Sužinokite, kaip „inDrive“ klaidų programa stiprina kibernetinį saugumą bendradarbiaudama su „white hat“ įsilaužėliais, kad aptiktų pažeidžiamumą ir optimizuotų saugos procesus.

Įvadas

Pasaulyje, kuriame skaitmeninės technologijos skverbiasi į kiekvieną mūsų gyvenimo aspektą, kibernetinis saugumas yra nepaprastai svarbus. Įmonės visame pasaulyje daug investuoja į savo duomenų ir sistemų apsaugą nuo kibernetinių grėsmių. Vienas iš efektyviausių saugumo stiprinimo būdų yra dirbti su nepriklausomais saugumo ekspertais, dar žinomais kaip „baltosios kepurės įsilaužėliai“.

Šis straipsnis bus naudingas įmonėms, kurios planuoja pradėti arba jau yra paleidusios klaidų programą. Pasidalinsime savo patirtimi organizuojant ir plėtojant klaidų mažinimo programą „inDrive“ ir kaip ji padėjo sustiprinti mūsų kibernetinį saugumą.

Taip pat norime atkreipti dėmesį į tai, kad nereikėtų apsiriboti tik „bug bounty“ programa, nes tai nėra panacėja sprendžiant visas saugumo problemas. „Bug Bounty“ gali padėti nustatyti kai kuriuos pažeidžiamumus, tačiau jis neapima visų galimų grėsmių. Turite laikytis visapusiško požiūrio į saugumą, kuris apima įvairių saugos įrankių ir metodų naudojimą.

Kaip matyti iš toliau pateiktos diagramos, skirtingi įrankiai aptinka skirtingą pažeidžiamumų skaičių, o tai pabrėžia, kad svarbu derinti tokius metodus kaip automatiniai skaitytuvai, statinė ir dinaminė kodų analizė, saugos auditas ir darbuotojų mokymas.

Pradžia

Iš pradžių mūsų klaidų mažinimo programa veikė uždaru režimu. Tai leido mums kontroliuoti bughunterų srautą, palaipsniui siųsti kvietimus ir sekti rezultatus. Šis metodas suteikė mums galimybę tyliai derinti ir tobulinti vidinius procesus. Dėl to galėjome pasiruošti viešai.

Integracija ir triažas

Pagrindinis žingsnis yra nustatyti klaidų programos pažeidžiamumą. Naudojame automatinę integraciją su Slack ir Jira, kad šis procesas būtų greitas ir efektyvus.

Laisvas

Mes naudojame du kanalus:

• Pagrindinis kanalas, skirtas pranešti apie svarbiausius ataskaitų apdorojimo įvykius. Tai apima pranešimus apie naujas ataskaitas, užduočių priskyrimą inžinieriams ir pažeidžiamumo atskleidimo užklausas. Šis kanalas leidžia komandai visada žinoti apie svarbius įvykius.

• Papildomas kanalas skirtas darbuotojams, dalyvaujantiems pirminėje ataskaitų analizėje ir rūšiavime. Čia siunčiami pranešimai apie neskubią veiklą, pvz., ataskaitų komentarai ir išsami informacija apie skirstymą.

Paskyros atitikimas

„HackerOne“ ir „Slack“ naudotojų susiejimo nustatymas užtikrina, kad svarbūs komentarai ir ataskaitų pastabos būtų tiesiogiai pateikiamos atsakingoms šalims, o tai sumažina svarbios informacijos trūkumo riziką. Tai supaprastina bendravimą tarp „inDrive“ saugos komandos ir tyrėjų, o tai palengvina efektyvesnį pažeidžiamumo taisymą.

Jira

Integracija su Jira leidžia sukurti užduotį tik tinkamoje vietoje su konkrečiu laukų rinkiniu. Naudodami „Jira Automation“ funkcionalumą sukūrėme savo užduočių apdorojimo taisykles, kad pagerintume vidinius pažeidžiamumo apdorojimo procesus, leidžiančius efektyviai organizuoti šį procesą. Žemiau pateikiamas šios automatikos pavyzdys:

• Rasta pagal automatizavimą: sistema automatiškai užpildo lauką „Rasta“ su klaidų dydžiu, nurodant analizės užduoties kilmę.

• Užduoties paskirstymas: naudojant taisykles, užduotis automatiškai priskiriama inžinieriui, užtikrinant tolygų darbų paskirstymą.

• „Slack“ pranešimai: priskyrus užduotį „Slack“ siunčiamas pranešimas, kuriame minimas inžinierius ir pateikiama visa reikalinga informacija.

Dėl kritinių pažeidžiamumų:

• Pranešimai į tam skirtą „Slack“ kanalą: pranešimas apie kritinį pažeidžiamumą siunčiamas į atskirą kanalą, kad būtų galima nedelsiant reaguoti.

• SMS žinučių siuntimas: Be to, atsakingiems asmenims siunčiami SMS pranešimai.

Kova su šlamštu naudojant aktyviklius

„HackerOne“ aktyvikliai yra galingas įrankis, leidžiantis automatizuoti įvairius veiksmus reaguojant į tam tikrus įvykius, susijusius su naujomis pažeidžiamumo ataskaitomis. Jie labai supaprastina saugos komandos darbą ir padeda optimizuoti reagavimo į ataskaitas procesą.

Pavyzdžiui, keisdami įmonės prekės ženklą iš „inDriver“ į „inDrive“, dažnai susidurdavome su pranešimais apie socialinių tinklų paskyrų problemas.

Trigerį pritaikėme taip:

• Suaktyvinimo sąlyga: jei ataskaitoje yra žodžių iš sąrašo: media, socialinis, Facebook, Twitter, Instagram.

• Suaktyvinimo veiksmas: kai aptinkama nurodyta sąlyga, tyrėjui automatiškai parodomas iššokantis langas su tokiu įspėjamuoju tekstu: „Sveiki, atrodo, kad ketinate pranešti apie problemą, susijusią su socialinės žiniasklaidos nuorodomis („Instagram“, „Twitter“, „Facebook“). ). Mūsų įmonė šiuo metu keičia prekės ženklą ir mes žinome apie šią problemą. Laikinai nepriimame pranešimų dėl šios problemos, todėl raginame tinkamai pripažinti problemą ir susipažinti su saugos politika prieš tęsiant ir pateikiant pranešimą.

Tai ne tik padeda sumažinti netinkamų ataskaitų skaičių, bet ir ugdo mokslininkus, gerina būsimų ataskaitų kokybę.

Kampanija ir telegramos kanalas

Supratome, kad laikui bėgant aktyvumas programoje mažės. Tai natūralus procesas dėl to, kad ryškiausios spragos jau buvo rastos ir pašalintos, o norint vėl patraukti mokslininkų dėmesį, reikia įdėti papildomų pastangų. Siekdami išlaikyti aukštą įsitraukimo ir susidomėjimo mūsų programa lygį, ėmėmės kelių priemonių.

Vienas iš pagrindinių įrankių buvo mūsų specializuotas „Telegram“ kanalas, skirtas kenkėjų medžiotojams. Šis kanalas tarnauja ne tik kaip komunikacijos priemonė, bet ir kaip platforma dalintis naudinga informacija. Mes aktyviai dalijamės informacija apie savo programą ir teikiame medžiagą, kuri gali padėti tyrėjams rasti mūsų paslaugų pažeidžiamumą. Tai gali būti techninė dokumentacija, naujų funkcijų aprašymai arba architektūriniai pakeitimai, kurie gali būti įdomūs saugumo požiūriu.

Pagrindiniai mūsų „Telegram“ kanalo pranašumai:

• Oficialūs atnaujinimai: tiesioginės ir patikimos naujienos iš inDrive saugos komandos.
• Pranešimai apie naujas funkcijas: informacija apie naujas paslaugas ir funkcijas, kurios gali būti įdomios klaidų mėgėjams.
• Akcijos ir renginiai: informacija apie specialius pasiūlymus ir renginius, susijusius su klaidų programa.

Daugiau informacijos apie kanalą rasite paspaudę nuorodą — https://t.me/indrive_bbp.

Be to, norėdami pritraukti tiek naujų, tiek patyrusių vabzdžių medžiotojų, reguliariai pradedame kampanijas HackerOne platformoje. Kampanijos leidžia paskatinti kenkėjų domėjimąsi mūsų programa. Taip pat apie visas kampanijų pradžias skelbiame per mūsų Telegram kanalą, kuris leidžia greitai perteikti informaciją auditorijai ir paskatinti juos dalyvauti.

Pavyzdžiui, toliau pateikiama vienos iš kampanijų statistika:

Šios priemonės leidžia išlaikyti aukštą susidomėjimą bugbounty programa ir užtikrinti nuolatinį naujų idėjų ir atradimų srautą, o tai galiausiai prisideda prie mūsų produktų saugumo gerinimo.

Mūsų patarimai padės žymiai sutrumpinti laiką, skirtą kiekvienam pažeidžiamumo apdorojimo etapui – nuo laiko iki pirmojo atsako į atranką ir iki premijos.

O tai savo ruožtu padidins jūsų programoje dalyvaujančių klaidų medžiotojų pasitikėjimą ir pasitenkinimą.

Apibendrinant galima teigti, kad mūsų patirtis organizuojant ir plėtojant klaidų kompensavimo programą „inDrive“ yra ryškus pavyzdys, kaip išorės saugumo ekspertų samdymas gali žymiai sustiprinti įmonės kibernetinę gynybą. Dėka mūsų baltųjų skrybėlių įsilaužėlių bendruomenės, mes ne tik galėjome nustatyti ir pašalinti daugybę pažeidžiamumų, bet ir optimizavome savo vidinius procesus, o tai padidino mūsų efektyvumą ir pagerino mūsų sistemų bei duomenų apsaugą.

Dėkojame visiems mūsų klaidų mažinimo programos dalyviams už neįkainojamą indėlį į inDrive saugumą ir kviečiame naujus tyrėjus prisijungti prie mūsų bendruomenės. Kartu padarysime skaitmeninį pasaulį saugesnį!