O documento discute o programa de Bug Bounty do C6 Bank e como ele se encaixa na estratégia de DevSecOps do banco. O Bug Bounty complementa outros testes de segurança ao permitir que pesquisadores independentes encontrem bugs, de forma ética. Isso traz vantagens como a identificação de vulnerabilidades diversas de forma mais custo-efetiva. Desafios incluem o alto volume de relatórios, incluindo falsos positivos e duplicados.
5. 10.06.21
www
Público
Pesquisadores
Conhecidos
Pesquisa Notificação Triagem
Esforço de
Correção
Prêmio
Remediação
Validar o
report, escopo
e severidade;
Testar e validar
o bug
Verificar
criticidade
do bug e
esforço de
correção
Portal para notificações,
gestão de reports e
pesquisadores (perfil,
reputação, background)
BB for dummies
Escopo
12. 10.06.21
Identificar bugs
Diversidade
VANTAGENS
PARA AS
EMPRESAS Estudo “An Empirical Study of
Vulnerability Rewards Programs”
(Berkeley)
An increase in the number of
researchers looking for
vulnerabilities yields an increase in
the diversity of vulnerabilities
discovered.
13. 10.06.21
Identificar bugs
Diversidade
Custo x Benefício
VANTAGENS
PARA AS
EMPRESAS
Estudo “An Empirical Study of
Vulnerability Rewards Programs”
(Berkeley)
A Vulnerability Research Program
(VRP) can be a cost-effective
mechanism for finding security
vulnerabilities.
The cost of (…) VRPs is comparable
to the cost of just one member of the
browser security team.
Each of these VRPs finds many more
vulnerabilities than any one researcher is
likely to be able to find.
https://mfinifter.github.io/papers/vrps-usenix2013.pdf
17. 10.06.21
Bug Bounty & DevSecOps
Faz parte do seu ciclo de
testes
• Pré-produção (raro)
• Produção (comum)
Complementa os testes
existentes (recomendado)
18. 10.06.21
“Testing only proves the
presence of bugs, not
the absence of
them.”
Louis
Cremen
https://hackernoon.com/introducing-the-infosec-colour-wheel-blending-developers-with-red-and-blue-security-
teams-6437c1a07700
22. 10.06.21
Definindo a severidade
Score CVSS
Common Vulnerability Scoring System
First: https://www.first.org/cvss/calculator/3.1
NIST: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
31. 10.06.21
Reports
Duplicados L
Study: “Diversity or Concentration? Hackers’
Strategy for Working Across Multiple Bug Bounty
Programs” (MIT)
Sorting the few new valid issues from the
deafening noise of submitted trivial bugs,
non-issues, duplicates is time consuming
and can drain resources.
(…) invalid and duplicate submissions greatly
out-number valid submissions for open
programs.
34. 10.06.21
BB complementa sua
capacidade de detectar
vulnerabilidades
Mostra maturidade de
segurança
Bom relacionamento com a
comunidade de infosec
Conclusão
36. 10.06.21
Referências
M. Finifter, D. Akhawe and D. Wagner, “An Empirical Study of Vulnerability Rewards
Programs” (Berkeley), 2013, https://mfinifter.github.io/papers/vrps-usenix2013.pdf
K. Huang, M. Siegel, S. Madnick, X. LI and Z. Feng, “Diversity or Concentration? Hackers’
Strategy for Working Across Multiple Bug Bounty Programs” (MIT), Dec. 2016.
R. Ellis, K. Huang, M. Siegel, K. Moussouris and J. Houghton, “Fixing a Hole: The Labor
Market for Bugs” (MIT), 2017.