mówi. „Skontaktuj się z lokalną, godną zaufania firmą, aby ocenić słabe punkty zabezpieczeń, która może współpracować z Tobą w celu ustalenia priorytetów i poprawy stanu bezpieczeństwa”.

Reklama

Doświadczenie CISO

Quentyn Taylor, dyrektor ds. Bezpieczeństwa informacji wCanon Europe, napotkał szereg zgłoszeń i żądań zapłaty za ujawnienie.

Twierdzi, że istnieją trzy klasy ludzi, którzy zgłaszają luki w zabezpieczeniach. Pierwszy typ znajduje coś i zgłasza to. Drugi, zawodowy badacz, który znalazł lukę, czyta program ujawniania i zawierasz z nim umowę na publiczne ujawnienie zgodnie z warunkami Twojego programu ujawniania luk.

“To [second type] jest bardzo pożyteczna, a ludzie robią to na marginesie zarabiania pieniędzy. Są na to świetne przykłady i jest to bardzo dobra usługa ”- mówi Taylor.

Jednak trzecia klasa to ci, którzy szukają nagród żebractwa i zazwyczaj znajdują „błąd z niższej półki, którego szukają na dużą skalę”. Typowe przykłady to DMARC i SPF błędne konfiguracje. „Szukają go, mówią, że znaleźli poważną lukę i chcieliby za to trochę pieniędzy” – mówi Taylor.

Często odpowiadał wtedy, pytając, czy badacz przeczytał warunki programu ujawniania luk w zabezpieczeniach, wskazując, że to, co znalazła osoba, nie znajduje się w zakresie ani w jej regionie.

„Nie mieliśmy złego, mieliśmy dużo dobrych kontaktów w sprawie SPF i DKIM i nie były to poważne problemy, zwykle po prostu dziękowały i gotowe” – mówi. „Jednak niektórzy mówią, że go znaleźli, a następnie pytają:„ Kiedy zamierzasz to załatać, a kiedy mi zapłacisz? ”

Taylor podejrzewa, że ​​większość badaczy tego typu spędza czas na forach internetowych, generując e-maile i wysyłając powiadomienia „w nadziei, że otrzymają zapłatę”. Mówi, że zazwyczaj uruchamiają skaner w Twojej infrastrukturze, dodając: „Pamiętam, kiedy było to niegrzeczne, a teraz uważają to za przysługę”.

Czy obawiasz się, że są one tylko uciążliwe i pochłaniają czas i zasoby? Taylor zgadza się, że tak jest, mówiąc, że na każde pięć lub sześć raportów, które otrzymujesz, możesz otrzymać jeden, który jest naprawdę dobry i któremu należy się przyjrzeć.

„Jest to hałas, bez którego można się obejść” – mówi. „Ludzie wbijają cię w wiadomość, która brzmi groźnie, ale jeśli spojrzysz na ten problem, jest on niewielki. Im poważniejsza luka, tym poważniejszy badacz ”.

Z perspektywy badacza

Taylor twierdzi, że liczba osób, które nie przeczytały programu ujawniania luk w zabezpieczeniach jest „oszałamiająca” i „tylko profesjonaliści go czytają”. Z perspektywy brokera nagród za błędy, w jaki sposób naukowcy są kształceni w zakresie tego typu ujawniania informacji?

Laurie Mercer, inżynier ds. Bezpieczeństwa w HackerOne, mówi, że jego firma ma jasne wytyczne dotyczące tego, co jest nagradzane, a co nie, i że „istnieje jasny zakres podatności, które są akceptowane i za co się płaci”.

Jeśli chodzi o złożenie nagrody za żebranie, Mercer mówi, że istnieją dwa główne problemy: pierwszy to zaufanie i wiedza, kto sam zgłasza lukę, a drugi jest związany z umiejętnościami, ponieważ widzi problem z używaniem automatycznych skanerów do znajdowania luk – jak aby ubiegać się o nagrodę za błędy, należy wykazać się pewnym poziomem umiejętności technicznych.

Jednak Mercer pragnie zaznaczyć, że „hakerzy nie stwarzają problemów, ale ujawniają problemy, które już istnieją”. HackerOne’s Raport hakera 2020 stwierdzili, że prawie dwie trzecie hakerów twierdzi, że znaleźli błędy i zdecydowali się nie zgłaszać ich organizacji, przy czym 38% hakerów stwierdziło, że było to spowodowane „groźnym językiem prawnym” opublikowanym na stronie internetowej organizacji w związku z wykryciem potencjalnych luk w zabezpieczeniach . Ponadto 15% stwierdziło, że firma nie reagowała na poprzednie zgłoszenia błędów.

Mercer twierdzi, że powodem, dla którego firmy uruchamiają programy ujawniania luk w zabezpieczeniach, jest „znalezienie luk, których firma nie może znaleźć samodzielnie”. Dlatego firmy sporządzają program do wykrywania luk w celu ustalenia, za które kategorie błędów płacą, a jeśli badacz dostarczy coś, co zostało zidentyfikowane jako nie będące częścią programu bounty, firma nie rozważy wniesienia za to opłaty.

“Każdy poważny problem pojawi się za pośrednictwem profesjonalnego kanału, takiego jak HackerOne ”- mówi Mercer.

Radzenie sobie z problemem

Badania HackerOne odkryły to 85% hakerów hakować tylko przez mniej niż 40 godzin tygodniowo 18% hakerów w pełnym wymiarze godzini 40% hakerów poświęcać 20 godzin lub więcej tygodniowo szukać luk w zabezpieczeniach.

Jak CISO i firmy mogą poradzić sobie z tym problemem? Taylor z firmy Canon mówi, że edukacja jest potrzebna, aby lepiej zrozumieć, że nieuzasadnione ujawnienie nie zawsze przynosi korzyści. “To nie jest przeciwko profesjonalnym łowcom nagród za błędy, ponieważ niektórzy łowcy nagród są bardzo dobrzy i zastanawiają się, jak to działa, ale ludzie z niższej półki chcą szybko zarobić – mówi.

Mercer mówi, że pracując z firmami, organami regulacyjnymi i rządami, istnieje proces ujawniania powiadomień o błędach, ponieważ skargi CISO są zazwyczaj składane wbrew ich preferencjom. „Jeśli wdrożysz program ujawniania luk, poinformuje on badacza, czy zostanie zaakceptowany i czy zapłacisz nagrody za błędy” – dodaje.

Wygląda na to, że rozwiązanie leży w formule tego programu i polityce publicznej, a jeśli poinformujesz początkujących łowców błędów o tym, co jest w zasięgu i za co płacisz, to kwestia szans na łowców nagród żebraczych zostanie zmniejszona.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

W Internecie pojawia się podstawowa jednostka SKU Intel „Meteor Lake”: Core Ultra 5 115U

Rodzina procesorów mobilnych Intel „Meteor Lake”. wystartował w grudniu ubiegłego roku, przy czym wstępna selekcja obejmowała jedenaście jednostek SKU „Core Ultra”. W...

Shazam w Wear OS działa teraz bez Twojego telefonu

Aplikacja Shazam na Wear OS właśnie doczekała się fajnej aktualizacji: może teraz działać niezależnie od Twojego telefonu z Androidem.Aktualizacja, która była zauważony przez...

Relic Entertainment uniezależnia się i ogłasza oddzielenie od Segi

Dla naszych zawodników i fanów mamy ważny komunikat. Z inwestorem zewnętrznym, Reliktowa rozrywka stanie się niezależnym studiem deweloperskim. To dla nas...
Advertisment