Een van de belangrijkste lessen die we hebben geleerd, is dat organisaties met de meest succesvolle bug bounty en Vulnerability Disclosure Programs goede partners zijn met de hackergemeenschap. Wanneer hackers het leuk vinden om met een programma bezig te zijn, is er geen limiet aan hun capaciteiten en creativiteit bij het vinden van kritieke beveiligingsrisico’s voor een organisatie.
Het implementeren van best practices voor een eersteklas openbaarmaking van kwetsbaarheden en een bountyprogramma voor bugs kan een uitdaging zijn; u wilt hackers goed doen en uw beveiliging verbeteren, maar soms weet u gewoon niet zeker wat de beste stap is om uw programma vooruit te helpen of hoe u aan hackers kunt signaleren dat u een topprogramma uitvoert.
Vandaag kondigen we met genoegen een nieuwe tool aan om uw programma af te stemmen op de nieuwste stand van zaken en de volwassenheid van uw programma aan te geven: Programma niveauseen gestructureerd raamwerk waarmee programma’s naar een hoger niveau kunnen worden getild door zich publiekelijk te committeren aan bepaalde best practices.
Introductie van programmaniveaus
We hebben bestudeerd en gedestilleerd wat werkt voor onze best presterende programma’s. We delen al veel van deze best practices tijdens onboarding, regelmatige programma-evaluaties en documentatie.
HackerOne Program Levels maximaliseert de voordelen van deze best practices. Het overnemen ervan is een belangrijke stap in de reis van een organisatie naar volwassenheid van programma’s en geeft hackers een openbaar, transparant signaal over wat ze van programma’s op elk niveau kunnen verwachten. Elk programma kan zich vrijwillig aanmelden en zijn reis naar programmaniveau 1 beginnen door contact op te nemen met uw toegewezen CSM.
Programma’s die aan alle vereisten voldoen, verdienen een badge op programmaniveau die wordt weergegeven op hun programmakaart en beleidspagina. De HackerOne Opportunities-pagina heeft een nieuw filter waarmee hackers alleen gekwalificeerde programma’s kunnen zien bij het zoeken naar nieuwe hackmogelijkheden.
Verbetering van de hacker- en programma-ervaring
Programmaniveaus zullen de ervaring voor zowel hackers als programma’s op het HackerOne-platform verbeteren. Ten eerste promoten niveaus een van onze belangrijkste waarden: transparantie. Hackers hebben vooraf meer informatie om deelnamebeslissingen te nemen en hun verwachtingen te beheren, terwijl opleidingen vooraf kunnen signaleren hoe ze bepaalde meldingen en situaties zullen aanpakken zonder meer taal toe te voegen aan hun programmabeleid. Aangezien deze praktijken algemeen worden toegepast, zullen zowel hackers als programma’s bovendien profiteren van een grotere consistentie. Deze standaardisatie verlaagt de toegangsdrempels voor hackers tot alle nieuwe programma’s.
Programmaniveaus zijn een openbare toezegging om een programma uit te voeren volgens deze best practices, wat het vertrouwen van hackers zal helpen vergroten, vooral wanneer we voor het eerst met programma’s bezig zijn, en ons zal helpen elkaar verantwoordelijk te houden. Bovendien zullen deze toezeggingen de bemiddelings- en triageprocessen stroomlijnen, omdat programmaniveaus duidelijk definiëren hoe deze randgevallen moeten worden afgehandeld. Dit elimineert het heen-en-weer dat nodig is om zeldzame problemen op te lossen.
Ten slotte creëren programmaniveaus vriendschappelijke concurrentie tussen programma’s op het HackerOne-platform. Veel organisaties zijn al betrokken bij de hackergemeenschap; via programmaniveaus bieden we een pad met mijlpalen en beloningen naar even grotere betrokkenheid en uiteindelijk beveiligingsvolwassenheid. In de loop van de tijd zullen programmaniveaus niet alleen door hackers worden gezien als een teken van de beveiligingsexpertise van een organisatie, maar ook door beveiligingsscorekaarten, aanbieders van cyberverzekeringen, regelgevende instanties en het grote publiek. We zijn ervan overtuigd dat we allemaal baat hebben bij een race naar de top op het gebied van beveiliging.
Dit is een win-winsituatie voor organisaties en hackers. Organisaties krijgen meer rapporten en zijn daardoor veiliger, terwijl hackers meer beloningsmogelijkheden krijgen. Wanneer programma’s beter en consistenter werken, verbeteren de uitkomsten van hackers; het omgekeerde is ook waar, aangezien verbetering voor de ene groep automatisch leidt tot verbetering voor de andere.
Aan de slag met programmaniveau 1
Programmaniveau 1 is momenteel beschikbaar voor alle programma’s om te verdienen. Programma Level 2 wordt binnenkort uitgeprobeerd met early adopters.
Programmaniveaus zijn progressief, wat betekent dat een programma het vorige niveau moet behalen EN moet voldoen aan de vereisten van het volgende niveau om de overeenkomstige Programmaniveau-badge te verdienen. HackerOne bevestigt en controleert de toewijding van het programma aan hun programmaniveau op basis van verschillende factoren, waaronder feedback van hackers (bijvoorbeeld of het programma regelmatig beloningen of andere beslissingen neemt die hackers van streek maken).
- Programmaniveau 1: vereist het adopteren van HackerOne’s bijgewerkte Gold Standard Safe Harbor-verklaring (GSSH), dat onderdeel wordt van het programmabeleid. HackerOne werkte samen met de hackergemeenschap en industriële partners om een korte, brede, gemakkelijk te begrijpen safe harbour-verklaring op te stellen die de bescherming ondersteunt van organisaties en hackers die te goeder trouw beveiligingsonderzoek uitvoeren in overeenstemming met de nieuwste ontwikkelingen op het gebied van wet- en regelgeving.
Als u programmaniveau 1 bereikt, wordt een niveau 1-badge toegevoegd aan hun programmakaart en beleidspagina, en wordt ook de nieuwe stand-alone Safe Harbor-sectie weergegeven op de programmabeleidspagina.
- Programmaniveau 2: Niveau 2 is gericht op beloningen in bountyprogramma’s voor bugs en er zijn momenteel verschillende vereiste best practices (in detail beschreven op de Pagina Programmaniveaus):
- Beloning op Triage
- Volledige beloning omzeilt
- Iets zien, iets zeggen
- Beloning voor waarde
- Minimale Bounty-tabel
Zodra een niveau is toegekend, wordt van programma’s verwacht dat ze de voor die niveaus gedefinieerde best practices blijven volgen, en programma’s zullen aan hun toezegging worden gehouden als er een bemiddeling met een best practice ontstaat. HackerOne werkt met elk programma dat moeite heeft om de best practices op het niveau te houden om de zaken op het goede spoor te houden, maar uiteindelijk kan een programma worden gedowngraded als het consequent niet aan de niveaunormen voldoet.
Een flexibel raamwerk voor continue verbetering
Deze best practices hebben allemaal een overkoepelend doel: beveiligingsbevorderende rapporten van hackers correct identificeren en eerlijk belonen, waardoor meer betrokkenheid wordt aangemoedigd en een deugdzame beveiligingscyclus wordt gecreëerd.
We zijn enthousiast over het potentieel van dit nieuwe raamwerk voor programmaniveaus om programma-rijping verder mogelijk te maken, meer transparantie te bieden voor hackers en te evolueren door middel van extra niveaus en voordelen (blijf op de hoogte!).
Als je opleiding dit proces wil starten, neem dan contact op met je CSM.