5 maneiras para reduzir a latência da rede de publicidade
CrowdCurity startup de segurança está a comercializar uma plataforma baseada em nuvem que permite às empresas criar e gerir a sua própria recompensa bug e programas de testes de segurança.
Programas de recompensas Bug tornaram-se bastante comum em toda a indústria de TI nos últimos anos. Os pesquisadores sistemas de recompensa para relatar falhas de fornecedores, ao invés de apregoando-los através de corretores ou explorar mercados de vulnerabilidade.
Bênçãos de bugs do Google são, provavelmente, o mais conhecido na indústria, mas muitos outros fornecedores, incluindo Facebook e (mais recentemente) Microsoft lançaram programas comparáveis. Uma lista extensa (mas talvez não exaustiva) podem ser encontrados aqui .
Jakob Tempestade, co-fundador da CrowdCurity, disse El Reg que, apesar destes muitos esquemas ainda havia um extenso mercado deixado sem solução. Ele acrescentou que as empresas já executam programas de recompensa de bugs poderiam se beneficiar de terceirização da administração do dia-a-dia do programa para CrowdCurity.
"Alguns fornecedores já lançaram programas de recompensa de bugs, mas em comparação com o mercado total este é uma fração muito pequena," Tempestade explicou por e-mail. "Além disso, temos estado em contato com algumas empresas já estão fazendo seus próprios programas de bug de recompensas, e para muitos deles, é uma dor de: 1) configurar o programa com prazos, etc, 2) pagar os testadores (estes podem vir de todo o mundo) 3) atrair testers suficientes (isto é principalmente para as empresas de pequeno porte), e 4) a gestão dos relatórios de entrada ".
O dinamarquês start-up é efetivamente oferecer uma penetração do serviço de testes baseada em multidão. Serviço de CrowdCurity se oferece para cuidar de pagamentos para os testadores, usando Bitcoins e transferências bancárias. Cerca de 400 testadores já se inscreveram para o esquema de CrowdCurity, uma figura Tempestade disse está crescendo. "Nós temos uma construção em sistema de gestão bug onde é fácil obter uma visão geral do que foi relatado e que [recebeu] feedback," acrescentou.
Tempestade chamado Bugcrowd e SynAck como concorrentes mais óbvios do CrowdCurity. "Eles, porém, parecem atingir as grandes empresas e ter uma abordagem um pouco diferente, oferecendo mais no lado da consultoria", explicou.
Tempestade reconheceu o nosso ponto de que algumas empresas que querem manter o controle muito apertado sobre o conhecimento sobre vulnerabilidades em sua plataforma e, portanto, seria relutante em entregar a gestão de um regime bug recompensa para um serviço baseado em nuvem de terceiros. No entanto, ele argumentou que tais empresas são tipicamente ou "não muito confiante sobre a existência nível de segurança" ou equipamentos como bancos acusados de manipulação de dados sensíveis.
"Fizemos algumas características que torna possível para as empresas a manter um controlo apertado - até certo ponto," Tempestade explicou. "As empresas podem executar seus programas em ambiente de teste / teste, por isso não irá afetar os processos vivos, e eles podem optar por fazer um" soft launch ', onde apenas 1-3 testadores de segurança selecionados têm permissão de acesso. "
"Isso fará com que seja mais controlada e mesmo que haja muitas vulnerabilidades que virá em em um ritmo mais lento e menos vai saber sobre eles. Mas o teste não será tão profunda como aquela em toda a multidão tem acesso", ele adicionado.
Bancos não deve fugir de programas de recompensa de vulnerabilidades apenas por causa da natureza de seu negócio, Tempestade argumentou.
"Os bancos ou similares deve ser cuidadoso, mas o fato é que eles já estão expostos. Eles podem então escolher a esperança de que eles vão encontrar todas as vulnerabilidades em casa ou eles podem optar por também executar um programa com grandes recompensas, para certificar-se de que, se uma vulnerabilidade é encontrada, as pessoas têm um incentivo para denunciá-lo, em vez de explorá-lo ", disse Storm.
Atual lista de clientes da CrowdCurity inclui trocas Bitcoin, que "caber a conta de empresas com muito a perder" e Bitcoin e intermediários comerciais. Para além das empresas Bitcoin ", vemos um potencial no direcionamento startups estabelecidos, pequenas e médias empresas que acham caro contratar consultores pentest / segurança por hora e querem os benefícios da execução de um programa de recompensas bug, mas que não o fazem tem os recursos como o Google eo Facebook para segurá-lo em casa, "Tempestade explicou.
Outros clientes iniciais incluem um serviço de software como empresas dentro de RH, logística e CRM.
Mais detalhes de como funciona o esquema pode ser encontrado em um FAQ e de vídeo disponível no site da CrowdCurity aqui .
As empresas só pagam para as vulnerabilidades que são aprovadas com recompensas em grande parte campais entre os US $ 100 - $ 1.000 suporte. CrowdCurity tem uma taxa de serviço de 20 por cento para cada recompensa. Este tipo de incentivo não vai atrair testículos de elite, mas pode muito bem ser de interesse para os leitores Reg que não raramente nos dizem sobre cross-site scripting e SQL injeções falhas em websites.
Quer receber uma recompensa ou não, é claro, depende se o site em questão é se inscreveram para o esquema de CrowdCurity. ®
via Alimentar (Feed)
Nenhum comentário:
Postar um comentário