Todas las empresas (y otras organizaciones) que desarrollan e implementan software pueden beneficiarse de un programa de recompensas de errores (o más generalmente, de un programa de divulgación de vulnerabilidades).
Un programa de recompensas de errores es la “trampa” de las vulnerabilidades del sistema cuando el software se activa. Es una parte esencial del ciclo de vida de desarrollo de software (SDLC). Cuando encuentra una vulnerabilidad en el software en vivo, no solo repara el error que lo causó, sino que también regresa a las etapas anteriores en el SDLC para mejorar sus procesos y prácticas para evitar ese tipo de vulnerabilidades en el futuro. El software se está volviendo más seguro a medida que el SDLC se perfecciona gradualmente.
Un programa de recompensas de errores puede cubrir todo tipo de vulnerabilidades del sistema (es decir, tiene una amplia cobertura), produce resultados muy rápidamente (dentro de las 24 horas posteriores al inicio de un programa) y es un orden de magnitud más rentable que otros métodos. La recompensa promedio es de aproximadamente $ 500. El costo promedio por error o vulnerabilidad encontrado al usar escáneres o pentesting es fácilmente 10-20 veces mayor. (Y el costo de NO encontrar y corregir una vulnerabilidad corre en millones de dólares o euros).
- Si descarga malware accidentalmente en una cuenta de usuario, ¿afectará a todos los usuarios de la computadora?
- ¿Cómo evitan los ataques de fuerza bruta el problema de los límites máximos de intentos de contraseña?
- ¿Qué es una contraseña maestra y para qué se utiliza?
- ¿Por qué es necesario descifrar AES 256 en el mismo entorno donde se genera el texto cifrado?
- ¿Puede el software antivirus frustrar un ciberataque?
Las principales compañías digitales ejecutan grandes programas de recompensas de errores y están muy contentos con ellos: Google, Microsoft, Facebook, Uber, Twitter, Snapchat, Riot Games, Slack, Quora, Github, Salesforce, etc.
Si la propuesta de valor de los programas de recompensas de errores es tan convincente, ¿por qué no todos están ejecutando uno? Aquí hay algunas razones que hemos observado:
- Los programas de recompensas de errores representan una nueva forma de ver la seguridad del software, y algunas organizaciones necesitan tiempo para conocerlos y ver los beneficios.
- Al igual que algunos humanos, algunas compañías simplemente no quieren saber qué les pasa
- Algunas compañías tienen implementaciones de software con tantos defectos conocidos en los que la compañía está trabajando actualmente que no tiene sentido iniciar un programa de recompensas de errores en ese momento. De todos modos, se han apilado mucho para arreglar. Una vez que hayan solucionado la mayoría de sus problemas conocidos, será hora de un programa de recompensas de errores.
- Algunas compañías son tan pequeñas o carecen de personal que no pueden operar un programa de recompensas de errores con éxito. Los programas dejan de responder y esto irrita y ahuyenta a los hackers éticos que intentan ayudarlos.
- Algunas compañías operan bajo estrictas regulaciones o reglas de cumplimiento, y no están seguras de si un programa de recompensas de errores se ajusta a su conjunto de reglas, o si primero se debe cambiar la regulación.
- El software de algunas empresas se utiliza en situaciones críticas para la vida (por ejemplo, aviones, vehículos, sistemas hospitalarios). Para ejecutar un programa de recompensas de errores, necesitan configurar un entorno de prueba separado. Esto es absolutamente factible (y a menudo se hace), pero inevitablemente agrega una capa de complejidad.
- Algunas compañías no implementan software por sí mismas (una pequeña ley o práctica médica sería un ejemplo típico). Usan el software como un servicio de los vendedores. Son esos proveedores los que deberían ejecutar programas de recompensas por errores, pero no sus clientes.
- Algunas compañías creen que sus sistemas no tienen vulnerabilidades serias. Cada vez, esta creencia es incorrecta.
Todas las objeciones anteriores pueden ser tratadas y están siendo tratadas. Una vez que obtengamos todas las organizaciones que desarrollan e implementan software para ejecutar programas de recompensas de errores, Internet y toda la sociedad conectada en la que vivimos estarán más seguros.