Bug bounty
Bug bounty er finnerlønn for sårbarheter, og kanskje det viktigste tiltaket du kan gjøre for å beskytte viktige webløsninger som er offentlig tilgjengelig på internett.
Når du oppretter et bug bounty-program gir du tillatelse til at uavhengige sikkerhetstestere kan lete etter sårbarheter i løsningene dine, innenfor gitte rammer. Testerne får først betalt om de finner en ny sårbarhet. Størrelsen på denne finnerlønnen bestemmes ut fra hvor alvorlig sårbarheten er.
Bug bounty skiller seg fra tradisjonell sikkerhetstesting på flere måter. Den viktigste gevinsten får man av at sikkerhetstestingen crowdsources: Ingen enkelt sikkerhetstester kan alt, men de fleste har sine spesialiseringer, favoritteknologier og triks i ermet. Et bug bounty-program kan man ha alt fra et titalls til flere hundre deltakere, og hver enkelt av dem vil prøve å lete etter sårbarhetene de selv tror det er mest sannsynlig at de kan finne hos deg. Testingen foregår løpende, på deltakernes initiativ, og vanligvis mot produksjonsmiljøet. Til sammen gjør dette at du kan finne problemer du aldri ville oppdaget gjennom tradisjonelle testaktiviteter.
XLENT Cyber Security hjelper deg
Selv om bug bounty er et enkelt konsept, krever det en del av organisasjonene som ønsker å ta det i bruk. XLENT Cyber Security AS er en av få bedrifter i Norge med erfaring med å etablere og drive bug bounty-programmer. Vi hjelper våre kunder med å sette opp og lykkes med bug bounty. Hva det betyr i praksis er opp til deg og din virksomhets behov, og hvilken rolle dere ønsker at vi tar. Vi tilbyr alt fra enkel rådgivning til at vi driver hele bug bounty-konseptet hos deg - fra innføringsprosjekt til håndtering av funnene som kommer inn.
Ta kontakt om du lurer på hvordan bug bounty kan passe for din virksomhet!
FAQ
Q: Hvor dyrt blir det?
A: Bug bounty kan være svært prisgunstig! Utover faste driftsutgifter, betaler man kun for nye sårbarheter som testerne finner. Den totale kostnaden kommer an på hvor mange og hvor alvorlige sårbarheter som blir funnet, som i stor grad kommer an på omfanget og kompleksiteten av løsningene. Vi hjelper deg både med et konkret estimat, og en implementasjonsplan som reduserer risikoen for dyre overraskelser.
Q: Er bug bounty egnet for alle?
A: Bug bounty er spesielt godt egnet for viktige webløsninger som er offentlig tilgjengelig på internett, og som har et visst omfang. Det må være mulig for testerne å ta løsningen i bruk, og ha nok funksjonalitet eller kompleksitet til at det er det er mulig både å gjøre feil og finne feil.
Q: Bug bounty høres stilig ut, men jeg tror ikke vi er klare nå.
A: Ingen fare! Etablering av et slikt program er ikke en knapp man trykker på, men en modningsprosess. XLENT Cyber Security har mange års erfaring med web- og applikasjonssikkerhet i store utviklingsorganisasjoner med sikkerhetskritiske løsninger, og hjelper gjerne til på en slik reise. Det langsiktige målet kan være etablering av et bug bounty-program, men det kan være mye god sikkerhetsgevinst i andre tiltak på veien dit.
Q: Hvorfor er det vanligst å bruke produksjonsløsningene i et bug bounty-program?
A: Det er to hovedfordeler: 1. Produksjon er virkeligheten, og det miljøet du prøver å beskytte. Det er svært vanskelig å få et testmiljø til å være 100% likt produksjonsmiljøet. Det kan være du har sårbarheter som kun finnes i produksjon, eller mangler i testdata som gjør at det ikke er mulig å finne dem i testmiljøet. 2. Med mindre du allerede har et testmiljø (med produksjonskvalitet) tilgjengelig på internett, kan dette bli uforholdsmessig dyrt å etablere. På sikt gir det også flere indirekte sikkerhetsgevinster, som vi gjerne snakker mer om.
Q: Er det ikke farlig å sikkerhetsteste produksjonsløsninger?
A: Det skal ikke være det. Dine trusselaktører står allerede fritt til å lete etter sårbarheter i løsningene dine. Deltakerne i bug bounty-programmet gis heller ingen privilegier eller spesialbehandling, utover at de får tilgang som ordinære brukere. I den grad slik sikkerhetstesting i seg selv er risikabelt, kan det bety at løsningene ikke er motstandsdyktige nok mot misbruksforsøk. Det er flere tiltak man bør gjøre for å redusere operasjonell risiko før lansering, som vi gjerne hjelper til med.
Q: Løsningene våre krever BankID for tilgang. Kan vi fortsatt sette opp et bug bounty-program?
A: Ja! Krav om BankID begrenser antallet testere som kan være med, men det er nok dyktige bug bounty-testere i Norge til at det er bærekraftig. Om bug bounty i produksjonsmiljøet gir forventet gevinst, kan vi senere vurdere å sette opp et testmiljø på internett, slik at internasjonale testere også kan delta.
Kontakt
