Pentágono: Pagaremos se você encontrar uma maneira de nos hackear
DoD investe dinheiro em programa de recompensas por bugs após piloto sem recompensa
O Departamento de Defesa dos EUA criou um programa de recompensas de bugs amplo, mas curto, para relatórios de vulnerabilidades em sistemas e aplicativos voltados para o público.
O programa Hack US começou no Dia da Independência e está programado para ser executado até 11 de julho, com totais de recompensas refletidos pela gravidade das falhas.
O DoD alocou até US$ 110.000 para a caça à exploração. Pontos de vulnerabilidade podem render US$ 500 ou mais para falhas de alta gravidade, e buracos críticos valem pelo menos US$ 1.000, com até US$ 5.000 reservados para prêmios específicos, como US$ 3.000 para a melhor descoberta para *.army.mil.
A iniciativa está sendo executada com a HackerOne, fabricante de plataforma de recompensas de bugs, que se uniu ao DoD para operar um programa piloto de 12 meses que terminou em abril . Hack US adiciona recompensas monetárias ao cálculo.
“Este programa expandido destina-se a fornecer aos pesquisadores de segurança termos e condições para conduzir atividades de descoberta de vulnerabilidades direcionadas a sistemas de informação publicamente acessíveis do Departamento de Defesa (DoD), incluindo propriedades da web, e enviar vulnerabilidades descobertas ao DoD”, escreveu o departamento em seu esboço do programa. .
Os programas de recompensas por bugs estão se tornando populares entre empresas privadas e agências públicas como outra ferramenta para reforçar as defesas de segurança em um momento em que as ameaças estão crescendo em número e sofisticação.
“Os programas de divulgação de vulnerabilidades e recompensas de bugs podem ser ferramentas eficazes de segurança cibernética que fornecem um bom ‘bang for the buck'”, disse Rick Holland, CISO e vice-presidente de estratégia da fornecedora de segurança cibernética Digital Shadows, ao The Register . “Esses programas estendem a estratégia de gerenciamento de vulnerabilidades dos defensores, complementando os esforços internos. As empresas podem terceirizar a triagem e o gerenciamento da divulgação de vulnerabilidades para terceiros.”
Holland acrescenta que “as empresas de tecnologia que não oferecem programas de recompensas por bugs já estão atrasadas. Dado que quase todas as empresas são empresas de tecnologia hoje em dia, a maioria das empresas voltadas para o público deveria ter programas de divulgação de vulnerabilidades ou de recompensas por bugs”.
Esses programas também dão aos pesquisadores de segurança incentivos financeiros para descobrir vulnerabilidades que ameaçam empresas e agências, de acordo com Mike Parkin, engenheiro técnico sênior da empresa de remediação de riscos Cyber Vulcan.
“Com a enorme complexidade do código moderno e as inúmeras interações entre os aplicativos, é vital ter olhos mais responsáveis procurando por falhas”, disse Parkin ao The Register . “Sabemos que os agentes de ameaças estão fazendo isso para encontrar explorações que possam aproveitar. Pesquisadores honestos também devem ter alguma forma de incentivo.”
Em abril, a Microsoft aumentou os valores de recompensa em seu programa de recompensas de bugs em até 30% para hackers éticos que encontram bugs de “alto impacto” em seus produtos Office 365, enquanto a Meta em dezembro de 2021 ampliou seu programa para incluir ataques de raspagem no Facebook. . Os ataques de raspagem envolvem o uso de ferramentas automatizadas para “raspar” informações de fontes como as páginas de perfil dos usuários.
Nessa nota, o mercado global de recompensas por bugs está crescendo rapidamente. De acordo com a empresa de análise All the Research, o espaço crescerá de US$ 223,1 milhões em 2020 para mais de US$ 5,4 bilhões em 2027. Os investimentos também estão fluindo para fornecedores de recompensas por bugs. Em janeiro, o HackerOne anunciou US$ 49 milhões em financiamento da Série E, enquanto a empresa europeia Intigriti em abril disse que arrecadou US$ 22,3 milhões.
Isso não é surpreendente. De acordo com a Edgescan, uma empresa de inteligência e detecção de vulnerabilidades, 20,4% das vulnerabilidades descobertas em 2021 em aplicativos da Web e infraestruturas de rede combinadas foram classificadas como de risco alto ou crítico. Os programas de recompensas por bugs podem ajudar a reduzir o risco para as empresas e seus parceiros e clientes.
“Os programas de recompensas de bugs são bastante bem-sucedidos para organizações e pesquisadores de segurança”, disse Ray Kelly, membro do fornecedor de software integrado Synopsys Software Integrity Group, ao The Register . “Programas eficazes de recompensas por bugs limitam o impacto de vulnerabilidades de segurança sérias que poderiam facilmente deixar a base de clientes de uma organização em risco. Os pagamentos por relatórios de bugs podem às vezes exceder a soma de seis dígitos, o que pode parecer muito. No entanto, o custo para uma organização remediar e recuperar de uma vulnerabilidade de dia zero pode totalizar milhões de dólares em perda de receita.”
O programa piloto do DoD que terminou em abril – o Programa de Divulgação de Vulnerabilidade da Base Industrial de Defesa (DIB-VDP) – foi lançado com 14 empresas participantes voluntárias e 141 ativos sob o microscópio, mas o interesse no programa convenceu a agência a expandi-lo para incluir 41 empresas e 348 ativos. Ao todo, 288 pesquisadores do HackerOne enviaram 1.015 relatórios, dos quais 401 foram considerados acionáveis para remediação.
O novo programa está sendo executado pelo Chief Digital and Artificial Intelligence Office (CDAO), Directorate for Digital Services e DoD Cyber Crime Center (DC3) em conjunto com o HackerOne. Do total em dinheiro da recompensa, US$ 75.000 serão distribuídos em uma base de primeiro envio e primeiro prêmio, de acordo com o DoD. Os outros US$ 35.000 são marcados para prêmios especiais de vulnerabilidade, como Best Finding in the Hack US Event e melhores descobertas em domínios em ramos como Exército, Marinha, Força Aérea, Fuzileiros Navais, Força Espacial e Guarda Costeira.
O fundador e CTO da Bugcrowd, Casey Ellis, nos diz que a DC3 fez uma jogada inteligente para atualizar seu programa de divulgação de vulnerabilidades para incluir um programa pago de recompensas por bugs.
“Há uma tonelada de tecnologia já implantada, nossa taxa de implantação de novas tecnologias só aumenta e acelera, e os adversários que enfrentamos continuam a ficar mais habilidosos, mais agressivos e mais diversificados”. Elis explica. “Certamente existem soluções de tecnologia de segurança que continuam a ser inventadas e usadas, mas no final das contas, a segurança cibernética é um problema fundamentalmente humano, portanto, os humanos também terão, e provavelmente cada vez mais, um papel importante a desempenhar na defesa da internet. .” ®
Fonte: https://www.theregister.com/