in

Cómo Elastic atrae y retiene a los mejores piratas informáticos sin ofrecer las recompensas más altas


En HackerOne 2021 Seguridad @ conferencia, hablamos con Douglas Day, un hacker ético experimentado e ingeniero sénior en seguridad de productos, que hizo el trabajo Programa de recompensas por errores de Elastic durante los últimos dos años.

Durante la charla, Douglas explicó cómo Elástico ha desarrollado y mantenido un programa activo de recompensas por errores, sin ofrecer las recompensas más altas.

Los pilares de un programa sólido de recompensas por errores

En su carrera de piratería, Douglas utiliza tres criterios para determinar si un programa de recompensas por errores merece atención:

  1. Recompensas. ¿Las recompensas ofrecidas aportan un buen rendimiento por el tiempo invertido en el programa?
  2. alcance. ¿El alcance del programa contiene productos o técnicas interesantes y toda la información necesaria para un ataque de piratas informáticos eficaz?
  3. tiempo de reacción. ¿Con qué rapidez paga el programa a los piratas informáticos por vulnerabilidades verificadas y cuánto tiempo le toma a la empresa solucionar los problemas?

Echemos un vistazo más de cerca a cada uno de estos criterios.

Cómo ser competitivo (sin un presupuesto multimillonario)

Muchas empresas enfrentan el desafío de iniciar un programa de recompensas por errores porque no pueden mantenerse al día con programas de mayor duración en montos de bonificación en dólares. Algunos programas ofrecen recompensas de hasta $ 30,000 por vulnerabilidades críticas, lo cual es imposible para muchas organizaciones.

Sin embargo, los grandes pagos únicos no son la única forma de ganar dinero para un pirata informático. Douglas explica:

“Se trata de obtener una buena rentabilidad del tiempo invertido. Como hacker, prefiero pasar dos horas encontrando veinte errores de $ 500 que pasar 20 horas encontrando un error de $ 10,000 «.

Encontrar una vulnerabilidad crítica en un programa de larga data puede ser más difícil que encontrar una en un programa nuevo. Si bien la prima será mayor, es probable que la organización que ejecuta el programa tenga una postura de seguridad más sólida.

Una vez que comprenda esto, al crear un programa competitivo, debe sopesar los pagos de recompensa frente a la dificultad de encontrar los puntos débiles. Para que el programa Elastic despegara, el equipo de Douglas decidió abrir el alcance del programa para incluir activos probados con menos frecuencia para que los piratas informáticos puedan obtener un alto ROI en su tiempo sin ofrecer recompensas particularmente altas.

Elastic dio un paso más al convertir su programa de recompensas por errores en un juego, que incluye una serie de desafíos en los que los piratas informáticos pueden participar para ganar recompensas adicionales. Por ejemplo, si un pirata informático informa siete errores válidos consecutivos, puede ganar un bono de $ 700. Se publicará una tabla completa de desafíos en el sitio web de la organización. Página del programa de recompensas por errores.

Douglas también enfatiza la importancia de comprender qué es lo que frustra a los piratas informáticos acerca de muchos programas de recompensas por errores. Por ejemplo, si se reduce la gravedad de un error y se traslada a una categoría de gravedad más baja (por ejemplo, media en lugar de alta), podría tener un impacto significativo en el pago de la recompensa. Al establecer rangos de recompensa para cada nivel de gravedad en lugar de números fijos, Elastic minimiza este problema y garantiza que los piratas informáticos reciban un pago justo por su trabajo.

Definición de un programa de recompensas por errores

Las empresas deben adaptar los programas de recompensas por errores para que se adapten a sus necesidades, pero también vale la pena considerar qué hace que un programa sea atractivo para los piratas informáticos. Una táctica común utilizada para alentar a los piratas informáticos a centrarse en productos o técnicas específicas es crear incentivos financieros adicionales que estén dirigidos directamente a esas actividades.

Además, asegúrese siempre de que su alcance incluya todo lo que un pirata informático necesitaría para comenzar. Si los piratas informáticos necesitan comunicarse con un equipo interno para obtener credenciales antes del lanzamiento, el programa puede resultar menos atractivo. Una opción de autorregistro puede aliviar esto para que los piratas informáticos puedan comenzar de inmediato en cualquier momento. Tenga en cuenta que la comunidad de piratas informáticos es global y es posible que desee trabajar en su programa fuera del horario de oficina o en días festivos.

Asegúrese de que su documentación incluya todo lo que los piratas informáticos necesitan para determinar si es un error o una característica legítima. Comprender cómo desea que funcionen sus productos es fundamental para la resolución de problemas. No obligue a los piratas informáticos a perder el tiempo en consultas de funciones básicas.

Tiempos de respuesta: no se trata solo del pago

Todo el mundo quiere que le paguen a tiempo, por lo que no debería sorprender que los piratas informáticos prefieran meterse con los programas con una métrica rápida de tiempo de recompensa. Sin embargo, los piratas informáticos también se preocupan por otras cosas. Hay cuatro métricas que los piratas informáticos buscan al decidir con qué programas tratar:

  1. Tiempo para la primera reacción
  2. Es hora de clasificar
  3. Hora de la recompensa
  4. Es hora de arreglar

Si bien es obvio por qué los piratas informáticos están preocupados por las tres primeras métricas, las organizaciones a menudo pasan por alto la importancia del tiempo de reparación (TTR). TTR es importante para los piratas informáticos por dos razones:

  1. Cuando un programa tiene un tiempo de recuperación lento, generalmente significa que hay muchos errores pendientes. Esto aumenta la probabilidad de que un pirata informático informe un error conocido por el que no se le pagará. Es comprensible que esto sea un problema para los piratas informáticos, ya que perdieron el tiempo para encontrar y documentar estos errores.
  2. Hackear no se trata solo de obtener una recompensa financiera. Los piratas informáticos intentan marcar la diferencia mejorando el perfil de seguridad de las empresas. Si las empresas no corrigen los errores que informan, la contribución de un pirata informático se vuelve puramente transaccional, lo que es mucho menos satisfactorio. Si las empresas no corrigen los errores que informan, la contribución de un pirata informático se vuelve puramente transaccional, lo que es mucho menos satisfactorio.

Una vez más, es fundamental comprender las motivaciones y frustraciones de los piratas informáticos al crear y optimizar un programa de recompensas por errores.

Mantenga a los piratas informáticos a bordo

Atraer a los piratas informáticos al programa de recompensas por errores de su empresa es el primer paso. Pero también debes mantenerlos a bordo. Para lograr esto, el punto es dominar otros aspectos de la recompensa de errores. A partir de su carrera de piratería y su experiencia con el programa de recompensas por errores de Elastic, Douglas identifica tres factores decisivos que preocupan a los piratas informáticos:

  1. Relaciones. El dinero es importante, pero las relaciones humanas también son cruciales. Los gerentes del programa de recompensas por errores deben desarrollar relaciones personales sólidas con los colaboradores habituales, reconocer sus esfuerzos y tomarse el tiempo para agradecerles su trabajo.
  2. transparencia. Un programa de alcance claro explica lo que los piratas informáticos pueden y no pueden hacer. Los administradores de programas deben involucrar a los piratas informáticos en la investigación de errores, tratar de responder rápidamente a los nuevos informes y preguntas y proporcionar comentarios incluso cuando un problema informado no coincide con el alcance del programa. Cuando los piratas informáticos se sienten valorados, afecta si siguen trabajando en un programa.
  3. realimentación. Los mejores programas de recompensas por errores tienen invariablemente un fuerte circuito de retroalimentación entre la organización y la comunidad de hackers. Los piratas informáticos tienen aportaciones e ideas útiles, y mantener abiertas las líneas de comunicación garantiza que se sientan valorados y comprometidos con el programa.

Para ilustrar la importancia de estos factores, Douglas habló sobre un programa privado con el que había tenido experiencias positivas:

“Las primas eran competitivas pero no excesivamente altas, y el alcance era solo una aplicación a la vez. Pero hemos desarrollado una gran relación con el director del programa. El gerente elogió nuestros elogios cuando informamos de nuestras debilidades. Conocía nuestras capacidades, por lo que ajustaría el alcance en consecuencia. El tiempo de respuesta fue fenomenal y a menudo nos pagaban el mismo día por los informes críticos. Sigue siendo uno de mis programas favoritos y sigo hackeando allí «.

Obtenga más información sobre cómo trabajar con piratas informáticos

Registrar aquí Consulte esta capacitación sobre cómo atraer y retener a los mejores piratas informáticos en su programa de recompensas por errores. Descubra también nuestras otras sesiones de formación y presentación bajo demanda, presentaciones y mesas redondas de Security @ 2021, nuestra quinta conferencia anual sobre ciberseguridad global.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La maleta inteligente autónoma … ¡que la persona que está detrás de ti puede secuestrar! – Pura seguridad

4 consideraciones para mejorar la higiene de la seguridad en la nube