Het opzetten van een Bug Bounty-programma kan een ongelooflijke aanwinst zijn voor uw organisatie. Door relaties op te bouwen met hackers of beveiligingsonderzoekers, bouwt u een team dat werkt aan het helpen van u om zo veilig mogelijk te zijn terwijl ze een oogje in het zeil houden voor uw kwetsbaarheden. Bij Zerocopter onderscheiden we hackers in twee groepen: degenen die deelnemen aan privéprogramma's, zoals Bug Bounty of Dedicated Hacker Time, en hackers van over de hele wereld die hun bevindingen rapporteren met Coordinated Vulnerability Disclosure.

Door gebruik te maken van ons platform kunt u direct communiceren met ervaren hackers die kwetsbaarheden in uw activa hebben ontdekt. Dit is een kans om betere inzichten te krijgen in hoe zij denken en naar kwetsbaarheden zoeken. Hier zijn enkele veelgestelde vragen over hoe samen te werken met hackers.

Wie zijn de hackers bij Zerocopter?

Tijdens privéprogramma's kunnen alleen uitgenodigde hackers deelnemen. Zij zijn geselecteerd op basis van hun vaardigheden en kennis van beveiliging. Voordat ze als hacker voor een privéprogramma worden geaccepteerd, zijn hun identiteiten en achtergrond gecontroleerd. U kunt er zeker van zijn dat deze hackers hun kennis alleen gebruiken om de beveiliging van uw systemen te verbeteren. Ze zullen nooit een kwetsbaarheid openbaar maken zonder toestemming.

Hoe stel ik een programma op dat veel hackers zal aantrekken?

Elk programma heeft een scope nodig met duidelijke regels voor de hackers. In de scope van een privéprogramma kan gespecificeerd worden welke activa u wilt dat de hacker test op beveiliging. Het kan ook specificeren wat niet relevant is voor dit programma, kwesties zoals social engineering of de fysieke beveiliging van het kantoor van uw bedrijf worden vaak uitgesloten van programma's.

De scope verduidelijkt ook wat de hacker kan verwachten van het bedrijf nadat ze een rapport hebben ingediend. Voor een gesloten programma is het een goed idee om eventuele bekende kwetsbaarheden die nog niet zijn verholpen aan de scope toe te voegen om teleurstelling bij hackers te voorkomen wanneer zij deze problemen ontdekken. Een eenvoudig voorbeeld van een scope kan hier worden gevonden.

Openbare programma's, zoals Coördinated Vulnerability Disclosure, zullen altijd veel aandacht krijgen. De groep mensen die probeert kwetsbaarheden te vinden is veel groter in vergelijking met gesloten programma's, aangezien iedereen kan deelnemen. Voor gesloten programma's is de groep kleiner, en deze uitgenodigde hackers hebben vaak meer dan één programma waar ze aan kunnen deelnemen. 

Om meer betrokkenheid van hackers bij privéprogramma's te krijgen, is het aan te raden om hen zoveel mogelijk vrijheid te geven. Dit kan worden gedaan door zoveel mogelijk in het programma op te nemen. 

Wanneer een systeem geen open registratie heeft, geef de hacker accounts met verschillende machtigingen zodat alle functionaliteit kan worden getest.

Hoe moet ik hackers belonen?

Voor onze privéprogramma's zijn beloningen verplicht, voor CVD kunt u daarentegen beslissen hoe en of u de hacker wilt belonen. Voor beide types krijgen alleen geldige rapporten een beloning.

Hoe ernstiger de bevinding, hoe hoger de beloning. Programma's die hogere beloningen bieden, krijgen meer betrokkenheid van hackers. 

Om extra waardering te tonen, kan er bovenop de beloning een bonus worden gegeven, een plaats in de hall of fame, of ze kunnen wat bedrijfsmerchandise krijgen. bijvoorbeeld, de Nederlandse overheid stuurt dit t-shirt naar hackers die kwetsbaarheden in hun systemen rapporteren.

Ik wil een specifieke functie van mijn activa laten testen, hoe kan ik een scope opzetten die de hackers niet beperkt?

Een privéprogramma kan worden gebruikt om specifieke problemen te testen terwijl het ook een brede scope heeft.

Hackers houden van een brede scope voor een programma; het beperken van de scope van uw programma door alleen één specifieke functie in scope op te nemen, zal hun interesse laten vervagen. Een oplossing om die functie te laten testen zonder de scope te beperken, is door hogere beloningen te bieden voor rapporten betreffende de functionaliteit.

Op deze manier voelen hackers zich niet beperkt en zijn ze meer geneigd om de onderdelen die prioriteit hebben te testen. 

Hoe kan ik ervoor zorgen dat de beveiligingstest mijn systemen niet beïnvloedt?

Hackers bij Zerocopter zijn vaardig in wat ze doen. Ze weten dat hun testen de normale functionaliteit van een systeem of zijn gebruikers/klanten niet mogen beïnvloeden en zullen niet verder gaan dan nodig is om het bestaan van een kwetsbaarheid te bewijzen.

Er zijn een paar regels die in de scope kunnen worden vastgesteld om ervoor te zorgen dat de beveiligingstest de normale werking van het systeem niet beïnvloedt of onnodige risico's met zich meebrengt.

Het is belangrijk om de volgende regels vast te stellen:

• Maak geen gebruik van de kwetsbaarheid of het probleem dat u hebt ontdekt, bijvoorbeeld door meer data te downloaden dan noodzakelijk is om de kwetsbaarheid aan te tonen of door gegevens van andere mensen te verwijderen of te wijzigen.

• Openbaar het probleem niet aan anderen totdat het is opgelost.

• Voer geen gedistribueerde denial-of-service-aanvallen uit.

Een andere manier om de beveiliging van uw activa tijdens een privéprogramma te waarborgen, is door een aparte omgeving te creëren. Op deze manier kunnen hackers al hun testen doen zonder risico voor de productieomgeving of invloed op reguliere klanten/gebruikers.

Om meer inzicht en controle over het programma te krijgen, kunt u de hackers vragen een VPN te gebruiken of een HTTP-header in hun verzoeken in te stellen. Dit stelt u in staat om hun verkeer van ander verkeer te scheiden en geeft u meer informatie over het gedrag van de hackers in uw online omgeving. 

Een kwetsbaarheid is geaccepteerd door triage. Wat nu?

Nadat het Zerocopter Triage-team een rapport accepteert, kunt u beginnen met het oplossen van de kwetsbaarheid. Voor de hackers is het fijn als ze een eenvoudig bericht krijgen waarin ze worden bedankt en met een geschatte tijdlijn wanneer dit zal worden opgelost.

Wanneer de kwetsbaarheid is verholpen, kunt u de hacker vragen een retest uit te voeren om te bevestigen dat zij het probleem niet langer kunnen reproduceren.

Sommige kwetsbaarheden hebben meer tijd nodig om op te lossen; wanneer dit gebeurt, informeer hen over de vertraging en houd hen op de hoogte met een nieuwe geschatte tijdlijn. 

Deze interacties tonen de hackers aan dat u hun inspanningen waardeert en de beveiliging van uw systemen serieus neemt.

Een rapport dat door triage is geaccepteerd, is niet relevant voor ons. Kan ik dit rapport sluiten?

Soms wordt er een rapport geaccepteerd door het Zerocopter Triage-team dat, na verder onderzoek, niet zo impactvol blijkt te zijn als het lijkt. Bepaalde mitigaties kunnen aanwezig zijn die alleen uw organisatie kent, of de kwetsbaarheid was al bekend bij uw organisatie.

Om dit te voorkomen, moet u de bekende kwetsbaarheden in privéprogramma's opsommen. Wanneer een rapport zoals dit wordt geaccepteerd, leg dan aan de hacker uit waarom u denkt dat dit probleem niet relevant is voor uw organisatie voordat u het rapport sluit.

Het zal altijd teleurstellend zijn voor een hacker wanneer dit gebeurt, maar het geven van een uitleg en hen bedanken voor hun tijd kan eventuele harde gevoelens verlichten. 

Een rapport is geaccepteerd door triage, maar ik begrijp niet hoe de kwetsbaarheid werkt. 

Soms kunnen rapporten, in hun enthousiasme, een gebrek aan informatie hebben, waardoor de kwetsbaarheid moeilijker te begrijpen wordt. Op het Zerocopter-platform is het mogelijk om rechtstreeks met hackers te praten en om verduidelijking te vragen. Aarzel niet om dit te doen, aangezien bijna allemaal gepassioneerd zijn over hun werk en u willen helpen de kwetsbaarheden te begrijpen.