对于比利时的虫子赏金平台Intigriti,行业增长是基于质量而不是数量的
在小欧洲国家的漏洞赏金比利时在实施之后,直到数据保护变得不可避免,直到数据保护变得不可避免GDPR,欧盟的一般数据保护法规,2018年。
但是数据泄露开始建立,尤其是去年的万事达卡犯规在该国开展业务的公司已开始转向独立黑客,以帮助确保其业务免受公司尴尬的侵害,并有可能遭受罚款。
在那里促进组织与安全研究人员之间的关系,有时是摇摇欲坠的关系是Intigriti,这是一个错误赏金自2017年创建以来,总部位于比利时的平台就增加了10,000个黑客。
每日swbeplay2018官网ig最近与Stijn Jans,Intigriti创始人兼首席执行官,以及Inti de Ceukelaire该平台的社区团队经理,以了解有关公司国际野心的更多信息,以及他们在保持众包安全性的同时保持独立黑客精神的看法。
Intigriti平台大约在三年前创建,是什么引发了它的创作?
Stijn Jans:前intigriti,我正在管理一家安全咨询公司,专注于渗透测试。
在此期间,我感到需要进行持续的安全测试。客户问:“您在这笔笔测试中如何确定您有什么漏洞?”。
这是我永远无法保证的事情,因为您正在通过笔测试及时进行快照。它是由一个人执行的,在有限的时间内执行了一定的技能。
此外,预算通常是渗透测试连续性和可能参与的专家数量的限制因素。这个问题促使我寻找其他解决方案,例如连续的人群测试模型“ Bug Bounty”。beplay维护得多久
在2017年,我决定采取飞跃并建立Intigriti。如今,这是一个提供敏捷且连续的众包安全性测试的漏洞赏金平台。
您是在比利时的,那里的赏金仍然是一个相对较新的概念。在这样一个未知的市场中发展业务是什么感觉?
SJ:我认为福音派在欧洲仍然是一件大事。我个人的看法是,在欧洲,他们对安全性的看法与在美国的安全性有所不同,在美国,漏洞赏金市场和众包测试更加成熟。我们(在欧洲)有一些赶上做的事情。
在2017年(Intigriti启动时),这是一个真正的挑战,即说服人们与人群合作,并与您没有见过且未见过的人一起工作。
但是,当您开始向人们解释您每年一次,每年两次甚至每年四次进行笔测试,而您在其他情况下正在做什么,您正在做什么他们得到该错误赏金可能是正确的解决方案。
作为一家公司,您是什么建立的 - 您的客户或研究人员网络?
Inti de Ceukelaire:为了在这个行业中建立质量,您需要首先建立社区。如果对他们来说不是正确的事情,我们将永远不会告诉客户获得一个Bug Bounty计划,因为它不会为他们的业务带来好处,也不会为我们的研究人员带来任何好处。
研究人员想要体面的支出,他们希望对自己的工作表示赞赏,他们希望找到错误。只是为数字做,并让许多公司加入船上不是正确的事情。我们需要为客户和研究人员带来一定程度的质量。
Intigriti主持的现场黑客活动有助于建立研究人员与组织之间的关系
黑客教育似乎是Intigriti平台的重要组成部分。
我知道了:我们与比利时的许多大学和学校合作,实际上我们将漏洞赏金和负责任的披露视为学习的替代方法。
我们已经完成了一些黑客马拉松,其中一些学生进行了一些评估和实践练习。这很酷的事情是,这些学生将在现场获得报酬。我们真的很想在比利时建立一个与学校合作的人声和引人入胜的社区。
对我来说,作为一名学生,我不得不对距离现实生活中场景的目标进行安全测试。这些家伙能够攻击现实生活中的目标并以此赚钱,这是我们希望在其他国家 /地区建立和推出的策略,建立了那些较小的社区。
SJ:准备好工作。您以负责任,道德和法律的方式测试现实生活中的应用。
阅读有关每日Swig的最新漏洞赏金新闻的更多信息beplay2018官网
您如何向公司建议他们应该向研究人员支付多少钱?
我知道了:我们在平台上提供的最大赏金是50,000欧元(54,000美元)。我们确实在[Bug Bounty]数量上进行交流,我认为这样做并没有耻辱,但这更多是关于您(公司)应该为他们的工作授予人们的工作。
我仍然自己确实是漏洞的赏金,而且我经常会花几个星期的时间在一个目标上。如果您不花时间付费,则必须补偿质量。但是我们也认为,每个公司都是不同的,重要的是平衡。
我们永远不会自己设置任何赏金。他们总是在我们的指导下由客户设定。一些公司在安全方面更加成熟,因此将其赏金比其他公司更高,以激励黑客更深入地挖掘。
您会看到赏金从1,000欧元至50,000欧元($ 1,100- $ 54,200),有些公司绝对不为喜欢这样做的人支付任何赏金。我们还建议公司开始低谷并逐渐发展,以保持研究人员的兴趣。
SJ:当然,这是一个有很多关于金钱的行业,但我认为还需要给社区一些荣誉。不久前,我们进行了一次现场黑客活动,我们有一些研究人员进来,并向慈善机构捐赠了部分赏金。
Intigriti在布鲁塞尔中心的一个未公开的地点举办现场黑客活动
您还合作为欧盟提供了一个错误的赏金平台免费和开源软件审核(欧盟 - 弗罗萨)项目。
SJ:欧盟 - 弗罗萨(Eu-Fossa)项目是我从欧洲委员会看到的切实的一个很好的例子。我真的很尊重他们。它使我们有机会制定一些出色的开源计划,这是一个非常不错的旅程。
我知道了:我们对如何实施开源漏洞赏金计划进行了大量研究,因为还有更多的人参与其中。有一个客户,欧洲委员会,然后是黑客社区,然后是开源社区。事情变得非常复杂。
我们学到的一件事是,当您与几个社区合作时,虽然每个人都想为他们的工作而受到赞赏,但您也都在朝着一个共同的目标努力。
Intigriti平台的下一步是什么?
SJ:在业务方面,我们正在研究增长的健康挑战,我认为这是我们的野心,也是一件好事。就社区而言,这全都与质量有关,而不是数量。我想专注于教育和信息共享,这非常重要。
我知道了:如果您不能提供一致的定性体验,那么建立最大的研究人员社区就没有意义了,因此这对我们来说是优先事项,然后我们研究如何扩展我们的服务。
我们还积极研究混合笔测试,人们仍然可以在其中得到补偿的时间,以便他们谋生并仍然享受Bounty带来的优势和动机。
查看Intigriti在公司的网站beplay体育能用吗。
