DoD kündigt den Begin eines neuen Bug-Bounty-Programms an

hacker keyboard


Wir freuen uns, die Remodel 2022 am 19. Juli und virtuell vom 20. bis 28. Juli wieder persönlich zu präsentieren. Nehmen Sie an aufschlussreichen Gesprächen und spannenden Networking-Möglichkeiten teil. Registrieren Sie sich heute!


Heute gab das Verteidigungsministerium (DoD) bekannt, dass das Chief Digital and Synthetic Intelligence Workplace (CDAO), das Directorate for Digital Providers und das Cyber ​​Crime Middle (DC3) des Verteidigungsministeriums das Bug-Bounty-Programm „Hack US“ starten.

Das Programm bietet finanzielle Belohnungen für ethische Hacker und Sicherheitsforscher, die kritische und schwerwiegende Schwachstellen im Rahmen des Vulnerability Disclosure Program des DoD identifizieren können.

Um Forscher zur Teilnahme zu ermutigen, bietet das Verteidigungsministerium insgesamt 110.000 US-Greenback für die Offenlegung von Schwachstellen an. Die Auszahlungen liegen zwischen 1.000 US-Greenback für Berichte mit kritischem Schweregrad, 500 US-Greenback für Berichte mit hohem Schweregrad und 3.000 US-Greenback für Berichte in zusätzlichen Sonderkategorien.

Die Entscheidung des DoD, ein Bug Bounty zu starten, kommt nicht nur, nachdem das DoD und HackerOne ein 12-monatiges Pilotprojekt im Rahmen des Protection Industrial Base Vulnerability Disclosure Program (DIB-VDP) abgeschlossen haben, sondern auch, weil immer mehr Organisationen die Angriffsfläche erkennen bis zu dem Punkt erweitert, an dem Sicherheitsteams einfach nicht mehr mithalten können.

Warum Bug Bountys an Fahrt gewinnen

Eine der wichtigsten treibenden Kräfte hinter dem wachsenden Interesse an Bug Bounties ist die große Anzahl von Schwachstellen in modernen Unternehmensumgebungen.

Untersuchungen deuten darauf hin, dass die Angriffsfläche einer durchschnittlichen Organisation ungefähr 31.066 Sicherheitslücken aufweist, eine Zahl, die ein kleines internes Sicherheitsteam nicht allein abmildern kann, selbst wenn sie Zugriff auf die neuesten Schwachstellen-Administration- oder Angriffsflächen-Administration-Instruments haben.

Angesichts der hohen Anzahl an Schwachstellen überrascht es nicht, dass 44 % der Unternehmen angeben, dass sie kein Vertrauen in ihre Fähigkeit haben, die durch die Angriffswiderstandslücke verursachten Risiken anzugehen.

Bug Bounties bieten eine Antwort auf diese Herausforderung, indem sie Sicherheitsteams Zugang zur Unterstützung durch eine Armee von Sicherheitsforschern verschaffen, die helfen können, Schwachstellen zu identifizieren und Korrekturen zu empfehlen.

„Es braucht eine Armee von Gegnern, um eine Armee von Verbündeten zu überlisten, und viele Organisationen nutzen die Gemeinschaft von Millionen gutgläubiger Hacker auf der ganzen Welt, die kompetent, bereit und bereit sind zu helfen“, sagte Casey Ellis, Gründer und CTO bei Bugcrowd.

„Die guten Leute bei DoD DC3 führen seit vielen Jahren mit großer Sorgfalt und Erfolg ein Programm zur Offenlegung von Schwachstellen durch, daher ist es sehr sinnvoll zu sehen, wie sie dieses zu einem bezahlten Bug-Bounty-Programm „aufrüsten“,“ sagte Ellis.

Natürlich ist das Verteidigungsministerium nicht allein, wenn es um Crowdsourcing-Cybersicherheit geht, da Organisationen wie Microsoft, Google, Apple, Meta und Samsung alle mit ihren eigenen Bug-Bounty-Programmen für Schwachstellen experimentieren, um die Sicherheit ihrer Systeme und Endprodukte zu gewährleisten.

Die Bug-Bounty-Bewegung

Laut Forschern befindet sich der globale Bug-Bounty-Markt in einem Wachstumszustand, der im Jahr 2020 auf 223,1 Millionen US-Greenback geschätzt wurde und bis 2027 voraussichtlich 5.465,5 Millionen US-Greenback erreichen wird.

Allein in den letzten 12 Monaten hat der Bug-Bounty-Markt eine beträchtliche Investitionstätigkeit erlebt, wobei Bug-Bounty-Organisationen wie HackerOne Berichten zufolge 49 Millionen US-Greenback an Finanzmitteln gesammelt haben, das in Belgien ansässige Intigriti 23 Millionen US-Greenback im Rahmen einer Serie-B-Runde und die Web3-Bug-Bounty-Plattform gesammelt haben Immunefi sammelt 5,5 Millionen US-Greenback an Seed-Finanzierung.

Gleichzeitig haben auch andere Anbieter neue Crowd-Analysis-Initiativen gestartet, wie z. B. 1Password, das die Einführung einer Bug-Prämie in Höhe von 1 Million US-Greenback ankündigte, die ab April 103.000 US-Greenback an Forscher auszahlte.

Diese Lösungen wecken das Interesse der Anleger. „Effektive Bug-Bounty-Programme begrenzen die Auswirkungen schwerwiegender Sicherheitslücken, die den Kundenstamm eines Unternehmens leicht hätten gefährden können“, sagte Ray Kelly, Mitarbeiter der Synopsys Software program Integrity Group.

„Auszahlungen für Fehlerberichte können manchmal sechsstellige Summen überschreiten, was nach viel klingen magazine. Die Kosten für ein Unternehmen zur Behebung und Wiederherstellung einer Zero-Day-Schwachstelle könnten sich jedoch auf Millionen von Greenback an entgangenen Einnahmen belaufen“, sagte Kelly.

Auf der anderen Seite des Zauns experimentieren sogar berüchtigte Cyber-Gangs wie LockBit mit Bug-Bounties und fordern Forscher und Hacker auf, PII über hochkarätige Personen und Internet-Exploits gegen eine Vergütung von bis zu 1 Million US-Greenback einzureichen.

Der Bug-Bounty-Markt: Prime-Spieler und wichtige Unterscheidungsmerkmale

In dieser Part des Marktwachstums ist HackerOne einer der führenden Anbieter, der nicht nur eine enge Beziehung zum Verteidigungsministerium aufbaut, sondern bis heute insgesamt 160 Millionen US-Greenback an Finanzmitteln aufgebracht hat und eine Gemeinschaft von über 1.000.000 ethischen Hackern unterhält, die dies getan haben bis heute über 294.000 Fehler behoben.

HackerOne bietet eine Bug-Bounty-Plattform, mit der Organisationen ein Inventar von Cloud-, Internet- und API-Belongings erstellen können, das andere Forscher dann testen können, um festzustellen, ob es Schwachstellen gibt.

Einer der Hauptkonkurrenten von HackerOne auf dem Markt ist Bugcrowd, ein Pionier der Branche, der selbst 80 Millionen US-Greenback an Finanzmitteln aufgebracht hat und eine Plattform anbietet, die Schwachstellen in der Angriffsfläche eines Unternehmens automatisch identifizieren kann.

Nach dem Erkennen von Schwachstellen kann die Plattform Unternehmen mit Forschern und Sicherheitsingenieuren verbinden, um ihre Erkenntnisse über die Schwachstelle zu untersuchen und direkt in bestehende Entwicklungs- und Sicherheits-Workflows zu melden.

Andere Anbieter auf dem Markt sind der europäische Bug-Bounty-Anbieter Intigriti, der eine Plattform mit über 50.000 Forschern bietet und bisher über 5 Millionen US-Greenback an Prämien ausgezahlt hat.

In dieser Part ist das Hauptunterscheidungsmerkmal zwischen diesen Anbietern nicht nur die Größe des Swimming pools von Forschern, zu denen sie Zugang bieten, sondern auch die Mittel, mit denen sie Unternehmen mit den richtigen Forschern verbinden, um ihre Umgebungen zu sichern.

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Erfahre mehr über die Mitgliedschaft.

admin

Leave a Reply

Your email address will not be published.