banner large

DoD mengumumkan peluncuran program karunia bug baru

Comment
X
Share

Kami sangat antusias untuk menghadirkan Transform 2022 kembali secara langsung pada 19 Juli dan 20 – 28 Juli secara virtual. Bergabunglah dengan AI dan pemimpin data untuk pembicaraan yang berwawasan luas dan peluang jaringan yang menarik. Daftar hari ini!


Hari ini, Departemen Pertahanan (DoD) mengumumkan bahwa Chief Digital and Artificial Intelligence Office (CDAO), Direktorat Layanan Digital dan Departemen Pertahanan Cyber ​​Crime Center (DC3) meluncurkan program hadiah bug “Hack US”.

Program ini akan menawarkan imbalan finansial bagi peretas etis dan peneliti keamanan yang dapat mengidentifikasi kerentanan kritis dan tingkat keparahan tinggi dalam lingkup program pengungkapan kerentanan Departemen Pertahanan.

Untuk mendorong para peneliti untuk berpartisipasi, Departemen Pertahanan akan menawarkan total $110.000 untuk pengungkapan kerentanan. Pembayaran berkisar antara $1.000 untuk laporan tingkat keparahan kritis, $500 untuk laporan tingkat keparahan tinggi, dan $3.000 untuk kategori khusus tambahan.

Keputusan DoD untuk meluncurkan bug bounty tidak hanya datang karena DoD dan HackerOne telah menyelesaikan uji coba 12 bulan sebagai bagian dari Program Pengungkapan Kerentanan Pangkalan Industri Pertahanan (DIB-VDP), tetapi juga karena lebih banyak organisasi mengenali permukaan serangan. diperluas ke titik di mana tim keamanan tidak bisa mengikuti.

Mengapa hadiah bug mengambil momentum

Salah satu kekuatan pendorong utama di balik meningkatnya minat pada karunia bug adalah tingginya jumlah kerentanan yang ada di lingkungan perusahaan modern.

Penelitian menunjukkan bahwa rata-rata organisasi memiliki sekitar 31.066 kerentanan keamanan di permukaan serangannya, jumlah yang tidak dapat dimitigasi oleh tim keamanan internal kecil sendirian, bahkan jika mereka memiliki akses ke manajemen kerentanan terbaru atau alat manajemen permukaan serangan.

Mengingat tingginya jumlah kerentanan, tidak mengherankan bahwa 44% organisasi melaporkan bahwa mereka kurang percaya diri pada kemampuan mereka untuk mengatasi risiko yang ditimbulkan oleh celah resistensi serangan.

Bug bounty memberikan jawaban untuk tantangan ini, dengan memberikan tim keamanan akses ke dukungan dari pasukan peneliti keamanan yang dapat membantu memberikan dukungan dengan mengidentifikasi kerentanan, dan merekomendasikan perbaikan.

“Dibutuhkan pasukan musuh untuk mengakali pasukan sekutu, dan banyak organisasi memanfaatkan komunitas jutaan peretas yang beritikad baik di seluruh dunia yang terampil, siap, dan bersedia membantu,” kata Casey Ellis, pendiri dan CTO di Bugcrowd.

“Orang-orang baik di DoD DC3 telah menjalankan program pengungkapan kerentanan selama bertahun-tahun dengan ketekunan dan kesuksesan yang luar biasa, jadi melihat mereka “meningkatkan” ini ke program hadiah bug berbayar sangat masuk akal,” kata Ellis.

Tentu saja Departemen Pertahanan tidak sendirian dalam merangkul keamanan siber crowdsourced, dengan organisasi seperti Microsoft, Google, Apple, Meta, dan Samsung semuanya bereksperimen dengan program karunia bug kerentanan mereka sendiri untuk memastikan keamanan sistem dan produk akhir mereka.

Gerakan karunia bug

Menurut para peneliti, pasar hadiah bug global sedang dalam pertumbuhan, senilai $223,1 juta pada tahun 2020, dan diperkirakan akan mencapai $5,465,5 juta pada tahun 2027.

Dalam 12 bulan terakhir saja, pasar bug bounty telah menikmati aktivitas investasi yang signifikan, dengan organisasi bug bounty seperti HackerOne dilaporkan mengumpulkan dana $49 juta, Intigriti yang berbasis di Belgia mengumpulkan $23 juta sebagai bagian dari putaran seri B dan platform hadiah bug Web3 Immunefi mengumpulkan $5,5 juta dalam pendanaan awal.

Pada saat yang sama, penyedia lain juga telah meluncurkan inisiatif penelitian kerumunan baru, seperti 1Password, yang mengumumkan peluncuran hadiah bug $ 1 juta yang pada April dibayarkan $ 103.000 kepada para peneliti.

Solusi ini menarik minat investor. “Program karunia bug yang efektif membatasi dampak kerentanan keamanan serius yang dapat dengan mudah membuat basis pelanggan organisasi berisiko,” kata Ray Kelly, rekan di Synopsys Software Integrity Group.

“Pembayaran untuk laporan bug terkadang bisa melebihi enam angka, yang mungkin terdengar sangat banyak. Namun, biaya bagi organisasi untuk memulihkan dan memulihkan dari kerentanan zero-day dapat menghasilkan jutaan dolar dalam pendapatan yang hilang, ”kata Kelly.

Di sisi lain pagar, bahkan geng cyber terkenal seperti LockBit bereksperimen dengan karunia bug, meminta peneliti dan peretas untuk mengirimkan PII pada individu profil tinggi dan eksploitasi web dengan imbalan remunerasi hingga $ 1 juta.

Pasar hadiah bug: Pemain top dan pembeda utama

Pada tahap pertumbuhan pasar ini, salah satu penyedia terkemuka adalah HackerOne, yang tidak hanya membangun hubungan dekat dengan Departemen Pertahanan tetapi juga telah mengumpulkan $160 juta total dana hingga saat ini, dan memelihara komunitas lebih dari 1.000.000 peretas etis yang memiliki menyelesaikan lebih dari 294.000 bug hingga saat ini.

HackerOne menyediakan platform bug bounty yang dapat digunakan organisasi untuk membuat inventaris aset cloud, web, dan API, yang kemudian dapat diuji oleh peneliti lain untuk melihat apakah ada kerentanan.

Salah satu pesaing utama HackerOne di pasar adalah Bugcrowd, pelopor industri, yang telah mengumpulkan dana $80 juta, dan menawarkan platform yang dapat secara otomatis mengidentifikasi kerentanan di permukaan serangan organisasi.

Setelah mendeteksi kerentanan, platform kemudian dapat menghubungkan perusahaan dengan peneliti dan insinyur keamanan untuk menyelidiki dan melaporkan temuan mereka ke dalam kerentanan langsung ke devops dan alur kerja keamanan yang ada.

Penyedia lain di pasar termasuk penyedia bug-bounty Eropa Intigriti, yang menawarkan platform lebih dari 50.000 peneliti dan telah membayar hadiah lebih dari $ 5 juta hingga saat ini.

Pada tahap ini, pembeda utama antara penyedia ini bukan hanya ukuran kumpulan peneliti yang mereka tawarkan aksesnya, tetapi juga cara mereka menghubungkan perusahaan dengan peneliti yang tepat untuk mengamankan lingkungan mereka.

Misi VentureBeat adalah menjadi alun-alun kota digital bagi para pengambil keputusan teknis untuk memperoleh pengetahuan tentang teknologi dan transaksi perusahaan yang transformatif. Pelajari lebih lanjut tentang keanggotaan.

Leave a Reply

Your email address will not be published.