Bug bounty programs: l’importanza di trovare vulnerabilità

Come può un’azienda difendersi dagli attacchi malevoli degli hacker? 

Se ciò dovesse avere successo, le conseguenze avrebbero un impatto negativo rilevante, sia in termini di perdita di dati sia in termini di immagine dell’azienda stessa. 

Nell’ambito della cyber security, si definisce bug o  vulnerabilità, la presenza di un’anomalia nel funzionamento di un programma che può esporre ad un attacco malevolo esterno.

Per questo motivo, spesso l’individuazione delle vulnerabilità, attraverso l’uso di bug bounty programs (detti anche vulnerability reward programs), può aiutare le aziende a sconfiggere i cybercriminali prima che sia troppo tardi.

Cos’è una bug bounty e a cosa serve

Con il termine bug bounty programs, dunque, ci si riferisce a tutti quei programmi che le aziende o gli enti globali mettono in atto per ricompensare chi segnala vulnerabilità nei software, prima che essi vengano individuati dai cybercriminali. 

L’obiettivo di questi ultimi infatti è proprio quello di scovare e sfruttare i bug nei software aziendali, per poterli utilizzare a proprio vantaggio.

Così, per non farsi cogliere impreparate, le aziende investono parte del loro patrimonio economico in programmi che prevedono una ricompensa in denaro per la segnalazione di bug, exploit o vulnerabilità, impedendo così un uso improprio degli stessi.

Tali programmi sono ormai diffusi in tutto il mondo e le aziende li utilizzano per incrementare la propria sicurezza. 

Ogni volta che si segnala una vulnerabilità in tempo, si riceve una ricompensa: maggiore sarà la difficoltà nel trovare dei bug, maggiore sarà la ricompensa. 

Volendo individuare degli esempi significativi:

  • Facebook ha investito in bug bounty, dal 2011 ad oggi, una somma che ammonta a circa 5 milioni di dollari;
  • L’European Commission Open Source Programme Office ha deciso di versare ingenti ricompense a chi fosse interessato al lavoro di bug-hunting per la sicurezza del software open source.

Seppure identificato come un esborso economico da parte dell’azienda l’investimento in bug hunting risulta necessario: se il bug venisse identificato prima dai criminal hacker, le perdite economiche sarebbero sicuramente più elevate.

Quali società famose offrono bug bounty

Il bug bounty program si sta facendo strada all’interno delle principali aziende IT (Google, Microsoft, Apple, Intel, ecc.) come anche nel settore social network (Snapchat, Twitter, Linkedin, Meta, ecc.).

L’ammontare del premio può essere determinato da due principali variabili:

  • l’azienda;
  • l’entità della vulnerabilità.

Per tali motivi la sempre maggiore diffusione dei bug bounty programs ha portato allo sviluppo di piattaforme che rappresentano dei veri e propri aggregatori per le aziende, finalizzate all’erogazione annuale di ingenti ricompense in denaro strettamente correlate alla gravità del bug rilevato. Queste somme vengono inoltre organizzate in una lista denominata Highest Reward Range.

In particolare, la piattaforma BugCrowd ha permesso la nascita di una vera e propria

nuova professione: il bug hunter.

Proprio come un cacciatore, il bug hunter va a caccia di bug all’interno di siti, domini, e applicazioni al fine di riscuotere la taglia messa in palio.

Le aziende, dunque, per migliorare il prodotto e per rafforzare la propria serietà, sempre più spesso decidono di affidarsi a questo tipo di piattaforme. In tal modo evitano violazioni dei dati aziendali che potrebbero causare una perdita economica notevole, senza tralasciare il danno reputazionale a cui l’azienda andrebbe incontro.

Come diventare un bug bounty hunter

Il bug bounty hunter dunque è un hacker etico ossia un esperto della cyber security che ricerca per le aziende, in modo legalizzato, falle di sicurezza (web e mobile). Questo tipo di specializzazione come altre più conosciute (penetration test, monitoraggio, awareness) è pertanto riconosciuta per legge.

Ottenere questo tipo di qualifica professionale richiede pertanto:

  1. preparazione relativa al settore della sicurezza informatica (Linux, architettura delle reti, conoscenza approfondita di web e app-web);
  2. aver frequentato corsi tecnici certificati di bug hunting.

In questo contesto si inserisce anche l’offerta formativa di ITS, che si mantiene aggiornata secondo le necessità del mercato del lavoro e per questo tra i suoi corsi dedicati alle ICT mette a disposizione quello per ICT Security Specialist, grazie al quale sarà possibile progettare, valutare e implementare infrastrutture di dati e gestirne gli impatti in ottica security

Il corso inoltre, fornisce competenze dirette su:

  • gestione dei sistemi infrastrutturali di tipo enterprise;
  • progettazione e implementazione delle reti dati;
  • configurazione dei sistemi client-server;
  • logiche di protezione ordinarie e la loro evasione, valutandone la robustezza sia in ottica difensiva che offensiva.

Questo corso permetterà ai partecipanti di aspirare a professioni quali: cyber security manager, un system administrator, un network expert.

Al termine del conseguimento del diploma si otterrà la qualifica professionale di esperto ICT in ambito security.

Valutazione su Emagister per ITS ICT Piemonte
ECCELLENTE
Valutazione 5 stelle su Emagister per ITS ICT Piemonte
5,0/5
Recensioni su Emagister per ITS ICT Piemonte
Emagister:
Dai la tua opinione su Fondazione ITS per le Tecnologie dell’informazione e della Comunicazione per il Piemonte
Badge Cumlaude su Emagister per ITS ICT Piemonte
Badge Cumlaude 2019 su Emagister per ITS ICT Piemonte
Fondazione ITS per le Tecnologie dell’informazione e della Comunicazione per il Piemonte
linkedin ITS ICT Piemonte
Linkedin Higher Education
Segui su Linkedin Fondazione ITS per le Tecnologie dell’informazione e della Comunicazione per il Piemonte
© ITS ICT PIEMONTE 2020
Privacy Policy
Cookie policy