Desde hace ya algunos años venimos experimentando un notable crecimiento de los llamados Bug Bounty también conocidos como VRP (programa de recompensa de vulnerabilidades), que se basan principalmente en premiar a investigadores capaces de identificar vulnerabilidades en las organizaciones, y notificarlas siguiendo un código de buenas prácticas denominado Responsible Disclosure, para evitar que las vulnerabilidades sean publicadas antes de haber sido solucionadas.
Es habitual encontrarse con casos donde hackers o investigadores reportan vulnerabilidades a las organizaciones de forma altruista, algunos por el simple hecho de hacer un Internet más seguro y otros con el objetivo de ganar fama y reconocimiento, a la vez que desarrollan sus habilidades.
Es cada vez más frecuente ver cómo las organizaciones con mayor madurez en su modelo de seguridad, adoptan como parte de sus procesos de gestión de vulnerabilidades, ejercicios de red teaming o programas de recompensas. El beneficio inmediato de disponer de cientos de investigadores buscando vulnerabilidades, es la posibilidad de detectar y corregir un gran número de ellas, a la par que pone de manifiesto la concienciación e importancia que la organización otorga a la seguridad.
Hasta hace no mucho lanzar un bounty estaba al alcance de muy pocos, ya que para poder llevarlo a cabo de forma eficiente, es necesario disponer de un equipo multidisciplinar especializado y 100% dedicado. Hoy día encontramos diversas alternativas online que ponen a disposición de sus clientes determinada infraestructura y su capacidad de poner a las empresas en contacto con los caza recompensas éticos, sin embargo solo hacen de intermediarios entre estos sin ofrecer ningún otro servicio de valor.
La propuesta para acometer este tipo de servicios va hacia la gestión integral del programa en todas sus fases de tal forma que este sea integrado de forma transparente como un origen de datos adicional en los procesos de gestión de vulnerabilidades ya establecidos en el cliente y utilizando sus mismos interfaces (herramientas de ticketing, sistema de reporting, etc).
Se pondrá a tu disposición un equipo con distintos perfiles de especialización que se encargará de todas las labores técnicas y de coordinación del programa. El equipo será “elástico”, de tal forma que el número de analistas dedicados variará dependiendo del volumen de reportes recibidos, así como la complejidad técnica de los mismos.
Un interlocutor asignado a tiempo completo, estará al frente del equipo de analistas ejerciendo como punto único de contacto. Este tendrá conocimiento del personal de la organización, así como de los distintos departamentos involucrados en la resolución, ya que él se encargará de coordinar y realizar las labores de seguimiento. En cualquier caso, el CISO determinará el nivel de integración con sus procesos y herramientas de gestión existentes o si prefiere que se trate de un servicio ad-hoc.
Se deben recoger el conjunto de reglas que deberán ser aceptadas por los investigadores que quieran adherirse al programa de Bug Bounty. Aunque existen algunas diferencias cuando el programa está enfocado a un producto, o cuando se trata de servicios online, en este ejemplo describiremos los segundos por ser los más habituales.
Al comienzo del programa se definirán, junto al responsable de seguridad de la organización, aquellos indicadores necesarios para un correcto seguimiento del programa, en los que se incluyen el reparto y criticidad de las vulnerabilidades sobre los distintos activos, tecnologías y áreas de la organización.
Nuestro servicio de gestión de Bug Bounty, está dirigido tanto a fabricantes de software que quieran poner su producto al límite y proteger a sus clientes, como a todas aquellas organizaciones ya sean públicas o privadas que quieran asegurarse que su infraestructura accesible desde internet es analizada exhaustivamente en busca de vulnerabilidades.