A medida que los ciberataques aumentan exponencialmente y el costo de mantener equipos internos de seguridad dedicados se dispara, la popularidad de los programas de “recompensas por errores” (que ven a hackers externos pagados por organizaciones para exponer legalmente vulnerabilidades de ciberseguridad) está explotando.
Organizaciones grandes y pequeñas están ejecutando programas para erradicar las vulnerabilidades de seguridad en sus productos. Los gobiernos y los responsables de políticas están cambiando las leyes para facilitar la adopción de este enfoque, mientras que los gigantes tecnológicos del sector privado también están ofreciendo generosas recompensas; solo Apple ha pagado más de $20 millones a través de su programa de recompensas, y el proveedor ofrece hasta $2 millones a cualquier hacker que informe sobre una vulnerabilidad que eluda las protecciones del Modo de Bloqueo en sus dispositivos.
Es un enfoque que se alinea perfectamente con la filosofía de Zabbix de “seguridad primero”, y es por eso que, tan pronto comenzó el año 2023, comenzamos a trabajar con HackerOne, el líder mundial en gestión de resistencia a ataques (ARM por sus siglas en inglés). ARM combina la experiencia en seguridad de hackers éticos con el descubrimiento de activos, la evaluación continua y el mejoramiento de procesos para encontrar y cerrar brechas en la superficie de ataque digital.
Tabla de contenidos
¿Por qué HackerOne?
Sabíamos desde el principio que queríamos crear un bug bounty program (programa de recompensas por errores) específico de Zabbix que desafiaría a los mejores hackers éticos del mundo a encontrar los puntos débiles en nuestra armadura de ciberseguridad, y hacérnoslo saber a tiempo para solucionarlo.
Una de las mayores ventajas de la plataforma HackerOne es la amplia y diversa comunidad de expertos a la que pueden llamar. Agregar a Zabbix a la plataforma de HackerOne fue una oportunidad de oro para probar nuestra seguridad y vulnerabilidades a una escala que anteriormente ni siquiera podíamos imaginar.
En contraste con una prueba de penetración individual, que es la medida de seguridad estándar “antigua” de la industria y se realiza basada en un escenario pre-preparado, sabíamos que los expertos de HackerOne podrían descubrir vulnerabilidades que una prueba de penetración común y corriente nunca encontraría.
Al mismo tiempo, sabíamos que agregar a Zabbix a HackerOne era una decisión audaz que pondría a prueba nuestra fe en la seguridad de nuestro producto. En pocas palabras, asociarnos con HackerOne era nuestra forma de confirmar la calidad de Zabbix y nuestro deseo de mejorarlo constantemente.
Comenzando
Hace mucho tiempo que sabemos que HackerOne era el socio ideal para un programa de recompensas por errores, dada su reputación de innovación y efectividad. Después de un acercamiento inicial y un acuerdo entre HackerOne y Zabbix, era momento de considerar cómo sería exactamente un programa de recompensas por errores de Zabbix.
Estaba claro para todos los involucrados que si la notificación de vulnerabilidades iba a ser significativa y estructurada, necesitábamos desarrollar nuevos flujos de trabajo que proporcionarían un procedimiento para procesar las solicitudes recibidas y entregarlas para el desarrollo. Otro paso crítico fue registrarse en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE), donde actualmente se registran todas las vulnerabilidades descubiertas en Zabbix.
Los resultados
Nos complace informar que, como con cualquier implementación exitosa, los números hablan por sí mismos:
Datos del período 01.01.2023 – 25.01.2024
Envíos
- Informes presentados: 250
- Informes clasificados (triaged): 3
- Informes cerrados como resueltos: 16
- Informes recompensados: 19
Recompensas
- Total de recompensas: $17,300.00
- Recompensa promedio: $865.00
- Recompensa mediana: $500.00
Envíos por gravedad
- Críticos: 29
- Altos: 65
- Medios, bajos, ninguno: 108
- No graves: 48
Nos sorprendió gratamente el mero número de envíos por sí solo; no todos los 250 envíos fueron graves o incluso accionables, pero el número muestra que nuestra comunidad está participando en el programa, difundiendo la palabra y haciendo su parte para ayudarnos a asegurar que Zabbix sea lo más seguro posible. El hecho de que pudimos “aplastar” varios errores que ahora nunca tendrán la oportunidad de atormentar a nuestros usuarios es solo la cereza del pastel.
Los resultados son impresionantes, pero en línea con el ethos de Zabbix de mejora continua, estamos seguros de que con algunos refinamientos podemos pagar aún más en 2024. Después de todo, cualquier dinero que se destine a construir un producto mejor y más seguro ¡es dinero bien gastado! Nos gustaría cerrar extendiendo un agradecimiento especial y sincero a todos los que han contribuido a nuestro programa de recompensas por errores y descubierto vulnerabilidades; ¡sigan con el excelente trabajo!