I programmi Bug Bounty sfruttano le competenze di hacker etici e specialisti per trovare le vulnerabilità all’interno di un sistema informatico prima che lo faccia il cyber crime in cambio di ricompense in denaro

Bug Bounty

È sotto gli occhi di tutti: oggi uno degli elementi più critici per ogni tipo di azienda è la cybersicurezza. In un mondo dove essere attaccati non è più una questione di se ma di quando, investire in strumenti per la protezione dei propri apparati aziendali è diventata una priorità. Un messaggio che sembrano stare recependo anche le aziende italiane che seppur impossibilitate a investire in maniera massiccia stanno comunque incrementando i budget da destinare alla sicurezza. Ma i vendor Ict immettono davvero sul mercato soluzioni efficaci e sicure?

Una domanda più che lecita dopo che sono balzati agli onori della cronaca casi come il recente Log4Shell, che ha attirato l’attenzione su uno degli aspetti più spesso sottovalutati: la possibilità che una soluzione informatica contenga al suo interno bug che la possano rendere vulnerabile e che insieme rendano vulnerabili le aziende che la scelgono. Ecco perché oggi sul mercato sono sempre più diffuse le figure degli ‘hacker etici’, specialisti che vengono ingaggiati dai vendor stessi per ‘testare’ i loro sistemi e individuare eventuali falle in maniera tale da correre ai ripari il più rapidamente possibile, prima che questa debolezza possa essere sfruttata dai criminali informatici generando potenzialmente danni incalcolabili. Addirittura, esistono degli appositi programmi, definiti Bug Bounty, che derivano dall’accordo proposto da numerosi siti internet e sviluppatori software grazie al quale un individuo può ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi ad exploit e vulnerabilità. Questi programmi permettono agli sviluppatori di scoprire e risolvere bug prima che siano di dominio pubblico, impendendo così che queste problematiche abbiano un impatto di vasta portata.

BugCrowd: la sicurezza è servita

Tra le piattaforme Bug Bounty più creative troviamo BugCrowd, fondata dall’esperto di sicurezza Casey Ellis e famosa per ospitare programmi Bug Bounty per giganti del settore come Amazon, VISA e eBay. BugCrowd promuove attivamente non solo i tradizionali servizi di test di sicurezza, ma anche la gestione di un attacco e servizi di penetrazione per IoT, API e persino reti.

Ma come funziona in concreto BugCrowd? BugCrowd mette a disposizione la sua tecnologia per testare i sistemi ed elargisce delle ricompense per trovare i bug riducendo il rischio e minimizzando i danni: facendo trovare prima le vulnerabilità da parte di personale specializzato al proprio servizio i cyber attaccanti avversari non avranno alcuna chance di penetrare nel sistema facendo danni. Più in dettaglio BugCrowd è una piattaforma SaaS all-in-one che offre crowdsourcing, triage rapido e insights basati sui dati a più casi d’uso di sicurezza, mantenendo tutte le risorse digitali sicure e resilienti durante tutto il ciclo di vita dello sviluppo del software (SDLC), alleggerendo anche il lavoro dei team di sicurezza, che molto spesso sono sovraccaricati.

Bug Crowd è conosciuto anche tra i principianti nella ricerca sulla sicurezza grazie alla sua BugCrowd University e ai suoi webinar, senza trascurare l’aspetto della formazione per clienti e ricercatori in cui la piattaforma investe molto.

Perché scegliere un programma Bug Bounty

Con i programmi Bug Bounty le aziende prestano più attenzione ai loro sistemi, aumentando la probabilità che le più grandi vulnerabilità, connaturate ad ogni soluzione, non vengano trascurate. È infatti importante sottolineare che non esiste un sistema perfetto e che pertanto è fondamentale impegnarsi per individuare e ‘sistemare’ gli inevitabili bug per fare in modo che questi non portino a maggiori danni. Per questo avere un programma Bug Bounty è importante: perché si risparmia denaro. Una violazione dei dati, infatti, può portare a danni per milioni di dollari, senza prendere in considerazione le conseguenze negative sulla brand reputation: pagare alcune migliaia di dollari mediante un programma bounty è più economico che perdere dati preziosi.

Il cacciatore di bug bounty, dal canto suo, può ottenere non solo la stima dei colleghi ma anche ricompense in denaro consistenti. Nel 2016, ad esempio, Apple annunciò che avrebbe offerto oltre 200.000 dollari agli hacker etici che avrebbero trovato vulnerabilità nei loro prodotti, ed è in buona compagnia: Facebook, Google, Microsoft, Tesla e tante altre realtà importanti usano programmi simili (Facebook ha pagato più di 4,3 milioni di dollari da quanto ha avviato il suo programma di ricompense nel 2011).