Internet Bug Bounty se expande para ofrecer recompensas por herramientas de descubrimiento de vulnerabilidades

0 170 2 minutos de lectura

El proyecto Internet Bug Bounty se ha ampliado para incluir una recompensa por herramientas y técnicas que ayudan en el descubrimiento de vulnerabilidades y la determinación de la explotación.
Según una investigación de HackerOne, MIT y Harvard, la creación de incentivos para herramientas y técnicas que apoyen el descubrimiento de vulnerabilidades es una forma más eficiente para que los defensores agoten las reservas de ataques de vulnerabilidades de día cero, y las recompensas de errores siguen siendo efectivas para ayudar a encontrar vulnerabilidades más rápido. especialmente para software menos maduro.
Katie Moussouris, directora de políticas de HackerOne, dijo en un Blog que a lo largo de los años, las recompensas por errores han demostrado ser una forma eficaz de incentivar a los investigadores a encontrar e informar vulnerabilidades individuales a los jugadores de la defensa y, a medida que las apuestas y el efectivo han aumentado en el mercado de vulnerabilidades, la oportunidad de vender tanto a la ofensiva como a la defensa. los mercados se han incrementado.
“Los jugadores de la defensa intentarán mitigar el riesgo o reparar la vulnerabilidad, mientras que el uso ofensivo de una vulnerabilidad puede variar desde ataques patrocinados por el estado nacional, hasta la vigilancia de poblaciones civiles por parte de sus gobiernos, su uso en operaciones de aplicación de la ley y actividades delictivas , al hacktivismo, a simplemente causar caos ”, dijo Moussouris.
“Algunos de los documentos de Snowden filtrados confirmaron lo que la mayoría de la industria de la seguridad ya sabe: los gobiernos, incluido EE. UU., Son actores importantes en la compra de vulnerabilidades a precios altos para usar con fines ofensivos. Estos mismos gobiernos también tienen la tarea de defender la seguridad nacional y la infraestructura crítica, y las decisiones que toman sobre si entregar un agujero de seguridad al proveedor de software apropiado para que lo arregle o agregarlo a una reserva de armas potenciales es un enigma interesante. . «
Reconociendo que las organizaciones individuales quieren reducir la cantidad de errores de seguridad en su infraestructura, Moussouris recomendó que las empresas primero inviertan en su ciclo de vida de desarrollo de seguridad y luego ofrezcan recompensas de errores individuales como una medida continua de garantía de calidad de la seguridad para detectar las vulnerabilidades que pasaron por alto.
«También es una forma de encontrar grandes defensores con la mentalidad de hacker para contratar», dijo. «Para un software más maduro, las organizaciones deberían intentar crear incentivos para herramientas y técnicas además de cualquier recompensa de errores individuales para aumentar específicamente la velocidad a la que pueden encontrar los mismos errores que el lado ofensivo ha acumulado».
También recomendó a la industria en general respaldar el concepto de Internet Bug Bounty, y dijo que se estableció para reconocer y recompensar la investigación de seguridad que mejora la infraestructura crítica de Internet, incluida la biblioteca OpenSSL, los servidores web Apache y Nginx y Ruby, Python, PHP y Perl. lenguajes de programación, entre otros.
Tod Beardsley, gerente de ingeniería de Rapid7, dijo que estaba entusiasmado con el concepto, ya que el Proyecto Metasploit, propiedad de Rapid7, es un esfuerzo voluntario en gran parte impulsado por la comunidad que se basa en la buena voluntad de los investigadores para compartir sus hallazgos con el mundo, y dijo que parece que no nos estamos quedando sin exploits útiles para demostrar el riesgo.
«Sin embargo, como han descubierto los investigadores del mercado de día cero, existen muchos incentivos para mantener en secreto los errores y utilizarlos con fines puramente ofensivos», dijo.
“Me alegra ver que IBB y HackerOne lideran la orientación y el enfoque de los esfuerzos de explotación de los“ buenos ”. El crimen organizado es, por definición, organizado, y sé que la mayor parte de la comunidad de investigación de seguridad de código abierto puede carecer de enfoque ante tantas vulnerabilidades que se publican a diario.
“Como efecto secundario de incentivar a los investigadores para que se enseñen unos a otros cómo realizar mejor la I + D sobre explotación, creo que estos esfuerzos del IBB también ayudarán a priorizar qué tipo de investigación es la más útil y fructífera, al facilitar el redescubrimiento del secreto vulnerabilidades que ya se están acumulando hoy «.

Internet Bug Bounty se expande para ofrecer recompensas por herramientas de descubrimiento de vulnerabilidades

Deja una respuesta Cancelar la respuesta

OneLogin lanza la primera solución de la industria para combatir las principales amenazas de ciberseguridad.

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Pasos clave para proteger los datos corporativos confidenciales en Europa

Puerto Rico supuestamente estafado por $ 2.6 millones

Prevención de amenazas liderada por la comunidad

Las organizaciones utilizan IA para combatir los ciberataques.

Deja una respuesta Cancelar la respuesta

OneLogin lanza la primera solución de la industria para combatir las principales amenazas de ciberseguridad.