YesWehack的Rodolphe Harand解释了法国漏洞赏金平台如何破坏市场
2013年,在意识到传统安全审计的缺点之后,三名道德黑客开始创建一个过程,研究人员可以向法国各种规模的公司报告关键脆弱性。
几年后,最初除了对Guillaume Vassault-Houlière,Manuel Dorne和Romain Lecoeuvre的副项目外,现在已经扩展到了一个平台,大约有10,000名虫子猎人正在安全地找到和修复虫子,并创造了安全性,并创造了对安全性的认识,并制作了bug虫。额外的几美元现金启动。
建造为欧洲替代漏洞赏金平台的替代品,是的将在2月与投资者一起筹集了400万欧元(约450万美元),并计划将其主要是法国企业集中在欧洲和亚洲的组织中,并计划筹集400万欧元(约450万美元),并将破坏美国统治的市场。
在瑞士网络风暴本月在伯尔尼举行会议每日swbeplay2018官网ig与YesWehack的经理Rodolphe Harand坐下来讨论错误赏金,逐个设计,以及公司如何将自己视为基于美国的大型平台,例如Hackerone和bugcrowd。
嗨,罗多夫!您能否谈谈YesWehack平台背后的想法。
Rodolphe Harand:这个想法是成为美国[Bug Bounty]平台的欧洲替代品。
如果您是一家公司,您已经将大部分它都掌握在美国:云服务,提供商,所有这些服务提供商,因此至少,这种环境的安全保持某种形式的余额。
如果我们不成功,我们将拥有的是Facebook或Google的Bug Bounties,这意味着一个平台一起管理数百万个或数百万个错误和漏洞。这种影响可能是巨大的,因此我认为至少任何非美国公司都可以选择,这一点非常重要。
话虽如此,我们不想成为“法国抵抗”。我们希望成为欧洲的选择。
我们的猎人社区是国际性的,我们每天都从亚洲获得越来越多的猎人,但是我们仍然希望保持这种欧洲质量水平的标签,我认为这部分是关于对保密和隐私的重要性的认识。
与基于美国的Bug Bounty平台(例如Hackerone和Bugcrowd)相比,如何运行YesWehack平台之间是否存在任何重大差异?
RH:我们是在法国主持的,诸如《爱国者法》和《云法》等法律不适用。我们已经整合了GDPR[一般数据保护法规]在平台的设计中,因为客户和猎人的数据隐私在欧洲至关重要。
在欧洲,漏洞的市场是什么,它们是众所周知的,并且被认为是增加组织安全姿势的一种方式吗?
RH:在法国,通常欢迎漏洞赏金,因为我们的[YesWehack]联合创始人已经普及了近十年。漏洞的赏金非常时尚和凉爽,不像美国那样多,但是欧洲其他地区还有很长的路要走。
北欧相当先进,欧洲其他地区仍然停滞不前,但我们可以看到一些变化的迹象。
我认为瑞士 - 在一定程度地感谢瑞士邮政和电子投票计划- 将成为欧洲漏洞赏金的早期采用者。
YESWEHACK目前运行多少个程序?
RH:我们运行200多个计划,其中许多计划在法国,但越来越多的欧洲和亚洲地区。
由于目前的欧洲和亚洲市场的成熟度(与北美景象相比),因此大多数计划都是私人的。我们有大约20个左右的公共计划。
阅读《每日Swig》中更多最新的漏洞赏金新闻beplay2018官网
运行公共漏洞赏金计划有什么好处?
RH:私人计划和公共计划之间有不同的价值。
当您运行五年的私人程序时,公共漏洞赏金是最合乎逻辑的下一步,因为在某些时候,您需要一些新鲜的眼睛。这是获得更好安全性的额外英里。
然后,您具有透明度或通信方面。公共计划是对系统表现信心的一种方式。您是说:我正在挑战您入侵我。
每个人都可以看到该程序,范围中的内容,报告了哪些错误,透明度是一个巨大的安全支柱,而Bug Bounty计划是公司实现这一信任的重要一步。
您是否对自来水开始授予多少赏金有任何货币估计?
RH:不幸的是,我们无法传达此类数字。
好的。发现关键脆弱性可以授予猎人的最大价值是什么?
RH:作为一家公司,我们不会就货币价值进行交流,因为我们不希望市场相信您需要支付50,000美元才能固定关键脆弱性。那不是事实。
我们有许多初创企业的年度预算为10,000美元,并希望实施漏洞赏金计划以变得更加安全。对于他们来说,漏洞赏金比传统审计更具成本效益,我们希望猎人与所有人合作。
由于围绕巨额支出的宣传,所有的小公司都可能会害怕漏洞赏金,我认为这确实是一种媒体。一些平台利用这种媒体的胃口来吸引有关巨大赏金的性感故事,这可能是故事的一部分,但这并不是全部。
实施有效的错误赏金计划有哪些挑战?
RH:如果您运行一个错误赏金,则意味着您将在程序范围内修复错误。
可悲的事实是,许多组织没有解决错误,因为他们要么不想出于技术或商业原因,要么不想或无法解决错误。
我们不应该从一开始就专注于设计安全产品,而不是像Bug Bounties一样提供的端点安全性?
RH:我们认为,按设计安全是错误赏金的核心价值之一。
有了Bug Bounties,我们可以将开发人员与报告该错误的猎人联系起来。First, this creates an awareness effect because, as a developer, you speak to the person who actually found the bug on their application and it’s not the same as an audit or consultancy – the hunter will explain how they found and exploited the bug and how to create a fix.
开发人员现在拥有此信息,他们学会编写更安全的代码。客户告诉我们,这完全改变了他们的工作方式,因为开发人员正在考虑猎人的观点。
您认为将来我们可以从Bug Bounty计划中期待什么?
RH:我认为自动化是网络的未来,为了在网络中有效自动化,您需要经过验证的数据。
DevSecops暗示您需要数据的自动化,而错误赏金提供了此数据。您会收到一些错误,其中包含标准信息,并且客户可以重复使用此信息以使任务自动化。
这是正确的方向,我们看到了鼓励,但是我们也看到初创企业在没有任何安全审核的情况下推出产品,而新一代IT参与者也犯了同样的错误。
