Bug Bounty平臺的終極指南

似乎沒有一個星期過去沒有新聞文章，一些公司遭到駭客入侵。 即便是Facebook，蘋果或谷歌等科技巨頭也無法免受網路犯罪分子的攻擊。 事實不言自明：根據 戰略與國際研究中心編制 的 報告 ，僅2018年就有近600億美元的網路犯罪丟失。 因此，全球網路安全支出在 過去兩年中 增長 了17％，預計2018年將創下96億美元的歷史新高。

有沒有辦法讓公司有效地保護自己免受這種威脅？ 好吧，今天我們將向您介紹bug賞金平臺，這些平臺已經成為公司面臨的網路安全威脅的經濟高效解決方案。 我們將解釋它們的工作原理以及bug賞金平臺為全球企業帶來的價值。

在我們描述典型的bug賞金平臺如何工作之前，瞭解術語“bug賞金計劃”的含義非常重要：

錯誤賞金計劃是指公司聘請第三方網路安全專家（業內人士，他們被稱為“白帽駭客”或“安全研究人員”）來測試他們的軟體是否存在漏洞。 對於發現的每個漏洞（bug），研究人員都會獲得金錢獎勵（賞金）。 該公司只是向公眾宣佈Bug Bounty Policy工作範圍（包含該計劃的所有詳細資訊的文件），任何人都可以註冊並參與bug賞金計劃。 這些是所謂的“自託管Bug賞金計劃”。

但是，在實踐中，並非每家公司都能負擔得起自己的bug賞金計劃。 為什麼？ 嗯，有幾個原因：

• 缺乏宣傳和品牌信譽。 除非你是一家大型科技公司，比如Apple，Google或Facebook，否則很少有人知道你是誰。 所以，當你告訴全世界“華友世紀，我們已經啟動了一個bug賞金計劃” - 很少有人會報名參加。 可以這麼說，你不是“研究人員的雷達”。

• 第二個原因是，在大多數情況下，公司沒有適當的基礎設施或資源來處理來自研究人員的報告流。 公司沒有足夠的專業知識與研究人員溝通並同時修復漏洞。

缺乏宣傳和相關的合格人員意味著大多數公司無法妥善舉辦自己的錯誤賞金計劃。 這就是 HackenProof 等bug賞金平臺 發揮作用的地方。 這些公司專門為其他公司託管bug賞金計劃。

什麼是Bug Bounty平臺？

任何bug賞金平臺都包含三個主要元件：

• 專用票務系統，用於處理研究人員傳送的漏洞報告。

• 
  由網路安全專家組成的內部團隊，負責檢查和驗證漏洞報告（該過程稱為“分類”）。 Triage專家也是研究人員和客戶之間的溝通橋樑。

• 白帽駭客社群。 社群越大，bug賞金平臺就越強大。 這是bug賞金平臺最重要的部分之一。

一個白帽駭客社群正是bug賞金平臺可以自己託管bug賞金計劃的原因。 他們已經擁有忠實的白帽駭客社群，他們已準備好測試平臺上託管的產品。 這是Bug Bounty平臺的“超級大國”。

Bug Bounty流程如何實際運作？

1. 首先，來自bug賞金平臺的安全團隊幫助客戶建立“Bug Bounty Policy”。 本文件詳細描述了錯誤賞金計劃的各個方面 - 研究人員可以入侵的應用程式或服務列表，描述如何在平臺上報告錯誤的披露條款和規則，漏洞的補償詳細資訊，“範圍“部分等

2. 完成後，bug賞金平臺會在其網站上釋出一個程式，並啟動營銷活動以吸引白人駭客參與該計劃。 從現在開始，bug賞金計劃被認為是“現場”。

3. 一旦該程式生效，研究人員就會破解Bug Bounty Policy中描述的資產，並透過bug bounty平臺網站傳送錯誤報告。

4. 分類專家團隊檢查漏洞是否唯一且有效（可以複製），並且在程式範圍內。

5. 如果分類團隊已經驗證了錯誤，則研究人員會獲得他的賞金，並且客戶會收到完整的錯誤報告，該報告詳細描述瞭如何重現漏洞以及需要採取哪些措施來“修復漏洞”。

隨著研究人員發現更多漏洞，步驟3-5反覆重複。 大公司可以執行幾個月甚至幾年的bug賞金計劃。 在一個bug賞金計劃中發現的錯誤數量可以從六打到幾百不等。

與提供網路安全服務的傳統網路安全諮詢公司相比，bug-bounty平臺的優勢是什麼？

Bug賞金平臺有幾個關鍵優勢：

• 獲得人力資本：傳統的網路安全公司平均有5-20名員工來測試您的軟體。 Bug Bounty平臺擁有來自世界各地的數百甚至數千名研究人員，專門研究各種領域（網路，移動，區塊鏈協議，支付系統，智慧合約等）。 與傳統的網路安全服務公司相比，Bug賞金平臺可以獲得更多的人力資本。
  

• 時間範圍：標準滲透測試通常持續數週或數月，而錯誤賞金計劃持續數月甚至數年（此時記者將積極嘗試查詢產品中的漏洞）。 在如此漫長的測試時間範圍內，錯誤“滑倒”的可能性非常小。
  

• 補償系統：滲透測試中的標準補償系統基於過程。 這意味著無論在滲透測試期間發現了多少錯誤，客戶都將支付費用。 雖然bug賞金計劃中的補償系統是基於已確認的漏洞數量。 因此，客戶只需支付分類團隊已檢查和驗證的漏洞。

結論

考慮到公司越來越多地使用線上服務進行日常運營，他們越來越容易受到駭客攻擊。 公司必須接受這樣一個事實，即防範網路威脅不再是一個獨立的問題，而是一個持續存在的問題。 隱藏它，或者沒有將它放在你的“優先順序列表”上會給你的業務帶來很大的風險。

另一個風險是擁有一種心態，你可以“建立一個駭客永遠無法穿透的長城”。 這種心態的問題在於軟體一直在變化。 每個軟體更新都可能包含網路犯罪分子可能利用並損害您公司的潛在“漏洞”。

正如我們之前所說的那樣 - bug賞金平臺僱傭了一大批來自世界各地的研究人員，他們專注於不同的網路安全領域。 這種方法意味著您的產品將由高技能的網路安全專家不斷反覆測試一段時間。 因此，Bug賞金平臺為公司提供了經濟高效且持續保護其產品的服務。