inDrive のバグ報奨金プログラムが、ホワイトハットハッカーと協力して脆弱性を検出し、セキュリティプロセスを最適化することで、どのようにサイバーセキュリティを強化するかを学びます。

導入

デジタル技術が私たちの生活のあらゆる側面に浸透している世界では、サイバーセキュリティは極めて重要です。世界中の企業が、サイバー脅威からデータとシステムを保護するために多額の投資を行っています。セキュリティを強化する最も効果的な方法の 1 つは、「ホワイト ハット ハッカー」とも呼ばれる独立したセキュリティ専門家と協力することです。

この記事は、バグバウンティ プログラムの導入を計画している企業、またはすでに導入している企業にとって役立つでしょう。inDrive でのバグバウンティ プログラムの企画と開発の経験と、それがサイバーセキュリティの強化にどのように役立ったかについてお話しします。

また、バグ報奨金プログラムはすべてのセキュリティ問題を解決する万能薬ではないため、バグ報奨金プログラムだけに限定すべきではないことも指摘しておきます。バグ報奨金プログラムは一部の脆弱性の特定に役立ちますが、考えられるすべての脅威を網羅しているわけではありません。さまざまなセキュリティ ツールやテクニックの使用を含む、包括的なセキュリティ アプローチを採用する必要があります。

下のグラフが示すように、さまざまなツールによって検出される脆弱性の数は異なります。これは、自動スキャナー、静的および動的コード分析、セキュリティ監査、従業員のトレーニングなどの方法を組み合わせることの重要性を強調しています。

始まり

当初、当社のバグ報奨金プログラムはクローズド モードで運用されていました。これにより、バグハンターの流れを制御し、徐々に招待状を送信して結果を追跡することができました。このアプローチにより、内部プロセスを静かにデバッグして改善する機会が得られました。このおかげで、公開に向けて準備することができました。

統合とトリアージ

バグ報奨金プログラムでは、脆弱性を特定することが重要なステップです。当社では、Slack および Jira との自動統合を使用して、このプロセスを迅速かつ効率的に実行しています。

スラック

私たちは 2 つのチャネルを使用します:

• レポート処理における重要なイベントを伝達するためのメイン チャネル。これには、新しいレポートの通知、エンジニアへのタスク割り当て、脆弱性開示リクエストなどが含まれます。このチャネルにより、チームは常に重要なイベントを把握できます。

• 追加のチャネルは、レポートの初期分析とトリアージに携わる従業員用です。レポートのコメントやトリアージの詳細など、緊急でないアクティビティの通知はここに送信されます。

アカウントマッチング

HackerOne と Slack ユーザー間のマッピングを設定すると、重要なコメントやレポート メモが担当者に直接配信され、重要な情報を見逃すリスクが最小限に抑えられます。これにより、inDrive セキュリティ チームと研究者間のコミュニケーションが簡素化され、脆弱性の修復がより効果的になります。

ジラ

Jira との統合により、特定のフィールド セットを使用して適切な場所にのみタスクを作成できます。Jira Automation 機能を使用して、独自のタスク処理ルールを作成し、社内の脆弱性処理プロセスを改善して、このプロセスを効率的に整理できるようになりました。以下は、この自動化の例です。

• Found By Automation:システムは、バグバウンティの値を Found By フィールドに自動的に入力し、分析のタスクの発生元を示します。

• タスクの割り当て:ルールを使用して、タスクがエンジニアに自動的に割り当てられ、作業が均等に分散されます。

• Slack 通知:タスクが割り当てられると、エンジニアにメンションし、必要なすべての情報を提供する通知が Slack に送信されます。

重大な脆弱性の場合:

• 専用の Slack チャネルへのメッセージ:重大な脆弱性の通知は、即時対応のために別のチャネルに送信されます。

• SMS メッセージの送信:さらに、担当者に SMS 通知が送信されます。

トリガーでスパムと戦う

HackerOne のトリガーは、新しい脆弱性レポートに関連する特定のイベントに応じてさまざまなアクションを自動化できる強力なツールです。これにより、セキュリティ チームの作業が大幅に簡素化され、レポートへの対応プロセスが最適化されます。

たとえば、会社を inDriver から inDrive にブランド変更したとき、ソーシャル メディア アカウントに関する問題が頻繁に報告されました。

トリガーを次のようにカスタマイズしました。

• トリガー条件:レポートにリスト内の単語 (メディア、ソーシャル、Facebook、Twitter、Instagram) が含まれている場合。

• トリガーアクション:指定された条件が検出されると、研究者に次の警告テキストを含むポップアップウィンドウが自動的に表示されます。 「こんにちは。ソーシャル メディア リンク (Instagram、Twitter、Facebook) に関する問題を報告しようとしているようです。弊社はブランド変更の過程にあり、この問題を認識しています。この問題に関する報告は一時的に受け付けていませんので、先に進んで報告を送信する前に、問題を適切に認識し、セキュリティ ポリシーをよく理解しておくことをお勧めします。」

これにより、不適切なレポートの数を減らすだけでなく、研究者を教育し、将来のレポートの品質を向上させることができます。

キャンペーンとテレグラムチャンネル

時間の経過とともに、プログラムの活動は減少するだろうと私たちは理解していました。最も明白な脆弱性はすでに発見され、排除されているため、これは自然なプロセスであり、研究者の注意を再び引き付けるにはさらなる努力が必要です。プログラムへの高いレベルの関与と関心を維持するために、私たちはいくつかの対策を講じました。

重要なツールの 1 つは、バグハンター向けの特別な Telegram チャンネルでした。このチャンネルは、コミュニケーション手段としてだけでなく、有用な情報を共有するプラットフォームとしても機能します。私たちは、アプリケーションに関する情報を積極的に共有し、研究者がサービスの脆弱性を見つけるのに役立つ資料を提供しています。これには、セキュリティの観点から興味深い技術文書、新機能の説明、またはアーキテクチャの変更が含まれる場合があります。

Telegram チャンネルの主な利点:

• 公式アップデート: inDrive セキュリティ チームからの直接的で信頼できるニュース。
• 新機能のお知らせ:バグバウンティ愛好家にとって興味深いと思われる新しいサービスや機能に関する情報。
• プロモーションとイベント:バグ報奨金プログラムに関連する特別オファーとイベントに関する情報。

チャンネルの詳細については、次のリンクをご覧ください。 https://t.me/indrive_bbp.

さらに、新しいバグハンターと経験豊富なバグハンターの両方を引き付けるために、HackerOne プラットフォームで定期的にキャンペーンを実施しています。キャンペーンにより、バグハンターのプログラムへの関心を高めることができます。また、すべてのキャンペーンの開始を Telegram チャンネルで発表することで、視聴者に情報をすばやく伝え、参加を促すことができます。

たとえば、以下はキャンペーンの 1 つからの統計です。

これらの対策により、バグバウンティ プログラムへの関心を高いレベルに維持し、常に新しいアイデアや発見がもたらされ、最終的には当社製品のセキュリティ向上に貢献します。

私たちのヒントは、最初の対応からトリアージ、報奨金までの時間まで、脆弱性処理のあらゆる段階にかかる時間を大幅に短縮するのに役立ちます。

これにより、プログラムに参加しているバグハンターの信頼と満足度が向上します。

結論として、inDrive でのバグ報奨金プログラムの企画と開発における当社の経験は、外部のセキュリティ専門家を雇用することで企業のサイバー防御を大幅に強化できることを示す鮮明な例です。当社のホワイトハット ハッカー コミュニティのおかげで、多くの脆弱性を特定して修正できただけでなく、社内のプロセスも最適化され、効率が向上し、システムとデータの保護が強化されました。

inDrive のセキュリティに多大な貢献をしてくださったバグ報奨金プログラムのすべての参加者に感謝するとともに、新しい研究者の方々をコミュニティに招待します。一緒にデジタルの世界をより安全なものにしましょう!