Ste zodpovední za IT bezpečnosť vo vašej spoločnosti a chcete začať využívať služby Hacktrophy? V článku nájdete tipy ako vytvoriť váš prvý firemný bug bounty program.
Hlavnou výhodou bug bounty programu Hacktrophy je možnosť presného, no pritom komplexného testovania bezpečnosti vášho online produktu. To zabezpečia desiatky až stovky etických hackerov, ktorých zaujme váš projekt. Preto je veľmi dôležité, aby bol projekt zadaný správne a aby špecifikoval presné podmienky, ktorými sa hackeri majú riadiť.
Začíname s vytváraním zadania pre hackerov,
tzv. bug bounty programu
- Prvý krok, ktorý musíte ako firma urobiť, je registrácia. Tú môžete vykonať pomocou tlačidla v pravej hornej časti webu alebo v sekcii Prihlásenie/Registrácia.
- Po vyplnení všetkých údajov v kontaktnom formulári zaškrtnite políčko, že si chcete Vytvoriť projekt. Zadajte jeho názov, názov vašej spoločnosti alebo organizácie, webstránku a telefónne číslo, aby sme vás v prípade potreby mohli kontaktovať.
- Ak si nie ste istí, ako vytvoriť a nastaviť váš prvý bug bounty projekt, prejdite do sekcie Podpora, prípadne požiadajte našich špecialistov, ktorí vám pomôžu so všetkými nastaveniami a špecifikáciami.
- Po odoslaní požiadavky na vytvorenie projektu dostanete potvrdzovací e-mail na adresu, ktorú ste zadali v kontaktnom formulári. Po jeho potvrdení ste pripravení na vyplnenie detailov o vašom prvom bug bounty programe.
TIP: Po registrácii na Hacktrophy.com získate zdarma e-knižku Základy IT bezpečnosti pre firmy!
Vytvoril som úvod bug bounty programu, čo ďalej?
- Ďalším krokom pri vytváraní vášho firemného bug bounty programu je vyplnenie dotazníka so 4 otázkami, ktorý vám pomôže stanoviť odmeny pre etických hackerov v správnej výške. Pokiaľ presne viete, aké zraniteľnosti chcete otestovať na vašom webe, žiaden problém, pomôže vám s tým neskôr.
- Úroveň odmien si samozrejme môžete aj v budúcnosti ľubovoľne upravovať. Ak neviete, na aké zraniteľnosti sa chcete zamerať, prečítajte si Popis základných zraniteľností (PDF v angličtine, veľkosť 50 kB), ktorý obsahuje informácie o najčastejších bezpečnostných dierach, ktoré by vás mali zaujímať. Zoznam vychádza z medzinárodnej metodiky OWASP.
- Po nastavení všetkých zraniteľností, ktoré chcete otestovať, a odmien za ich objavenie, môžete prejsť na ďalší krok. V ňom vyplňte informácie o vašej spoločnosti a popis bug bounty programu, ktorý by mal obsahovať okrem definície samotného bug bounty projektu aj zameranie vašej spoločnosti a podmienky, ktorých sa white hat hackeri majú držať pri testovaní.
- Využiť môžete naše “predtlačené” textové šablóny – základnú, pre väčšie spoločnosti a pre e-shopy – ktoré nájdete v sekcii Podpora (v angličtine). Dôležitým parametrom je aj nastavenie mesačného či ročného limitu odmien. Čím menej ste si istí svojou bezpečnosťou, tým by mal byť tento limit vyšší.
- Posledným krokom, ktorý musíte podstúpiť, je vyplnenie fakturačných údajov vašej spoločnosti. Fakturačné údaje môžete doplniť aj neskôr a svoj projekt si uložiť ako koncept.
Dôležitá poznámka: Nezľaknite sa tohto registračného procesu. Neskôr vám pridelíme bezpečnostného špecialistu-moderátora a skontrolujeme každú časť vášho projektu a pomôžeme vám ho nastaviť správne.
Ako zverejniť projekt na hľadanie bezpečnostných zraniteľností?
Pokiaľ vyplníte fakturačné údaje vašej spoločnosti, môžete váš projekt odoslať na schválenie.
Ukážka časti bug bounty programu spoločnosti Hacktrophy.
Viete o tom, že bug bounty programy využívajú spoločnosti pôsobiace na internete už viac ako 20 rokov? Zvýšenie bezpečnosti vo forme kontinuálneho testovania vďaka bug bounty programov využíva aj týchto 5 známych nadnárodných spoločností. Ochrana pred kybernetickými útokmi je však aktuálnou témou aj na našom území, o čom vás presvedčia útoky hackerov na slovenské a české spoločnosti.
