Intigriti, especialista en pruebas de penetración y piratería ética, lanzó una herramienta de comparación de uso gratuito que cree que ayudará a los propietarios de programas de recompensas por errores a hacer coincidir sus tasas de pago con las condiciones del mercado y el sentimiento de la comunidad.
Intigriti dijo que los recién llegados al concepto de recompensas por errores a menudo tienen dificultades para decidir qué tasas de pago establecer, mientras que otros invierten tiempo y esfuerzo en crear el “programa perfecto de recompensas por errores” solo para descubrir que se les pasa por alto en un mercado en rápido crecimiento.
Su nueva calculadora Bug Bounty supuestamente permitirá a los creadores de programas optimizar su programa de divulgación de vulnerabilidades y ayudará a garantizar que llame la atención de los piratas informáticos éticos.
“Cualquiera puede configurar un programa de recompensas por errores, pero si no está seguro de lo que está haciendo, puede pagar demasiado por las vulnerabilidades”, dijo Inti de Ceukelaire, jefe de piratas informáticos de Intigriti. “Aún peor, establezca sus recompensas demasiado bajas y es posible que no atraiga a ningún investigador.
“Nuestra experiencia nos muestra que los investigadores están muy atentos a los pagos. Es importante encontrar el punto óptimo para garantizar que su programa siga siendo una propuesta atractiva y, si paga por debajo del valor de mercado, no atraerá a los mejores piratas informáticos”.
La calculadora permitirá a los usuarios comparar sus tasas de recompensa con el promedio de la industria e indicar qué nivel de experiencia en piratería ética podrían atraer sus niveles de recompensa.
Desarrollado por piratas informáticos y actualizado regularmente para reflejar las fluctuaciones del mercado u otros problemas cibernéticos, incorpora datos anónimos de más de 400 programas públicos de recompensas por errores existentes en 18 industrias, y permite a los usuarios tener en cuenta variables adicionales más detalladas, como su apetito por el riesgo. y niveles de madurez de seguridad.
Intigriti dijo que esto hará que sea mucho más fácil para los usuarios encontrar información específica que se compare con la de sus competidores.
Los programas de recompensas por errores pueden diferir ampliamente en su escala y alcance, por lo que vale la pena conocer las tasas de pago óptimas en varios sectores.
Por ejemplo, según los datos de Intigriti, las industrias de servicios financieros y blockchain son las que mejor pagan en promedio, mientras que los servicios de atención social y de salud de alto riesgo pueden esperar pagar $ 4,000 por una vulnerabilidad crítica, en comparación con $ 2,600 en todo el sector público. .
La planificación y gestión de los programas de recompensas por errores es importante porque uno mal diseñado puede generar más problemas de los que resuelve.
Rob Shapland de Falanx Cyber, una consultora de seguridad basada en Reading, escribió en el sitio hermano de ComputerWeekly, SearchSecurity, y dijo que es fácil que los costos se salgan de control si resulta que existen múltiples vulnerabilidades dentro del alcance del programa, y se sabe que los equipos se vuelven inundado de informes gracias a un aumento de piratas informáticos éticos que prueban sus redes.