Bug bounty

Bug bounty - for å øke sikkerheten

Når du oppretter et bug bounty-program gir du tillatelse til at uavhengige sikkerhetstestere kan lete etter sårbarheter i løsningene dine, innenfor gitte rammer. Testerne får først betalt om de finner en ny sårbarhet. Størrelsen på denne finnerlønnen bestemmes ut fra hvor alvorlig sårbarheten er.

Bug bounty skiller seg fra tradisjonell sikkerhetstesting på flere måter. Den viktigste gevinsten får man av at sikkerhetstestingen crowdsources: Ingen enkelt sikkerhetstester kan alt, men de fleste har sine spesialiseringer, favoritteknologier og triks i ermet. Et bug bounty-program kan man ha alt fra et titalls til flere hundre deltakere, og hver enkelt av dem vil prøve å lete etter sårbarhetene de selv tror det er mest sannsynlig at de kan finne hos deg. Testingen foregår løpende, på deltakernes initiativ, og vanligvis mot produksjonsmiljøet. Til sammen gjør dette at du kan finne problemer du aldri ville oppdaget gjennom tradisjonelle testaktiviteter.

XLENT Cyber Security AS er en av få bedrifter i Norge med erfaring med å etablere, drive og delta i bug bounty-programmer. Et av våre hovedmål er å gjøre bug bounty til et normalt tiltak i norske virksomheter, ganske enkelt fordi det vil gjøre Norge sikrere. Vi tilbyr både direkte konsulenttjenester for konkrete behov, og den komplette pakken XLENT Managed bug bounty.

XLENT Cyber Security hjelper deg

Selv om bug bounty er et enkelt konsept, krever det en del av organisasjonene som ønsker å ta det i bruk. Det er unik prosess i IT-sammenheng, hvor spesielt det løse forholdet til "leverandørene" - sikkerhetstesterne - kan være uvant. Sikkerhetstesting i produksjon krever forberedelser, og man får mest ut av et bug bounty-program om det settes i sammenheng med andre sikkerhetstiltak. Viktigst av alt, man må vurdere, behandle og håndtere funn på en god måte. Slik kan man både pleie forholdet til de frivillige testerne, og få størst mulig gevinst og læring av sårbarhetene som avsløres. 

Alt dette krever smal kompetanse innen web- og applikasjonssikkerhet, og det blir enklere, mindre risikabelt og mer effektivt med erfaring. Med XLENT Managed bug bounty tilbyr vi et langsiktig partnerskap, der vi tar det praktiske ansvaret for å forberede, etablere og drive ditt bug bounty-program. 

Ta kontakt om du lurer på hvordan bug bounty kan passe for din virksomhet! 

FAQ

Q: Hvor dyrt blir det?

A: Bug bounty kan være svært prisgunstig! Utover faste driftsutgifter, betaler man kun for nye sårbarheter som testerne finner. Den totale kostnaden kommer an på hvor mange og hvor alvorlige sårbarheter som blir funnet, som i stor grad kommer an på omfanget og kompleksiteten av løsningene. Vi hjelper deg både med et konkret estimat, og en implementasjonsplan som reduserer risikoen for dyre overraskelser.

Q: Er bug bounty egnet for alle?

A: Bug bounty er spesielt godt egnet for viktige webløsninger som er offentlig tilgjengelig på internett, og som har et visst omfang. Det må være mulig for testerne å ta løsningen i bruk, og ha nok funksjonalitet eller kompleksitet til at det er det er mulig både å gjøre feil og finne feil.

Q: Bug bounty høres stilig ut, men jeg tror ikke vi er klare nå.

A: Ingen fare! Etablering av et slikt program er ikke en knapp man trykker på, men en modningsprosess. XLENT Cyber Security har mange års erfaring med web- og applikasjonssikkerhet i store utviklingsorganisasjoner med sikkerhetskritiske løsninger, og hjelper gjerne til på en slik reise. Det langsiktige målet kan være etablering av et bug bounty-program, men det kan være mye god sikkerhetsgevinst i andre tiltak på veien dit.

Q: Hvorfor er det vanligst å bruke produksjonsløsningene i et bug bounty-program?

A: Det er to hovedfordeler: 1. Produksjon er virkeligheten, og det miljøet du prøver å beskytte. Det er svært vanskelig å få et testmiljø til å være 100% likt produksjonsmiljøet. Det kan være du har sårbarheter som kun finnes i produksjon, eller mangler i testdata som gjør at det ikke er mulig å finne dem i testmiljøet. 2. Med mindre du allerede har et testmiljø (med produksjonskvalitet) tilgjengelig på internett, kan dette bli uforholdsmessig dyrt å etablere. På sikt gir det også flere indirekte sikkerhetsgevinster, som vi gjerne snakker mer om.

Q: Er det ikke farlig å sikkerhetsteste produksjonsløsninger?

A: Det skal ikke være det. Dine trusselaktører står allerede fritt til å lete etter sårbarheter i løsningene dine. Deltakerne i bug bounty-programmet gis heller ingen privilegier eller spesialbehandling, utover at de får tilgang som ordinære brukere. I den grad slik sikkerhetstesting i seg selv er risikabelt, kan det bety at løsningene ikke er motstandsdyktige nok mot misbruksforsøk. Det er flere tiltak man bør gjøre for å redusere operasjonell risiko før lansering, som vi gjerne hjelper til med.

Q: Løsningene våre krever BankID for tilgang. Kan vi fortsatt sette opp et bug bounty-program?

A: Ja! Krav om BankID begrenser antallet testere som kan være med, men det er nok dyktige bug bounty-testere i Norge til at det er bærekraftig. Om bug bounty i produksjonsmiljøet gir forventet gevinst, kan vi senere vurdere å sette opp et testmiljø på internett, slik at internasjonale testere også kan delta.