SolisImages – stock.adobe.com
A ferramenta de comparação recém-lançada supostamente ajudará os operadores de divulgação de vulnerabilidades ou programas de recompensas de bugs a garantir que seus pagamentos correspondam às taxas e expectativas do mercado, e atrair o tipo certo de atenção
-
Por
-
Alex Scroxton, Editor de segurança
Publicado:
21 de novembro de 2022 14:42
-
Especialista em pentest e hacking ético Intigriti
- lançou um ferramenta de comparação para usar que acredita que ajudará programa de recompensas por bugs os proprietários combinam suas taxas de pagamento com as condições do mercado e o sentimento da comunidade.
Intigriti disse que os recém-chegados ao conceito de bug recompensas geralmente têm dificuldade em decidir quais taxas de pagamento definir, enquanto outras dedicam tempo e esforço para criar o “programa perfeito de recompensas de bugs” apenas para descobrir sendo negligenciados em um mercado em rápido crescimento.
É novo
![]()
Bug Bounty Calculatorsupostamente permitirá que os criadores de programas otimizem seu programa de divulgação de vulnerabilidades e ajudem a garantir que ele receba a atenção de hackers éticos. “Qualquer um pode criar um programa de recompensas por bugs, mas se você não tiver certeza do que está fazendo, pode pagar muito por vulnerabilidades,” disse Inti de Ceukelaire, chefe dos hackers da Intigriti. “Pior ainda, defina suas recompensas muito baixas e você pode não atrair nenhum pesquisador.
“Nossa experiência nos mostra que os pesquisadores estão altamente sintonizados com os pagamentos. É importante encontrar o ponto ideal para garantir que seu programa continue sendo uma proposta atraente e, se você pagar abaixo do valor de mercado, não atrairá os principais hackers.”
A calculadora permitirá que os usuários comparem suas taxas de recompensa para a média da indústria e indicam o nível de experiência em hacking ético que seus níveis de recompensa podem atrair. dados de mais de 400 programas públicos de recompensas de bugs existentes em 18 setores e permite que os usuários considerem variáveis adicionais e mais aprofundadas, como apetite por risco e níveis de maturidade de segurança.
Intigriti disse isso tornará muito mais fácil para os usuários encontrarem informações direcionadas comparadas com seus concorrentes.
Os programas de recompensas por bugs podem diferir amplamente em sua escala e escopo, portanto, vale a pena aprender sobre as taxas ideais de pagamento em vários setores.
Por exemplo, de acordo com os dados da Intigriti, os setores de serviços financeiros e blockchain são os que pagam mais em média, enquanto os serviços de saúde e assistência social de alto risco podem esperar pagar US$ 4.000 por uma vulnerabilidade crítica, em comparação com US$ 2.600 no setor público como um todo. .
É importante acertar no planejamento e gerenciamento de programas de recompensas por bugs, porque um programa mal projetado pode gerar mais problemas do que soluções.
Escrevendo em Site irmão da ComputerWeekly, SearchSecurity , Rob Shapland de Falanx Cyber
- , uma consultoria de segurança baseada em Reading, disse que é fácil para os custos ficarem fora de controle se várias vulnerabilidades se revelarem existem dentro do escopo do programa, e sabe-se que as equipes foram inundadas com relatórios graças a um aumento de hackers éticos sondando suas redes.
A Microsoft distribui $ 13,7 milhões em recompensas por bugs
Por: Alex Scroxton
-
Bug Bounty Calculator
Novo padrão ouro para proteger hackers de boa fé
Por: Alex Scroxton