Yang harus dan tidak boleh dilakukan program bug bounty dengan Katie Moussouris – TechCrunch


Terburu-buru untuk diluncurkan, keamanan siber tidak selalu mendapatkan perhatian yang layak, namun ini adalah salah satu hal pertama yang dipelajari oleh para pemula yang bisa – dan akan – salah.

Peretas dan peneliti keamanan dapat menjadi aset terbesar Anda dalam membantu startup Anda tetap aman. Program pengungkapan kerentanan dan bug bounty adalah bagian dari kerja sama dengan komunitas peretas untuk membangun perusahaan yang lebih kuat dan tangguh. Tetapi ini bukanlah pengganti investasi keamanan, yang sebagai perusahaan yang sedang berkembang tidak boleh Anda abaikan.

Katie Moussouris telah berada di lingkaran keamanan siber sejak beberapa perusahaan teknologi terbesar di dunia adalah perusahaan rintisan, dan membantu menyiapkan program pengungkapan kerentanan dan bug bounty pertama. Moussouris, yang menjalankan firma konsultan Luta Security, sekarang memberi nasihat kepada perusahaan dan pemerintah tentang cara berbicara dengan peretas dan apa yang perlu mereka lakukan untuk membangun dan meningkatkan program pengungkapan kerentanan mereka.

Pada Tahap Awal TC, Moussouris menjelaskan apa yang harus (dan tidak boleh) dilakukan oleh startup, dan prioritas apa yang harus didahulukan.


Mengetahui dasar-dasarnya

Bug bounty saja tidak cukup, dan proses outsourcing ke platform tidak akan menghemat waktu Anda. Moussouris menjelaskan dasar-dasar dan apa yang membedakan antara pengungkapan kerentanan, pengujian penetrasi, dan bug bounties.

Pengungkapan kerentanan adalah proses di mana Anda mendengar tentang kerentanan dari luar. Anda mencerna kerentanan itu entah bagaimana secara internal dalam organisasi Anda dan mencari tahu apa yang harus dilakukan dengannya – apakah membuat tambalan, bagaimana memprioritaskan tambalan itu, dan kemudian apa yang harus dirilis ke publik [ … ] Intinya adalah bahwa organisasi membutuhkan pedoman tentang bagaimana menangani masalah ini dengan tepat.

Selanjutnya kami melakukan pengujian penetrasi: mempekerjakan peretas profesional di bawah kontrak [who have] keterampilan khusus yang cocok dengan masalah Anda, dan Anda membayarnya. Mereka berada di bawah perjanjian kerahasiaan (NDA) untuk menjaga kerahasiaan kerentanan Anda selama Anda membutuhkannya – mungkin selamanya – dan Anda berada di waktu luang, apakah Anda memperbaiki kerentanan tersebut atau tidak.

Akhirnya, bug bounties hanya menambahkan hadiah uang tunai untuk proses program pengungkapan kerentanan. (Stempel waktu: 3:20)


Standar ISO adalah teman Anda



Sumber

Related Articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Stay Connected

21,763FansLike
0FollowersFollow
0SubscribersSubscribe
- Advertisement -

Latest Articles