Bug Bounty - Tarlogic Managed Vulnerability Rewards
¿Quieres evolucionar tu gestión de vulnerabilidades? Cuenta con nuestra experiencia en la gestión del bug bounty
¿Quieres evolucionar tu gestión de vulnerabilidades? Cuenta con nuestra experiencia en la gestión del bug bounty

¿Qué es un Bug bounty?

Desde hace ya algunos años venimos experimentando un notable crecimiento de los llamados Bug Bounty también conocidos como VRP (programa de recompensa de vulnerabilidades), que se basan principalmente en premiar a investigadores capaces de identificar vulnerabilidades en las organizaciones, y notificarlas siguiendo un código de buenas prácticas denominado Responsible Disclosure, para evitar que las vulnerabilidades sean publicadas antes de haber sido solucionadas.

Es habitual encontrarse con casos donde hackers o investigadores reportan vulnerabilidades a las organizaciones de forma altruista, algunos por el simple hecho de hacer un Internet más seguro y otros con el objetivo de ganar fama y reconocimiento, a la vez que desarrollan sus habilidades.

Es cada vez más frecuente ver cómo las organizaciones con mayor madurez en su modelo de seguridad, adoptan como parte de sus procesos de gestión de vulnerabilidades, ejercicios de red teaming o programas de recompensas. El beneficio inmediato de disponer de cientos de investigadores buscando vulnerabilidades, es la posibilidad de detectar y corregir un gran número de ellas, a la par que pone de manifiesto la concienciación e importancia que la organización otorga a la seguridad.

recompensas bug bounty

Hasta hace no mucho lanzar un bounty estaba al alcance de muy pocos, ya que para poder llevarlo a cabo de forma eficiente, es necesario disponer de un equipo multidisciplinar especializado y 100% dedicado. Hoy día encontramos diversas alternativas online que ponen a disposición de sus clientes determinada infraestructura y su capacidad de poner a las empresas en contacto con los caza recompensas éticos, sin embargo solo hacen de intermediarios entre estos sin ofrecer ningún otro servicio de valor.

La propuesta de Tarlogic para acometer este tipo de servicios va hacia la gestión integral del programa en todas sus fases de tal forma que este sea integrado de forma transparente como un origen de datos adicional en los procesos de gestión de vulnerabilidades ya establecidos en el cliente y utilizando sus mismos interfaces (herramientas de ticketing, sistema de reporting, etc).

Tarlogic pondrá a tu disposición un equipo con distintos perfiles de especialización que se encargará de todas las labores técnicas y de coordinación del programa. El equipo será “elástico”, de tal forma que el número de analistas dedicados variará dependiendo del volumen de reportes recibidos, así como la complejidad técnica de los mismos.

Un interlocutor asignado a tiempo completo, estará al frente del equipo de analistas ejerciendo como punto único de contacto. Este tendrá conocimiento del personal de la organización, así como de los distintos departamentos involucrados en la resolución, ya que él se encargará de coordinar y realizar las labores de seguimiento. En cualquier caso, el CISO determinará el nivel de integración con sus procesos y herramientas de gestión existentes o si prefiere que se trate de un servicio ad-hoc.

cómo coordinar un bug bounty

Se deben recoger el conjunto de reglas que deberán ser aceptadas por los investigadores que quieran adherirse al programa de Bug Bounty. Aunque existen algunas diferencias cuando el programa está enfocado a un producto, o cuando se trata de servicios online, en este ejemplo describiremos los segundos por ser los más habituales.

  • Alcance y período de vigencia. Restricciones de alcance y establecer un programa permanente o a largo plazo.
  • Tipología de las pruebas permitidas. Donde generalmente se descartan denegaciones de servicio, ingeniería social y el uso de herramientas automáticas que generen excesivo tráfico de red o carga en los servidores..
  • Umbral y criterio mínimo de aceptación. Tipología de vulnerabilidades son aceptadas, especificando además si se compensarán únicamente por vulnerabilidades con impacto inmediato o también recomendaciones de “hardening”.
  • Formato de la recompensa. Límites económicos mínimos y máximos del premio, en su defecto especificar el tipo de retribuciones en especies y algún otro método de reconocimiento y agradecimiento como pudiera ser la inclusión en el “hall of fame”. Instrucciones de contacto.Especificando el medio, formato requerido, así como las notificaciones de respuesta que se deben esperar en cada fase.
  • Confidencialidad y privacidad. Los investigadores no podrán revelar ninguna información relevante a la vulnerabilidad hasta que esta haya sido solucionada..
  • Participantes. Descartando empleados y familiares de empleados, estableciendo límites mínimos de edad o requiriendo el consentimiento de padres/tutores legales.
  • Propiedad intelectual. El investigador seguirá siendo el propietario intelectual de la información enviada sin embargo otorgará a la organización de forma irrevocable y perpetua derechos ilimitados para utilizar la información recibida.
  • Al comienzo del programa se definirán, junto al responsable de seguridad de la organización, aquellos indicadores necesarios para un correcto seguimiento del programa, en los que se incluyen el reparto y criticidad de las vulnerabilidades sobre los distintos activos, tecnologías y áreas de la organización.

Nuestro servicio de gestión de Bug Bounty, está dirigido tanto a fabricantes de software que quieran poner su producto al límite y proteger a sus clientes, como a todas aquellas organizaciones ya sean públicas o privadas que quieran asegurarse que su infraestructura accesible desde internet es analizada exhaustivamente en busca de vulnerabilidades.

OTROS SERVICIOS

Contratar hacking ético – empresa especializada en seguridad

Intrusión con Advanced Persistent Threat (APT)

Red Team Tarlogic

Servicio de análisis de piratería y monitorización de fraude online

Servicio de hardware Hacking e ingeniería inversa.

Auditoria de seguridad Servicios de seguridad, informática y Hacking Ético

Análisis de dispositivos WiFi y Rogue APs

Auditoría de aplicaciones móviles

Auditoría de seguridad basada en CVSS

Auditoría Web Auditoría  de seguridad  Web OWASP

Auditoría Wireless – Auditoría de segridad WiFi OWISAM

Bastionado de sistemas (Hardening)

¿Te interesa alguno de nuestros servicios?