BLOG

Como crear un programa de Bug Bounty

Tener un programa de Bug Bounty tiene varias ventas, la principal y más obvia es que te permite elevar tu nivel de seguridad a un precio muy bajo (mucho más bajo que un pentest), al igual que encontrar vulnerabilidades sobre tu infraestructura.

Se deben de tener ciertas consideraciones internas (apoyo dentro de la organización) antes de hacerlo, por ejemplo:

  • Definir políticas internas – Quien es responsable de que servicio, el alcance, tiempos de respuesta (por ejemplo X horas para resolver una vulnerabilidad crítica, etc.), presupuesto, entre otras.
  • Asignar un equipo de seguridad – Alguien que reciba los correos [y los entienda], les asigne un nivel de prioridad (triage), los canalice al departamento correspondiente y les dé seguimiento.
  • Asignar un punto de contacto – Generalmente un correo ([email protected], [email protected], etc.) también es recomendable tener una llave PGP para dicho correo ya que la información que vas a recibir allí es confidencial y si un atacante tiene acceso a ella te puede hacer mucho daño.

 

Otras ideas que pueden ayudar:

  • Sacar métricas – Son muy útiles para explicar lo que están haciendo en los niveles de arriba (dirección, gerencia, etc.). Por ejemplo cantidad de vulnerabilidades arregladas clasificadas por categoría, tiempo promedio de resolución de vulnerabilidad, entre otras.
  • Usar una plataforma pública – Por ejemplo hackerone o bugcrowd.
  • Dar cosas a los que encuentran vulnerabilidades – Esta es una de las cosas más difíciles, ya que se requiere un presupuesto para poder dar premios interesantes y que “los mejores” se pongan a auditar tu página/aplicación. En el caso de que no tengas un gran presupuesto, dar respuestas rápidas y completas (atención) a quien reporta las vulnerabilidades, crear un “hall of fame”, ofrecer escribir una recomendación a su empleador (reconocimiento), dar un producto (playera, etc.) con tu logo por ejemplo, u otras cosas pueden ayudar a que la gente se motive a encontrar vulnerabilidades en tu página y avisarte. Al final están dando una parte importante de su tiempo y te están ayudando.

 

Un programa de bug bounty puede ser de gran ayuda para elevar el nivel de seguridad de una organización. Un correcto manejo de dicho programa aumenta las probabilidades de éxito.

Una realidad es que cada vez es más común ¡hasta el gobierno de USA lo está haciendo!

TAGS > , , , ,

Sorry, the comment form is closed at this time.