Una de las preguntas más comunes que encontramos en las conversaciones en torno a los programas de bug bounty es: “¿Por qué iba a invitar a los hunters a hackear mis activos?”, “¿Por qué debería confiar en los hunters?”, o alguna variante de la misma.
Hay diferentes opiniones en torno a esta pregunta, pero la mayoría se basan en la suposición de que los hunters que forman parte de la comunidad están en una entidad desconocida o en la sombra de actores cuyos motivos son opacos y posiblemente nefastos.
Como resultado, hay mucha inquietud en torno a la integración de la comunidad en la estrategia de seguridad de una organización.
Es bueno ser precavido al considerar la apertura de activos a los hunters y las preguntas de esta índole son una parte natural de su diligencia debida al considerar los servicios de Epic Bounties.
Desde Epic Bounties contestaremos las preguntas más frecuentes que suelen hacerse los CISOS y compartiremos consejos a la hora de considerar el uso de un programa de bug bounty para tu empresa.
¿Por qué invitaría a los hunters a piratear mis activos?
En pocas palabras: porque los “malos” lo hacen de todos modos. Dejando a un lado las leyes, los malhechores van a buscar problemas con o sin tu permiso; si hay alguna duda, sólo tienes que preguntar a cualquiera que haya trabajado en un Centro de Operaciones de Seguridad (SOC) o en un Centro de Operaciones de Red (NOC): los escaneos de puertos y aplicaciones son incesantes. En un nivel más macro, basta con observar la frecuencia con la que las organizaciones de todo el mundo son violadas de una manera u otra (sólo nos enteramos de las más noticiables). Independientemente de lo pequeña que sea una empresa, alguien está buscando una forma de entrar.
Al involucrar a la comunidad de hunters para que prueben tus activos a través de un programa de bug bounty, estás emulando efectivamente lo que los hackers no éticos harían de por sí. En lugar de aprender acerca de las vulnerabilidades después de haber sido comprometidos, puedes aprender sobre (y remediar) ellos antes de que las partes nefastas lo hagan. Los beneficios de esto son dobles:
-
Al involucrar a la comunidad para ayudar a identificar las áreas de riesgo, se obtiene la imagen más precisa posible de su exposición tanto en términos de vulnerabilidades como de superficie de ataque. Los escáneres pueden encontrar algunas cosas, y los pentesters pueden encontrar otras, pero un programa de seguridad con participación masiva (como un programa de bug bounty) aporta el valor tanto del ingenio humano como de las pruebas automatizadas a escala. Es decir, que dos probadores activos encontrarán normalmente más problemas que uno, diez más que dos, quinientos más que cincuenta, y así sucesivamente… todo ello es posible porque cada individuo (de entre los miles de la comunidad) aporta un conjunto único de habilidades, perspectivas, metodologías, etc. La comunidad a escala proporciona una perspectiva que no tiene comparación con ninguna tecnología del planeta para dar la imagen más precisa de cómo piensan los hunters y cómo se acercarían a sus activos (a menudo encontrando enormes cantidades de activos desprotegidos de los que los clientes no eran conscientes). Además, la comunidad aumenta esta ventaja desproporcionada al aprovechar a menudo sus propias herramientas altamente eficaces y desarrolladas por ellos mismos (que no están, por ejemplo, en el mercado abierto) junto con sus conocimientos técnicos específicos.
-
Al identificar y remediar rápidamente los problemas, te conviertes en un candidato menos atractivo para los atacantes. Al tener una superficie de ataque más segura como resultado de las pruebas con la comunidad, el tiempo que se tarda en encontrar un nuevo problema válido se amplía sustancialmente para los atacantes, proporcionando un retorno de la inversión mucho menos atractivo para atacar a su organización en lugar de atacar a una con una postura de seguridad menos proactiva.
¿Cómo puedo confiar en la comunidad? Más concretamente, ¿cómo puedo confiar en que los hunters informen de las vulnerabilidades al programa y no las vendan en el mercado negro?
Una preocupación comprensible, a la que hay que responder con un par de puntos.
-
Para abordar específicamente la noción de vender o explotar los problemas encontrados por sí mismos, simplemente al tener un programa de seguridad crowdsourced (por ejemplo, un programa de recompensa de errores), el valor relativo en el mercado negro de una vulnerabilidad contra su activo disminuye sustancialmente. ¿Cómo es eso? En primer lugar, esto significa que en un mundo de escasez, con relativamente poca gente compitiendo para encontrar problemas en un activo dado (digamos, un equipo de hunters que se dirige a su sitio), una vulnerabilidad encontrada probablemente sólo sea conocida por ese grupo o por un subconjunto muy pequeño de individuos que pueden tener la intención de utilizarla en un contexto nefasto. Cualquier hallazgo identificado aquí será ostensiblemente utilizable durante mucho tiempo, y las probabilidades de que desaparezca del mapa de la noche a la mañana son relativamente bajas. A fin de cuentas, si el objetivo es vender vulnerabilidades, el peor lugar para hacerlo es un programa de bug bounty.
-
El valor de mercado de los descubrimientos disminuye y el número de descubrimientos disponibles es menor que el de una empresa que no tiene un programa de recompensas por fallos, lo que lleva a una ecuación que está lejos de ser ideal para cualquiera que intente ganarse la vida de esa manera. En resumen: si uno quiere ser nefasto, hay formas mucho mejores de hacerlo.
¿Cómo puede ayudar la comunidad si sólo puedo aprovechar a las personas que están en ciertas geografías o con ciertos niveles de confianza?
Como se ha mencionado anteriormente, Epic Bounties es capaz de encontrar a los investigadores adecuados para lo que necesite su empresa. Sin embargo, no recomendamos establecer ninguno de esos requisitos a menos que sea absolutamente necesario. ¿Por qué? Porque la comunidad es absolutamente más poderosa cuando no hay restricciones sobre quién puede participar.
Animamos encarecidamente a las organizaciones a que eviten emplear barreras artificiales para el tipo de talento que puede ser invitado al programa. Si se deben cumplir ciertas especificaciones para lograr un nivel de confianza deseado para su organización específica, desde Epic Bounties podemos ayudar a poner esa confianza en su lugar. Además, vale la pena recordar que la gran mayoría de la comunidad tiene trabajos diarios como profesionales de la ciberseguridad. No son personas oscuras y misteriosas que no tienen un pasado o formas de identificación, y que sólo existen entre ciertas horas del día. Son, en gran medida, profesionales de la infoseguridad (actuales o reformados), como el resto de nosotros, a los que les gusta romper cosas en su tiempo libre, les encanta reventar cáscaras, que les paguen por ello y que ayuden a hacer de Internet un lugar más seguro.