Embora o Gartner ainda não tenha um Magic Quadrant dedicado para Bug Bounties ou Crowd Security Testing, o Gartner Peer Insights já lista 24 fornecedores na categoria "Application Crowdtesting Services".
Para quem não está familiarizado com o termo: bug bounty é um programa de premiação mantido por empresas como Facebook e Google, por exemplo, para premiar pesquisadores e desenvolvedores que descobrem vulnerabilidades nas suas aplicações.
Compilamos as 5 plataformas de recompensa de bugs mais promissoras para aqueles que desejam aprimorar seu arsenal de teste de software existente com o conhecimento e a experiência de pesquisadores de segurança internacional:
1 - HackerOne
O HackerOne é provavelmente a marca Bug Bounty mais conhecida e reconhecida do mundo. De acordo com seu relatório anual, mais de 1.700 empresas confiam na plataforma HackerOne para aumentar suas capacidades de teste de segurança de aplicativos internos. O relatório também afirma que seus pesquisadores de segurança ganharam aproximadamente US $ 40 milhões em recompensas somente em 2019 e US $ 82 milhões cumulativamente.
O HackerOne também é famoso por hospedar programas Bug Bounty do governo dos EUA, incluindo o Departamento de Defesa dos EUA e os programas de divulgação de vulnerabilidades do Exército dos EUA. Como alguns outros fornecedores comerciais de Bug Bounties e Vulnerability Disclosure Programs (VDP), o HackerOne agora também oferece serviços de pentest recheados de pesquisadores de segurança avaliados de todo o mundo. HackerOne tem um sólido portfólio de certificações de segurança, incluindo ISO 27001 e autorização FedRAMP.
2 - BugCrowd
Fundado pelo especialista em segurança Casey Ellis, o BugCrowd é provavelmente a plataforma Bug Bounty mais criativa e inventiva. BugCrowd promove ativamente não apenas os serviços tradicionais de teste de segurança, mas também gerenciamento de superfície de ataque e um amplo espectro de serviços de pentest para IoT, API e até mesmo rede, ficando à frente de seus concorrentes no mercado de trabalho com um rápido crescimento.
BugCrowd é famoso por hospedar programas Bug Bounty para gigantes da indústria como Amazon, VISA e eBay, bem como a venerada associação de educação em segurança cibernética (ISC) ².
3 - OpenBugBounty
O projeto OpenBugBounty está em ascensão e é a única plataforma Bug Bounty em nossa lista sem fins lucrativos. Com mais de 1.200 programas Bug Bounty ativos, o OpenBugBounty também permite a divulgação coordenada de problemas de segurança em qualquer site se as mesmas foram detectadas por meios não intrusivos. A criação do programa Bug Bounty é totalmente gratuita e os proprietários do site não são obrigados a fazer pagamentos em dinheiro aos pesquisadores - mas são encorajados a pelo menos agradecer aos pesquisadores e fornecer uma recomendação pública por seus esforços.
OpenBugBounty hospeda programas Bug Bounty para empresas como A1 Telekom Austria e Drupal, com mais de 20.000 pesquisadores de segurança e quase 800.000 vulnerabilidades de segurança enviadas até agora. A plataforma afirma que suas políticas e processos de divulgação são baseados no padrão ISO 29147.
4 - SynAck
Apoiado por muitos fundos de capital de risco renomados, incluindo Intel Capital e Kleiner Perkins, SynAck foi nomeada empresa "CNBC Disruptor" quatro vezes consecutivas, de 2015 a 2019. SynAck está no topo das plataformas comerciais Bug Bounty, também mencionadas no Top 25 Enterprise Software Startups da Gartner .
Fundada por Jay Kaplan e Mark Kuhr, visionários de segurança e veteranos de renome das agências de segurança nacional dos EUA, a SynAck oferece uma equipe de elite de pesquisadores de segurança cibernética exaustivamente avaliados, conhecida como "Red Team" (SRT). De acordo com a SynAck, o grupo SRT é composto por especialistas em segurança com experiências.
5 - YesWeHack
A única empresa europeia de divulgação de vulnerabilidades e Bug Bounty, YesWeHack atrai com eficiência empresas baseadas na UE cuja principal preocupação é a privacidade e proteção de dados. Recentemente, a YesWeHack anunciou um crescimento recorde de 250% durante 2020 na Ásia, demonstrando que as startups europeias são capazes de crescer globalmente.
Semelhante ao BugCrowd, o YesWeHack está bem preparado para investir em seu capital humano. No ano passado, lançou um programa de treinamento para ajudar os caçadores de Bug Bounty a aprimorar suas habilidades de hacking com a plataforma YesWeHack DOJO. Ele apresenta cursos introdutórios e desafios de treinamento com foco em vulnerabilidades de segurança específicas e playgrounds.
Com o DOJO, pesquisadores de segurança de todo o mundo podem aprimorar suas habilidades em testes de segurança de software. Por fim, YesWeHack demonstra de forma persuasiva a sua capacidade de atrair clientes europeus de renome, como o conglomerado francês OVH.
6 - BugHunt
Uma empresa 100% tupiniquim e que possui o mesmo estilo de trabalho das demais já apresentadas. A BugHunt está em conformidade com os mais rigorosos padrões e regulamentos nacionais e internacionais para proteger os interesses de seus clientes e especialistas.
Na plataforma a empresa pode definir o escopo que necessita para testar seus produtos. Para pequenas e médias empresas, abrir um bug bounty na BugHunt custará bem menos do que contratar um pentest. A empresas poderão abrir programas em duas modalidades: pública e privada. Na primeira, o programa estará exposto para qualquer participante da plataforma – a participação é gratuita. Na segunda, há um custo de participação porque a empresa pode escolher profissionais na lista dos dez melhores hackers da BugHunt.
Nenhum comentário:
Postar um comentário