red seguridad 075

74 red seguridad cuarto trimestre 2016 vulnerabilidades opinión Manuel Santamaría López Cybersecurity Manager de Tarlogic Í Delimita el alcance de las prue- bas pudiendo cubrir desde todos los activos expuestos a Internet hasta una sola URL. Í Posibilidad de utilizar entornos de pruebas sin datos reales. Í La plataforma se encarga de dis- tribuir las credenciales de prueba entre los participantes. 2 . Valoración económica de la vulne- rabilidad: Í El cliente decide el precio de cada vulnerabilidad en base a la criticidad de las mismas. Para ello se utiliza la metodología de clasificación de riesgos CVSS2. Í El sistema de “ safe loss ” estable- ce un presupuesto máximo para el programa, haciendo que éste finalice automáticamente cuando el valor de las vulnerabilidades recibidas alcance el límite esta- blecido. 3 . Elección de los participantes: Í Comunidad privada de investiga- dores, el acceso a la plataforma está restringido por invitación a personas con referencias, que aceptan los términos de servicio al darse de alta. Í Sistema de clasificación de los investigadores en base a sus conocimientos por cada tecno- logía. Í Calificación en base a un sistema de reputación, por la calidad de ridad y a recibir reportes de vulnera- bilidades de investigadores anónimos con los que no se han firmado con- diciones, ni acuerdos previos y sin tener de antemano un presupuesto definido para un proyecto con alcance acotado. Con frecuencia los bug bounties se realizan sin límite de participantes, duración y alcance, siendo habitual que los objetivos sean sistemas en producción que gestionan datos rea- les. Estas características constituyen su mayor fortaleza y, a su vez, lo que genera más preocupación. Servicio de Tarlogic Tarlogic, en colaboración con la pla- taforma de gestión de bug bounties privados de Yogosha, ofrece un ser- vicio que preserva los beneficios de este tipo de programas, a la par que modera las principales preocupacio- nes de los responsables de seguri- dad. Este servicio permite la realización de programas de bounty privados, a los que se invita a los investigado- res de seguridad más reputados del mundo, y que serán supervisados y coordinados por el equipo de ciber- seguridad de Tarlogic. La puesta en marcha de este servicio consta de los siguientes pasos: 1 . Definición de los activos que com- ponen el alcance del bug bounty : 'Bug bounty': evoluciona tu inversión en ciberseguridad L os programas de recompensa por vulnerabilidades, conocidos como bug bounties o VRP ( Vulnerability Reward Program ), recompensan la labor de los hackers que descubren y notifican vulnerabilidades en los siste- mas informáticos de las organizacio- nes siguiendo un código de buenas prácticas denominado Responsible Disclosure , evitando que las vulnera- bilidades se hagan públicas antes de haber sido corregidas. Organizar este tipo de programas de recompensas como método com- plementario al pentesting tradicional, tiene evidentes beneficios para las organizaciones: - Pone a disposición de la empresa un equipo de investigadores ilimita- do. - No existe un coste de lanzamiento. Sólo se paga por resultados (cero vulnerabilidades igual a cero euros). - Agiliza el descubrimiento de pro- blemas de seguridad en los siste- mas. - Transmite liderazgo y madurez en el sector. La estrategia de apoyarse en bug bounties para descubrir vulnerabili- dades en los sistemas de informa- ción está cada vez más extendida en Europa. Aunque, encontramos con frecuencia que entre los CIO y CISO existen reticencias a convertirse en un objetivo de investigadores de segu-