Cégeknek
A bug bounty olyan legális információbiztonsági programot jelent, amely során egy szervezet jutalmat ad a tesztelőknek a szolgáltatásukban talált sérülékenységekért/hibákért.
A HACKTIFY egy Bug Bounty és sérülékenység közzétételi platform, ami összeköti a cégeket az etikus hackerekkel. A szervezetek tesztelendő szolgáltatásainak részleteit és a tesztelési szabályokat feltöltjük az oldalunkra. A beregisztrált etikus hackerek láthatják ezeket és legális úton sérülékenységeket kereshetnek és jelenthetnek az oldalon keresztül.
Publikus program: az oldalon regisztrált összes etikus hacker számára nyitott program. Bárki tesztelhet, találhat hibát és jelentheti a sérülékenységeket az oldalon keresztül.Privát program: Az ügyfél által kiválasztott kiberbiztonsági szakemberek bevonása, nem elérhető minden beregisztrált számára. Általában magasabb jutalom fizetésével jár – a hackerek számára pedig nagyobb megbecsülést jelent az ezeken való részvétel.
Helyszíni: a legdiszkrétebb program típus – a nyitó szervezet helyszínén és labor környezetében kerül sor a megoldásának tesztelésre a kliens által kiválasztott szakemberek által. Ezt a szolgáltatás típust még nem aktív termékek/rendszerek vagy fizikai eszközök teszteléséhez ajánljuk.
Oldaladat akkor is feltörhetik, érhetik rosszindulatú támadások, ha nincs bug bounty programod. Sőt, így még arról sem értesülsz, hogy milyen módon hatoltak be a rendszeredbe, mit loptak el, valamint még bírságot is fizethetsz, ha az adatszivárgás kiderül. Egy publikus bug bounty program kockázata nem különbözik a behatolási teszt (penetration teszt) kockázataitól.
A sérülékenység közzétételi irányelv (angolul: Vulnerability Disclosure Policy) cégeknek egy fontos dokumentuma, ami leírja annak a folyamatát, hogy a szolgáltatásukban talált sérülékenységeket hogyan tudja a megtaláló (etikus hacker) bejelenteni. Ha ez jelenleg nem létezik a szervezetednél vedd fel velünk a kapcsolatot! Segítünk, hogy legyen a cégednek ilyen irányelve, sőt a platformunkat is felajánljuk a hibák bejelentéséhez a folyamat részeként.
Minden rendszer egyedi komplexitással rendelkezik, ezek mindegyike tartalmazhat különböző kritikusságú sérülékenységeket, sőt minden nap újabb és újabb hibák jelennek meg melyeket általában pár napon belül ki is tudnak használni a rosszindulatú hackerek. Jobb, ha a megelőzzük őket és magunk derítjük fel a rendszerünk gyenge pontjait, hogy ezeket befoltozva biztonságosabbá váljon cégünk és elkerüljük a veszteségeket, büntetéseket.
Többféle Hacker típust különböztethetünk meg, melyek közül oldalunkra olyan információvédelmi szakemberek regisztrálnak be, akiknek van tapasztalata tesztelésben, s elfogadják a tesztelésre vonatkozó szabályokat, használati feltételeket, így ezen személyek etikus hackerként végzik a teszteléseket.
Folyamatos tesztelés várható a hacker közösség által. Segítünk a program elindításában és üzemeltetésében. Minden szolgáltatásunk tartalmazza a bug riport validálását, így céged már egy ellenőrzött jelentést kap – nem kell azzal foglalkoznod, hogy a hiányos riportokat visszaküld hiánypótlásra. Mi végezzük a marketing tevékenységet, hackereket keresünk számodra. Magyar hackerek esetén intézzük a megbízással járó munkaügyi és könyvelési tevékenységeket, bejelentéseket.
Publikus és privát program esetén minden kommunikáció a Hacktify csapattal történik, így nem kell a hackerekkel kapcsoltba kerülnöd.
Természetesen titoktartási kötelezettség mellett gondoskodunk arról, hogy a sérülékenységek csak az arra felhatalmazottak számra legyen hozzáférhető, valamint honlapunk titkosítási megoldásokkal segíti ennek betartását. A hackerek számára is több helyen felhívjuk a figyelmet arra, hogy nem hozhatnak nyilvánosságra semmilyen információt – és velük ezt szerződés formájában is rögzítjük.
Az etikus hackerek komoly képzettséggel rendelkező szakemberek a piacon, sokkal többe kerül, ha céged bízza meg őket és úgy végeztetsz behatolás tesztet. Bug bounty program esetén egy hatalmas közösség fogja tesztelni a cégedet, mindez egyénileg idő – és erőforrás igényes lenne.
