El programa de la Fuerza Aérea de EE.UU contempla la expansión después de asociarse con Bugcrowd

La Fuerza Aérea de EE.UU. A considerado una expansión de sus esfuerzos de recompensa por errores esto después de asociarse con Bugcrowd en un programa piloto de 3 meses para su plataforma en la nube.

Esto después de su programa piloto de 3 meses la empresa de Bugcrowd, la Fuerza Aérea esta considerando una expansión de esfuerzos de recompensa de errores para tiempo de compromiso mas largo.

El mes pasado Bugcrowd anuncio sus programas de recompensa de errores de la Fuerza Aérea de EE.UU, para su plataforma en la nube, conocida por Common Computing Environment (CCE).

Esta recompensa de errores que comenzó en el mes de marzo, en el que incluyó 6 fases diferentes para el CCE, que se basa tanto en Amazon Web Services (AWS) como en Microsoft Azure. Las fases incluyeron análisis de código fuente, pruebas de entorno de AWS, pruebas de entorno de Azure, evaluación de autenticación de red de caja negra, compromiso de ingeniería social y pruebas de portal de la Fuerza Aérea.

Este programa fue administrado por Bugcrowd en el que invito a mas de 50 investigadores de seguridad y cazadores de errores previamente aprobados y descubrió 54 vulnerabilidades dentro de CCE durante solo 3 meses. Se pagó un total de $ 123,000 a los investigadores, incluido un premio máximo de $ 20,000.

James Thomas, del Servicio Digital de la Fuerza Aérea, que forma parte del Servicio de Defensa Digital (DDS), dijo a SearchSecurity que las vulnerabilidades más importantes involucraban problemas de control de acceso que permitían a los investigadores obtener roles y configuraciones a las que no estaban asignados. Los envíos de recompensas de errores de la Fuerza Aérea fueron abordados y parcheados de inmediato, y Thomas dijo que el equipo de DDS aprendió lecciones valiosas del programa de tres meses, que fue la recompensa de errores más larga hasta la fecha para la Fuerza Aérea.

“Esto es especialmente interesante porque era la primera vez que trabajábamos con Bugcrowd”.

Thomas

“Y fue otra primicia porque tradicionalmente nuestras evaluaciones duran unas cuatro semanas. Eso es lo que hemos determinado que es un buen indicador para nosotros”.

Thomas

Ahora el equipo de DDS está buscando expandir sus esfuerzos de recompensas de errores de la Fuerza Aérea con programas que se ejecutarán por períodos más largos de tiempo y posiblemente indefinidamente.

“La Fuerza Aérea está muy interesada en analizar el aspecto de una perspectiva de monitoreo continuo: quieren tener acceso donde se prueba continuamente su entorno”

Thomas

“Pero no sabíamos cómo es eso, así que este es nuestro primer intento de darle una oportunidad. Obtuvimos muchas buenas lecciones aprendidas de él. Este es un gran modelo al que honestamente vamos para centrarse en el futuro “.

Thomas

DDS confirmó que continuará trabajando con Bugcrowd ahora que el programa inicial de recompensas de errores de la Fuerza Aérea ha concluido. Thomas dijo que la Fuerza Aérea probablemente lanzará programas similares antes de explorar compromisos más largos.

“Creo que sabemos cómo se ve un buen modelo en el futuro”, dijo. “Pero al mismo tiempo, creo que necesitamos ejecutar un par más de estos en conjunto para probarlo”.

Más allá de compromisos más largos para la Fuerza Aérea, el equipo del Servicio de Defensa Digital ha discutido otras vías. Alex Romero, experto en servicios digitales de DDS que también ayudó a administrar la recompensa de errores de CCE, dijo que le gustaría ver a los contratistas de GSA realizar sus propias recompensas de errores antes de comprometer al gobierno.

El fundador, presidente y director de tecnología de Bugcrowd, Casey Ellis, dijo que el DDS y la Fuerza Aérea estaban ansiosos por ejecutar un programa de recompensas de errores para el CCE y que “lo tomaron con ambas manos y corrieron con él”. Agregó que la Fuerza Aérea, y los clientes gubernamentales en general, merecen estar en la conversación sobre organizaciones que ejecutan recompensas de errores efectivas e incorporan tanto informes de vulnerabilidad como comentarios de los investigadores en sus programas.

“Lo increíble del programa de la Fuerza Aérea fue que las personas con las que trabajábamos lo entendieron. Fueron reflexivos, ofrecieron ideas y escucharon nuestra experiencia

Ellis

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: