Esta semana en la serie de entrevistas El Vergecast , editor en jefe Verge conversaciones Nilay Patel a fundador y CEO de Luta Seguridad Katie Moussouris.
Moussouris tiene una larga historia en seguridad informática, trabajando en Microsoft y el Departamento de Defensa creando sus primeros programas de recompensas de errores para incentivar la captura y la notificación de errores de seguridad y vulnerabilidades en los sistemas de software.
Nilay y Katie discuten la historia de los programas de recompensas de errores, desde las primeras iteraciones hasta el estado actual de las cosas, de bueno a malo. Aunque Moussouris dice que el concepto de contratar hackers para ayudar a que las organizaciones sean más seguras tiene numerosos aspectos positivos, la comercialización de la práctica ha creado puntos ciegos y otros incentivos no intencionales.
A continuación se muestra un extracto ligeramente editado de esa conversación.
Nilay Patel: ¿Dónde están las fallas de un sistema de recompensas de errores?
Katie Moussouris: Bueno, en este momento, honestamente, las fallas, debo decir, están en la implementación comercial de las recompensas de errores. Entonces, mi empresa básicamente entra y evalúa la madurez organizacional, como, “¿Estás listo para esto? ¿Puedes manejar la verdad?
Y muchas de las preguntas que hacemos, las organizaciones dicen: “Sí, pero queremos hacer esta práctica de mejores prácticas de la industria llamada recompensa por errores. Y sabemos que haces todas estas generosas recompensas de errores. Así que solo haznos una recompensa por los errores.
Y estoy como, "Pero en realidad no has podido seguir parcheando los sistemas que sabes que están desactualizados. ¿Cómo puedes lidiar con este volumen adicional? Y dicen: "Oh, pero solo contrataremos a un proveedor de servicios de recompensas por errores, y ellos se encargarán de todo por nosotros". Y yo estoy como, "Espera un minuto. ¿Qué parte del procesamiento interno de parches no entendió del resto de las preguntas? Debido a que están sentados allí diciendo: "Nos han dicho que podemos subcontratar esto".
Lo veo como fallas de ambos lados del mercado. Solía trabajar para una empresa de recompensas de errores. Creía en este modelo como: "Oye, ¿por qué no hacemos que sea más fácil conectar a las empresas con los piratas informáticos y hacerlo más seguro para todos? Y eventualmente, las compañías y los gobiernos se volverán más seguros, y eventualmente, los piratas informáticos no solo se mantendrán fuera de la cárcel y se ganarán la vida, sino que se ampliarán ”. Porque idealmente, lo que quieres ver en todo el mundo ya no es una fruta de bajo perfil. Desea ver personas que realmente aborden esos errores ellos mismos, previniéndolos, idealmente. Pero incluso si accidentalmente codificaron algunos insectos de fruta bajos, para poder detectarlos ellos mismos. No confíe en randos de terceros en Internet para que le cuenten sobre esta fruta sencilla.
Entonces, donde he visto este fracaso es en las plataformas comerciales de recompensas por errores, básicamente su modelo de negocio es que te mantienes mal en la seguridad para que se pueda encontrar mucha fruta y la mano de obra relativamente poco calificada que se queda en el plataformas de recompensas de errores: con muy pocas excepciones, hay personas altamente calificadas en estas plataformas de errores. Pero creo que leí el último informe de una de las principales plataformas de recompensas de errores, de 600,000 usuarios registrados, 146 de ellos nunca han ganado más de $ 100,000 en toda su vida en la plataforma. Ya sabes, un probador de penetración profesional, incluso hace 15 años cuando hice esto, ya, el salario inicial era de más de $ 100,000.
Por lo tanto, no estamos viendo una buena evolución del estado de seguridad como resultado de estos programas. Tampoco estamos viendo una buena evolución del estado de la fuerza laboral de ciberseguridad. Vemos un gran fondo de la pirámide, que es el tipo de personas que pueden ejecutar herramientas de escaneo gratuitas o casi gratuitas y le brindan informes fructíferos. Y constituyen la mayoría de los cazarrecompensas de insectos. Y esta pequeña y pequeña cima de la pirámide de trabajadores altamente calificados, es decir, literalmente menos de 200 personas, están en la cima. Y eso a pesar de que estas empresas existen desde hace ocho años.
Es tan divertido que está describiendo un modelo económico de ciberseguridad para piratería informática que se parece mucho a un modelo económico de plataforma de contenido generado por el usuario. Podrías haber descrito YouTube o Instagram o cualquiera de estas otras plataformas que prometen acceso a muchas personas pero solo recompensan a una pequeña fracción de la gente. ¿Es eso una analogía precisa?
Absolutamente. Quiero decir, las reglas de recompensa de errores son solo las primeras en informar que un error único se paga por ello. Así que piense en todas las frutas bajas. Podrías estar rociando y orando tus herramientas de escaneo, pero incluso para ganar dinero en algo que fue muy fácil de encontrar, solo tienes que ser el primero en entrar. Así que hay una gran cantidad de trabajo no remunerado que entra en estas plataformas.
Y luego, digamos que incluso si está operando en niveles técnicos más altos y encuentra más errores esotéricos, escuchamos quejas de las empresas a la izquierda y a la derecha que dicen: "Oh, ya sabíamos sobre ese error, así que no vamos a pagar tú. Ya está en proceso de reparación ". Entonces, hay un montón de cosas en las que las personas no obtienen lo que se inscribieron. Lo veo como otra implementación fallida del mercado de la economía de conciertos en este momento.
Todos teníamos muchas esperanzas de que la economía del concierto ayudaría a mucha gente. Y no ha resultado excelente para el lado laboral de las cosas. Pero en el caso de la recompensa por errores, tampoco está resultando excelente para el lado de la compra, el lado de la contratación. No pueden acceder a una gran fuerza laboral nueva. Ese pequeño número de personas que son bastante altamente calificadas y que ganan mucho dinero en estas plataformas, tal vez no quieran renunciar a su estilo de vida. Algunos de ellos han decidido trabajar internamente en las empresas, pero están preservando sus habilidades de recompensas de insectos generosas en el costado y todo. Por lo tanto, no estamos viendo que toda la economía del concierto se exprese en plataformas de recompensas de errores que funcionen para ambos lados de la ecuación.
Entonces, para que esta analogía continúe, tal vez más allá de su punto de ruptura, cuando criticamos a YouTube o Instagram, algo real es que está funcionando muy bien para YouTube e Instagram. No tienen incentivos para arreglarlo porque están cosechando todas las recompensas. Me imagino que al menos hay más dinero real fluyendo a través del ecosistema de recompensas de errores y existe la amenaza real de "Hey, hay vulnerabilidades en nuestro software". Entonces parece que hay algún incentivo para cambiarlo, para cambiar ese modelo. ¿Qué cambios has visto venir o ese incentivo simplemente no existe?
Bueno, después de dejar una de las compañías de recompensas de errores, me quedé como asesor durante casi un año y trabajé con ellos en varios clientes mutuos. He tenido superposiciones de clientes con muchas de las compañías de recompensas de errores, si no todas las principales de EE. UU. Y lo que sigo viendo en su modelo de negocio es que me gustaría ayudar a las organizaciones a ser más maduras. Por lo tanto, menos insectos de fruta bajos, más errores esotéricos. Pero todos sus modelos de negocio dependen de que haya chum en el agua todo el tiempo con fruta baja.
Por lo tanto, no quieren los retrasos en el proceso de [cuando] mi empresa generalmente entra y dice: “¿Estás listo para esto? ¿Ha invertido internamente en encontrar los errores usted mismo? ¿Sabía que es hasta 45 veces más barato si realmente identifica errores de seguridad en la fase de diseño? Y eso básicamente termina retrasando la adopción de la recompensa de errores, lo cual no es apropiado para todos y ciertamente no es apropiado si ni siquiera puede corregir los errores que ya conoce.
Por lo tanto, creo que el conflicto inherente que surge con los diferentes modelos de negocio, la recompensa por errores versus los servicios de asesoramiento que proporciona mi compañía, es que las recompensas por errores pueden ayudar con una pequeña fracción de lo que ya necesita hacer para la gestión de vulnerabilidades, pero se está posicionando como el botón fácil para ello. Estamos viendo que muchas compañías se enfrentan al hecho de que todavía tienen infracciones, incluso si tienen una recompensa por errores o no pueden recompensar todo.
Hay una aerolínea que ha tenido una recompensa por errores durante poco más de cuatro años. Eso es United Airlines. ¿Está en los aviones? No, está en los sitios web. Está en contra del sitio web. Entonces, ¿cómo estamos más seguros en los cielos? Bueno, no lo estamos. Pero parece que estás haciendo diligencia cuando se trata de la gestión de vulnerabilidades, creo que ahí es donde las plataformas de habilitación de recompensas por errores comerciales han estado presionando, como: "Mira, ya sabes, solo parece realmente ocupado". Sí, estás jugando whack-a-bug y todo, y esto es súper ineficiente, pero puedes decir que te tomas la seguridad muy en serio y estás arreglando todos estos errores de frutas y demás. No los llamaremos así. Simplemente diremos que, ya sabes, hay todos estos errores y que es súper valioso. Y luego cuando te violan. Quizás no te metas en problemas porque puedes decir: “Bueno, lo intentamos. Tuvimos una recompensa por errores y nadie nos informó de ese problema en particular ".
Entonces no lo sé. Quiero decir, me encantaría decir que todo esto está evolucionando en la dirección correcta, pero, francamente, lo he visto evolucionar, especialmente en los últimos años de la comercialización de las recompensas de errores.