Cómo Trustpilot gestiona los riesgos trabajando con piratas informáticos éticos
Trustpilot, una empresa que prioriza la nube con poca infraestructura física, se basa en pruebas de seguridad externas para garantizar que sus productos sean resistentes a los ciberataques. Durante una charla junto a la chimenea, Stu explicó por qué cree que la combinación de un programa continuo de recompensas por errores y evaluaciones de seguridad puntuales es la solución ideal para minimizar el riesgo cibernético.
A continuación se muestra un resumen de la discusión.
Índice de contenido
Los piratas informáticos evalúan los riesgos reales de los productos
La mayoría de las pruebas de seguridad implican exponer los activos a una lista de verificación de técnicas. Pero cuando los piratas informáticos realizan evaluaciones, también brindan una evaluación más práctica de cómo un activo puede resistir ciberataques reales. Trustpilot utiliza las evaluaciones de HackerOne para exponer los productos a la creatividad y la experiencia de los piratas informáticos que reflejan con mayor precisión el riesgo real.
Sin embargo, no son solo los tipos de pruebas lo que importa. Las organizaciones también necesitan acceso a una amplia zona de habilidades para probar. Un enfoque común es rotar a los proveedores de pruebas para obtener acceso a un grupo más amplio de experiencia. Esto tiene una ventaja obvia, pero también plantea desafíos, ya que los proveedores suelen tener diferentes procesos y proporcionan informes de vulnerabilidad en diferentes formatos, lo que dificulta la estandarización de la corrección.
La plataforma HackerOne facilita el cambio de hackers entre asignaciones y garantiza que los productos de Trustpilot estén expuestos a una amplia gama de experiencia en pruebas. También proporciona informes detallados y de alta calidad en un formato coherente que se integra con los flujos de trabajo de desarrollo y seguridad de Trustpilot.
Combinar evaluaciones continuas y puntuales
Una forma eficaz de minimizar el riesgo es combinar pruebas continuas con pruebas puntuales. Para Trustpilot, esto significa combinar un programa público de recompensas por errores con evaluaciones frecuentes de HackerOne.
Ejecutando programas como Bonificación por error y Programas de divulgación de vulnerabilidades Permita que los piratas informáticos sean creativos y utilicen su experiencia de una manera que imite exactamente a los malos, lo que lo convierte en una simulación de riesgo real. Alternativamente, Trustpilot requiere muchas pruebas para lanzamientos de productos y parches que se completan en un corto período de tiempo. Las evaluaciones satisfacen esta necesidad a través de implementaciones de prueba intensivas y personalizadas que se pueden planificar y completar rápidamente para respaldar los programas de lanzamiento.
Maximice el valor de las vulnerabilidades reportadas
Encontrar y corregir vulnerabilidades es el objetivo principal de cualquier programa de prueba de seguridad, pero no eso. solamente El establecimiento de metas. Trustpilot maximiza el valor de cada vulnerabilidad reportada de varias formas:
Aprender lecciones. El estudio de las tendencias e informes de vulnerabilidades ayuda a los equipos de desarrollo y seguridad de Trustpilot a comprender cómo se infiltran los problemas y dónde faltan los controles de seguridad. Esta información ayuda a mejorar los procesos internos y a encontrar puntos débiles al principio del ciclo de desarrollo.
Informar la educación y la cultura. Trustpilot tiene una cultura positiva que se centra en la colaboración entre tecnologías de seguridad y educación continua. A medida que la empresa ve tendencias en los informes de vulnerabilidades, utiliza esta información para mejorar la capacitación de ambos equipos y eliminar vulnerabilidades similares del código futuro.
Descubriendo áreas de riesgo. Los piratas informáticos a menudo penetran en áreas de nicho de la pila de tecnología y la línea de productos de la empresa que pueden no ser actualmente el foco de las pruebas de seguridad. Esto ayuda a descubrir debilidades de seguridad en áreas que pueden no haber sido capturadas por evaluaciones basadas en el tiempo.
Comunicación bidireccional. La plataforma HackerOne facilita que los ingenieros se comuniquen con los piratas informáticos para hacer preguntas sobre las vulnerabilidades reportadas, discutir posibles correcciones y solicitar nuevas pruebas para las vulnerabilidades reparadas.
Consejos para comenzar con Bug Bounty
A lo largo de la sesión, Stu enfatizó la importancia de combinar un programa continuo de recompensas por errores con revisiones al azar. Después de años de ejecutar programas públicos para varias empresas, Stu tiene algunas recomendaciones valiosas para las organizaciones que buscan comenzar:
Aprenda de otras organizaciones. Muchas organizaciones están abiertas sobre cómo estructurar y expandir los programas de recompensas por errores. Si está interesado en comenzar el suyo, lea la información del programa en línea y comuníquese con ellos personalmente si tiene alguna pregunta.
Empieza pequeño. Establezca un alcance inicial pequeño para su programa, como: B. apuntar a un producto. Stu explica que un nuevo programa de recompensas de errores generalmente encuentra más vulnerabilidades de las que cabría esperar, por lo que comenzar a gran escala puede generar más informes de los que puede manejar. Si comienza con poco, obtendrá resultados rápidos sin abrumar los recursos internos.
Refina aún más. Refina continuamente el alcance de tu programa en términos de los activos que contiene, los tipos de vulnerabilidades por las que pagas y las técnicas que los piratas informáticos pueden usar. Con el tiempo, aprenderá qué hacer y qué no quiere que le denuncien. Cuanto más refine su programa, mayor será el valor comercial del programa.
Aprenda de los expertos. Stu recomienda trabajar con los administradores de programas de HackerOne para crear, perfeccionar y expandir su programa de recompensas de errores para asegurarse de que satisfaga sus necesidades.
Hacker: el secreto mejor guardado
Los piratas informáticos son el secreto mejor guardado de la ciberseguridad. Descubra cómo pueden ayudar a su empresa a reducir los riesgos cibernéticos y prevenir las brechas de seguridad. Independientemente de su función o industria, Security @ ofrece una sesión virtual para ayudarlo a mejorar y refinar su programa de seguridad. Nuestra lista de oradores incluyó líderes en seguridad, expertos de la industria, clientes de HackerOne, profesionales técnicos y piratas informáticos experimentados. Registrar aquí para ver las sesiones bajo demanda.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
