バグ報奨金プラットフォームは企業に脆弱性開示ポリシーの必要性を促す

  • Nov 01, 2023

組織は、誰もがセキュリティ ホールを報告できる適切なチャネルを提供するために、脆弱性開示ポリシーを策定する必要があります。 YesWeHack のアジア太平洋担当責任者は、自社のシステムではこれがバグ報奨金の実施よりも重要であると主張していると述べています。 プログラム。

組織は、誰もがシステムの脆弱性を報告できる適切なチャネルを提供する必要があります。 これにより、潜在的なセキュリティ ホールが悪用される前に特定され、塞がれることが保証されます。

脆弱性開示ポリシー (VDP) を確立すると、セキュリティ研究者など、誠実に行動する人に次のことを保証することにもなります。 バグ報奨金プラットフォームのアジア太平洋マネージングディレクターであるケビン・ギャレリン氏は、脆弱性を報告しても訴追されることはない、と述べた。 はい、WeHackです。

実際、そのようなポリシーを作成することは、バグ報奨金プログラムを実行するよりも重要であるとギャレリン氏はZDNetのビデオインタビューで述べた。 同氏は、今日、より多くの企業が VDP の必要性を受け入れていると指摘し、「安全で明確なフレームワーク」について詳しく説明しました。 セキュリティの脆弱性に関するどの情報を送信できるか、またこれらの情報はセキュリティ内でどのように処理されるべきか 組織。

こちらも参照

ゼロトラスト、基本的なサイバー衛生はサードパーティの攻撃に対する最善の防御です

サプライチェーンの安全性を確保するためにサードパーティのサプライヤーに委託するのではなく、組織はゼロトラスト セキュリティ戦略を採用し、データを保護するための基本的なサイバー衛生を確立する必要があります。

今すぐ読む

適切なポリシーが設定されていないと、セキュリティ研究者は脆弱性を報告する傾向が薄れる可能性があります。 そうしたとしても、組織の従業員には必要なことについての指導がなかったため、返答が得られない可能性があります。 する。

「最終的に脆弱性が悪用されるまで、情報は失われ、忘れ去られます」とガレリン氏は述べ、適切な VDP が必要であると付け加えた セキュリティ問題を報告するための構造化されたチャネルを提供し、影響を受ける組織のリスクを軽減するために時間を短縮します。 修復。 「私たちはこれを強く支持します。」

YesWeHack のサービス内容には、企業の VDP 確立の支援、統合 内部ワークフローによる脆弱性管理、およびその変更のレビューと推奨 既存の VDP。

ギャレリン氏によると、このベンダーは、中国、インドネシア、オーストラリアを含むこの地域で、バグ報奨金サービスと VDP サービスの両方に対する需要が高まっていると見ていたという。

このベンダーはフランスに本社を置き、シンガポールにオフィスを構えており、現在は バグ報奨金プログラムの実行 東南アジアの電子商取引事業者向け、 ラザダ、中国の通信機器メーカー、 ZTE. 同社の顧客ベースの約 30% はこの地域にあり、そのうちの半分はシンガポールにあります。

ギャレリン氏は米ZDNetに対し、YesWeHackはアジア太平洋地域が世界の半分を占めることを目標にしていると語った。 顧客は、バグ報奨金プラットフォームが現在約 10,000 人のセキュリティ研究者と協力していると付け加えました。 地域。 25,000 人を超えるセキュリティ研究者からなるグローバル ネットワークを持っています。

同社のトリアージ チームは、シンガポールとフランスのフルタイム従業員で構成されており、時間を分割してトリアージを行い、提出されたデータを評価します。 バグ報奨金プログラム -- 社内導入のための研究開発プロジェクトやハンター向けツールのサポート コミュニティ。

同氏によると、同社は以前、Lazada向けに非​​公開のバグ報奨金プログラムを実施しており、バグハンターに15万ドルの報奨金が支払われたが、確認された脆弱性の数については明らかにしなかった。 ギャレリン氏によると、この電子商取引運営者は小規模な非公開のバグハンティング活動から始めて、徐々に規模を拡大し、先月YesWeHackによる公的バグ報奨金プログラムを立ち上げたという。

同氏は、アジアのほとんどの企業は、米国や欧州の企業と比較して、企業の規模が低いと指摘した。 システムの潜在的な脆弱性について話し合うことに抵抗がなく、非公開のバグ報奨金を実行することを好みます。 プログラム。 しかし、彼らは、自分たちのチームが見落としていたセキュリティホールが存在する可能性があることに気づき、潜在的な脆弱性を特定して解決する方法としてバグ報奨金プログラムを検討したと同氏は述べた。

ここでの主な目的は潜在的なデータ侵害を防ぐことであり、これはアジア諸国の共通の懸念であると彼は付け加えた。 特に今日の企業は大量の個人顧客を収集し、管理することが増えているため、 データ。

Gallerin 氏によると、YesWeHack のハッカー コミュニティは少なくとも 1 つの重要なファイルを発見することができました。 ほとんどのバグ報奨金プログラムでは、ユーザー データやインフラストラクチャへの完全なアクセスを可能にする脆弱性が存在します。 それは走った。

関連記事

  • シンガポール政府、新たなバグ報奨金を実施へ
  • アジア太平洋地域の企業がサイバー攻撃の増加に直面、修復に1週間以上かかる
  • シンガポール企業のほとんどがデータ侵害を経験し、5G導入を懸念
  • APAC企業の4社に1社はセキュリティ侵害を受けたかどうか不明
  • APAC企業はサイバーセキュリティアプローチを変革する必要がある