Wir freuen uns, die Transform 2022 am 19. Juli und virtuell vom 20. bis 28. Juli wieder persönlich zu präsentieren. Nehmen Sie an aufschlussreichen Gesprächen und spannenden Networking-Möglichkeiten teil. Registrieren Sie sich heute!


Heute ist das Verteidigungsministerium (DoD) gaben bekannt, dass das Chief Digital and Artificial Intelligence Office (CDAO), das Directorate for Digital Services und das Department of Defense Cyber ​​​​Crime Center (DC3) das Bug-Bounty-Programm „Hack US“ starten.

Das Programm bietet finanzielle Belohnungen für ethische Hacker und Sicherheitsforscher, die kritische und schwerwiegende Schwachstellen im Rahmen der DoDs identifizieren können Programm zur Offenlegung von Schwachstellen.

Um Forscher zur Teilnahme zu ermutigen, bietet das Verteidigungsministerium insgesamt 110.000 US-Dollar für die Offenlegung von Schwachstellen an. Die Auszahlungen liegen zwischen 1.000 US-Dollar für Berichte mit kritischem Schweregrad, 500 US-Dollar für Berichte mit hohem Schweregrad und 3.000 US-Dollar für Berichte in zusätzlichen Sonderkategorien.

Die Entscheidung des DoD, ein Bug Bounty zu starten, kommt nicht nur, weil das DoD und HackerOne ein 12-monatiges Pilotprojekt als Teil des Defense Industrial Base Vulnerability Disclosure Program abgeschlossen haben (DIB-VDP), aber auch, da immer mehr Organisationen erkennen, dass sich die Angriffsfläche so weit vergrößert hat, dass Sicherheitsteams einfach nicht mehr mithalten können.

Warum Bug Bountys an Fahrt gewinnen

Eine der wichtigsten treibenden Kräfte hinter dem wachsenden Interesse an Bug Bounties ist die große Anzahl von Schwachstellen in modernen Unternehmensumgebungen.

Forschung schlägt vor, dass die Angriffsfläche einer durchschnittlichen Organisation ungefähr 31.066 Sicherheitslücken aufweist, eine Zahl, die ein kleines internes Sicherheitsteam nicht allein abmildern kann, selbst wenn sie Zugriff auf die neuesten Schwachstellen-Management- oder Angriffsflächen-Management-Tools haben.

Angesichts der hohen Anzahl an Schwachstellen überrascht es nicht, dass 44 % der Unternehmen Bericht dass ihnen das Vertrauen in ihre Fähigkeit fehlt, die Risiken anzugehen, die durch die Angriffswiderstandslücke entstehen.

Bug Bounties bieten eine Antwort auf diese Herausforderung, indem sie Sicherheitsteams Zugang zur Unterstützung durch eine Armee von Sicherheitsforschern verschaffen, die helfen können, Schwachstellen zu identifizieren und Korrekturen zu empfehlen.

„Es braucht eine Armee von Gegnern, um eine Armee von Verbündeten zu überlisten, und viele Organisationen nutzen die Gemeinschaft von Millionen gutgläubiger Hacker auf der ganzen Welt, die kompetent, bereit und bereit sind zu helfen“, sagte Casey Ellis, Gründer und CTO bei Bugcrowd.

„Die guten Leute bei DoD DC3 betreiben seit vielen Jahren mit großer Sorgfalt und Erfolg ein Programm zur Offenlegung von Sicherheitslücken, daher ist es sehr sinnvoll zu sehen, wie sie dies auf ein bezahltes Bug-Bounty-Programm upgraden“, sagte Ellis.

Natürlich ist das DoD nicht allein, wenn es um Crowdsourcing-Cybersicherheit geht, mit Organisationen wie Microsoft, Google, Apfel, Halb und Samsung alle experimentieren mit ihren eigenen Bug-Bounty-Programmen für Schwachstellen, um die Sicherheit ihrer Systeme und Endprodukte zu gewährleisten.

Die Bug-Bounty-Bewegung

Laut Forschern ist die globalen Bug-Bounty-Markt befindet sich in einem Wachstumsstadium, das 2020 mit 223,1 Millionen US-Dollar bewertet wurde und bis 2027 voraussichtlich 5.465,5 Millionen US-Dollar erreichen wird.

Allein in den letzten 12 Monaten hat der Bug-Bounty-Markt eine erhebliche Investitionstätigkeit erlebt, mit Bug-Bounty-Organisationen wie HackerOne Berichten zufolge wurden 49 Millionen US-Dollar eingesammelt Finanzierungmit Sitz in Belgien Integrieren sammelte $ 23 Millionen im Rahmen einer Reihe B Round und die Web3-Bug-Bounty-Plattform Immunefi sammelten 5,5 Millionen US-Dollar ein Seed-Finanzierung.

Gleichzeitig haben auch andere Anbieter neue Crowd-Research-Initiativen gestartet, wie z 1Passwortdie den Start von 1 Million Dollar ankündigte Fehlerprämie die ab April 103.000 Dollar an Forscher ausgezahlt hat.

Diese Lösungen wecken das Interesse der Investoren. „Effektive Bug-Bounty-Programme begrenzen die Auswirkungen schwerwiegender Sicherheitslücken, die den Kundenstamm eines Unternehmens leicht hätten gefährden können“, sagte Ray Kelly, Fellow bei Synopsys Software-Integritätsgruppe.

„Auszahlungen für Fehlerberichte können manchmal sechsstellige Summen überschreiten, was nach viel klingen mag. Die Kosten für eine Organisation zur Behebung und Wiederherstellung einer Zero-Day-Schwachstelle könnten sich jedoch auf Millionen von Dollar an entgangenen Einnahmen belaufen“, sagte Kelly.

Auf der anderen Seite des Zauns experimentieren sogar berüchtigte Cyber-Gangs wie LockBit mit Bug-Bounties und fordern Forscher und Hacker auf, PII über hochkarätige Personen und Web-Exploits gegen eine Vergütung von bis zu 1 Million US-Dollar einzureichen.

Der Bug-Bounty-Markt: Top-Spieler und wichtige Unterscheidungsmerkmale

In dieser Phase des Marktwachstums ist HackerOne einer der führenden Anbieter, der nicht nur eine enge Beziehung zum Verteidigungsministerium aufbaut, sondern auch 160 Millionen US-Dollar gesammelt hat Gesamtfinanzierung bis heute und unterhält eine Community von über 1.000.000 ethischen Hackern, die bis heute über 294.000 Fehler behoben haben.

HackerOne bietet eine Bug-Bounty-Plattform, mit der Organisationen ein Inventar von Cloud-, Web- und API-Assets erstellen können, das andere Forscher dann testen können, um festzustellen, ob es Schwachstellen gibt.

Einer der Hauptkonkurrenten von HackerOne auf dem Markt ist Bugcrowd, ein Pionier der Branche, der selbst 80 Millionen US-Dollar eingesammelt hat Finanzierungund bietet eine Plattform, die Schwachstellen in der Angriffsfläche einer Organisation automatisch identifizieren kann.

Nach dem Erkennen von Schwachstellen kann die Plattform Unternehmen mit Forschern und Sicherheitsingenieuren verbinden, um ihre Erkenntnisse über die Schwachstelle zu untersuchen und direkt in bestehende Entwicklungs- und Sicherheits-Workflows zu melden.

Andere Anbieter auf dem Markt sind der europäische Bug-Bounty-Anbieter Intigriti, der eine Plattform mit über 50.000 Forschern bietet und bisher über 5 Millionen US-Dollar an Prämien ausgezahlt hat.

In dieser Phase ist das Hauptunterscheidungsmerkmal zwischen diesen Anbietern nicht nur die Größe des Pools von Forschern, zu denen sie Zugang bieten, sondern auch die Mittel, mit denen sie Unternehmen mit den richtigen Forschern verbinden, um ihre Umgebungen zu sichern.

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Erfahre mehr über die Mitgliedschaft.

Leave a Comment