in

Un mes de conocimientos del programa Bug Bounty de Flo Health: una pregunta y respuesta con el CISO Leo Cunningham


El CISO de Flo Health, la aplicación de salud para mujeres más popular del mundo, sabe que proporcionar los métodos de prueba de seguridad más avanzados disponibles para su equipo de seguridad es de suma importancia para la confianza de la marca y la lealtad del usuario. Recientemente nos reunimos con CISO Leo Cunningham para obtener más información sobre los conocimientos de Flo Health durante los primeros 30 días de su programa de recompensas por errores. Siga leyendo para conocer lo que dijo Leo sobre la importancia de aprovechar la comunidad global de hackers y cómo los conocimientos sobre vulnerabilidades ayudan a mejorar los procesos internos de Flo Health.

Dinos quién eres

Hola, soy Leo Cunningham, el CISO de Flo Health.

¿Qué hace Flo Health? ¿Por qué es tan importante la ciberseguridad?

Leo Cunningham: Flo es la aplicación de salud femenina más popular del mundo; Más de 190 millones de usuarios han descargado Flo, alcanzando los 40 millones de usuarios activos mensuales. Con más de 80 expertos médicos, Flo apoya a las mujeres durante toda su vida reproductiva. La aplicación ofrece seguimiento curado del ciclo y la ovulación, conocimientos de salud personalizados, consejos de expertos y una comunidad privada para que las mujeres compartan sus preguntas e inquietudes. La aplicación Flo Health está disponible en más de 20 idiomas para iOS y Android.

Flo prioriza la seguridad y se enfoca en ser la fuente digital más confiable de información sobre la salud de la mujer. La ciberseguridad es más importante para nuestro negocio debido a los datos confidenciales que procesamos y la gran cantidad de datos de usuarios que almacenamos.

¿Qué te trajo a HackerOne?

Leo Cunningham: Antes de usar HackerOne, realizamos pruebas de penetración a través de un proveedor. Sin embargo, estos pentests tradicionales nos limitaron ya que no teníamos acceso a habilidades específicas. Queríamos agregar un enfoque moderno a lo que ya estábamos haciendo. Cuando elige HackerOne, no nos limitamos. Podemos abrir nuestra aplicación y plataforma a la comunidad de piratas informáticos éticos más grande del mundo. Queríamos llegar a una comunidad diversa y un grupo de talentos para traspasar los límites, darnos una mejor medida de nuestra seguridad e identificar vulnerabilidades que podrían haberse pasado por alto internamente. Ahorramos mucho tiempo y dinero al equilibrar algunos de nuestros esfuerzos de prueba y gestión de vulnerabilidades.

¿Cuáles fueron algunos de los primeros éxitos?

Leo Cunningham: La introducción del programa HackerOne nos ha permitido revisar y refinar nuestros procesos internos para garantizar el máximo retorno de la inversión y la eficiencia al tratar con múltiples fuentes de información de vulnerabilidad.

En el primer mes del programa, contactamos a 200 personas en la plataforma para ver si podían probar lo que ya habíamos introducido. Hasta ahora hemos revelado algunas cosas. Uno de los errores revelados hasta ahora era una vulnerabilidad «baja». Nuestro equipo de seguridad ya conocía este error y es un elemento obsoleto que no afecta a Flo. Dado que la presentación de la recompensa por error surgió desde una perspectiva diferente, decidimos pagar $ 200 por ella, ya que era instructivo saber cuál era la evaluación de un pirata informático sobre esta vulnerabilidad.

La interacción con el equipo de HackerOne y con la comunidad de piratas informáticos fue excelente. HackerOne Triage revisará los resultados antes de enviárnoslos para su revisión. Esto le ahorra mucho tiempo a Flo y reduce nuestra carga de trabajo al revisar artículos.

¿Cómo le ayudan los piratas informáticos a reducir el riesgo empresarial?

Leo Cunningham: La comunidad de piratas informáticos nos está ayudando a lograr una posición en la que podamos estar lo más seguros posible y, al mismo tiempo, permitir que las empresas funcionen como de costumbre. Esto también nos ayuda a revisar los procesos actuales y los flujos de trabajo de Jira y alertar a los desarrolladores sobre las brechas de seguridad.

Un pirata informático encuentra un error, ¿qué sucede después?

Leo Cunningham: Tan pronto como un error ha pasado por la clasificación de HackerOne, primero validamos completamente la vulnerabilidad nosotros mismos, luego la agregamos a nuestro proyecto de vulnerabilidad y, si se justifica, se paga una bonificación. A partir de ahí, se agregan los metadatos relevantes y el error se clasifica en una lista de elementos priorizados para que se rectifique de acuerdo con nuestra estructura interna de SLA. Luego, el error se corregirá y cerrará.

¿Cómo le ayudan los piratas informáticos a identificar tendencias de vulnerabilidad en su superficie de ataque?

Leo Cunningham: Los piratas informáticos pueden pasar más tiempo en una variedad de áreas entendiendo nuestra tecnología y producto, y luego usar sus habilidades de nicho para ayudarnos a pintar una imagen de cualquier problema que deba abordarse, lo que en última instancia nos ayuda a maximizar nuestro ROI.

¿Qué consejo le daría a otros CISO que planean iniciar un programa de recompensas por errores?

Leo Cunningham: Si aún no lo ha hecho, establezca un proceso interno formalizado para manejar adecuadamente los artículos. Asegúrese de que sus equipos estén preparados para comprender y solucionar los problemas futuros. Piense qué esperar del programa e implemente su plan en consecuencia.

¿Cómo cuantifica el trabajo con piratas informáticos?

Leo Cunningham: Trabajar con la comunidad de piratas informáticos nos permite obtener errores que no se ven en las pruebas de penetración tradicionales y nos da una ventana de tiempo más amplia para encontrar esos errores. HackerOne ofrece la comunidad de piratas informáticos éticos más grande del mundo, lo que la convierte en el mejor y más grande recurso del mercado. Cuantos más piratas informáticos revisen nuestros artículos, mejor.

Cada empresa es diferente y tiene diferentes necesidades, pero para cuantificar el trabajo con hackers, me pregunto esto:

  1. ¿Qué gasto actualmente en pruebas de penetración externas y qué cobertura obtengo? Si quisiera estar expuesto a una gran comunidad de piratas informáticos que viven y respiran pruebas de seguridad, ¿esta opción me daría más libertad para probar mi producto?
  2. ¿Estoy dentro del marco de tiempo con pruebas internas o externas? Si es así, aumenta la presión cuando puede abrir libremente su producto (en un espacio limitado y seguro) y permitir que los piratas informáticos se tomen su tiempo y pasen más tiempo probando.

Un programa de recompensas por errores es excelente desde la perspectiva de la marca. Muestra al mundo que invierte en seguridad y que está abierto a una comunidad diversa y amplia de probadores que dedican su tiempo a encontrar errores de seguridad que podrían afectar gravemente a su negocio si los detecta un pirata informático malintencionado.

P: ¿Cómo mide el valor de la seguridad de los datos?

Leo Cunningham: En esencia, somos una plataforma que se basa en datos muy sensibles y nuestros clientes deben poder confiar en nosotros con esta información. Como cualquier negocio, una filtración de datos puede causar estragos. Entonces Flo tiene un enfoque muy fuerte en la seguridad en todos los niveles, y HackerOne es una parte crítica de ese proceso.

¿Cuál es la lección más importante que ha aprendido hasta ahora?

Leo Cunningham: Esté preparado para manejar todo tipo de información de diferentes habilidades y mantenga la mente abierta.

¿Cómo se ve el futuro para ti?

Leo Cunningham: Tenemos éxito cuando solo se informan errores mínimos, las pruebas de penetración producen pocos o ningún resultado y nuestro número de vulnerabilidades internas es mínimo.

¿Te gustaría compartir algo más?

Leo Cunningham: El equipo de gestión de cuentas y servicio al cliente de HackerOne fue de clase mundial.

Para obtener más información sobre los beneficios de un programa de recompensas por errores, lea HackerOne Bounty

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Guía completa para la evaluación de vulnerabilidades IA

Las empresas siguen luchando por actitudes y lazos …