Bài viết này sẽ chỉ ra những điểm khác biệt giữa chương trình Bug bounty công khai (Public Bug bounty) và Bug bounty riêng tư (Private Bug bounty) cùng với các ưu — nhược điểm của từng loại chương trình. Để được tư vấn triển khai Bug bounty cho doanh nghiệp, vui lòng liên hệ WhiteHub.

Public Bug bounty vs. Private bug bounty

Vậy, Bug bounty công khai khác gì với Bug bounty riêng tư?

Về ý nghĩa, Bug bounty công khai là chương trình mở, tất cả mọi người (bao gồm các bug hunter chuyên nghiệp, nghiệp dư, hoặc bất kỳ ai truy cập vào trang chương trình) đều có thể nhìn thấy được sự hiện diện của chương trình Bug bounty và tìm, báo cáo lỗi cho chủ chương trình.

Bug bounty riêng tư là chương trình mà công ty chỉ mời một số lượng Tester nhất định giam gia tìm lỗi cho chương trình. Ngoài ra thông tin chương trình được giữ bí mật trên các nền tảng Bug bounty (nếu có). Chỉ những người được mời mới biết tới sự tồn tại của chương trình và được phép tham gia.

Trong khi chương trình bug bounty công khai cho phép doanh nghiệp tối đa hoá hiệu quả bảo mật bằng cách gia tăng số lượng nhân sự ATTT tham gia chương trình, thì bug bounty bí mật phù hợp với những sản phẩm nhạy cảm cần tính riêng tư cao.

Bug Bounty bán riêng tư (Semi Private) là giải pháp trung hòa giữa 2 loại chương trình trên. Semi Private Bug Bounty có các tính chất:

• Ai cũng có thể nhìn thấy và gửi yêu cầu tham gia
• Chỉ những chuyên gia bảo mật được chấp thuận mới có thể tham gia

Đây là giải pháp thường được sử dụng bởi các trang web và ứng dụng có độ nhảy cảm tương đối cao, giúp doanh nghiệp tối ưu được nguồn lực cộng đồng mà vẫn có thể kiểm soát chất lượng đầu vào của chuyên gia bảo mật.

Nên chọn Bug bounty công khai hay riêng tư?

Điều này phụ thuộc vào việc bạn muốn nhận được gì từ chương trình bug bounty của mình.

Thông thường, một công ty sẽ triển khai chương trình Bug bounty riêng tư trước và sau đó mới mở rộng quy mô ra công khai. Mục đích chính là để tìm ra phần lớn các lỗi bảo mật với chuyên gia uy tín, rồi mở rộng để tối đa hiệu quả tìm lỗi.

Mặc dù điều này không phải lúc nào cũng đúng, tuy nhiên hầu hết các tổ chức khi mới tiếp cận với phương pháp Bug bounty đều muốn triển khai một chương trình riêng tư. Chương trình riêng tư cho phép mời một nhóm nhỏ các chuyên gia bảo mật uy tín kiểm tra trước khi công khai trong cộng đồng.

Trong nhiều trường hợp, các tổ chức không thoải mái với việc công khai ứng dụng của mình cho cộng đồng kiểm tra. Họ có xu hướng giới hạn phạm vi kiểm thử và giới hạn số lượng nhà nghiên cứu được phép tham gia chương trình. Mặt trái của việc này là nó sẽ làm giảm số lượng các bài kiểm tra và hạn chế số lỗ lổng có thể tìm thấy trong ứng dụng.

Sau khi thành công với Bug bounty riêng tư, các công ty có xu hướng mở rộng quy mô thành công khai để tăng khả năng tìm ra lỗi bảo mật. Một số công ty duy trì chương trình Bug bounty công khai để đảm bảo ứng dụng của họ được phát triển an toàn qua các bản cập nhật.

Lưu ý khi mở rộng quy mô Bug bounty từ riêng tư thành công khai

Các tổ chức cần phải cân nhắc một số yếu tố trước khi tổ chức một chương trình Bug bounty công khai. Ứng dụng của bạn sẽ có một giai đoạn kiểm tra, và trước khi công khai rộng rãi bạn nên làm việc với các nhà nghiên cứu có kinh nghiệm hoặc một tổ chức chuyên nghiệp như WhiteHub để phê chuẩn tư cách tham gia chương trình của Bug hunter và quy trình thực hiện bug bounty.

Có một số điều cần cân nhắc trước khi chuyển từ chương trình bug bounty riêng tư sang chương trình công khai:

• Đầu tiên, triển khai chương trình với các nhà nghiên cứu và các tổ chức đã được kiểm tra và đáng tin cậy. Bạn không nên tin tưởng riêng một cá nhân nào ngay lập tức bởi vì các lỗ hổng có thể khiến bạn mất đi danh tiếng và doanh thu nếu chúng bị khai thác.
• Do có rất nhiều nhà nghiên cứu tham gia Bug bounty vì mục đích tài chính, bạn cần nắm rõ cơ cấu giải thưởng trong chương trình bug bounty riêng tư để hiểu rõ hơn cách sử dụng nếu chương trình được công khai. Hiểu rõ cơ cấu thanh toán sẽ giúp bạn duy trì tốt chương trình bug bounty.
• Bạn cần phải có một lý do chính đáng trước khi tiến hành công khai chương trình bug bounty. Mục đích cuối cùng của việc công khai chương trình so với việc tiếp tục triển khai riêng tư là gì? Nếu bạn muốn tìm kiếm các lỗ hổng và bạn có một quy trình để thực hiện việc này trong nội bộ, thì có thể chương trình lỗ hổng riêng từ là phù hợp với bạn. Nếu bạn đã có quy trình quản lý lỗ hổng phù hợp và đang thực hiện phân tích tĩnh cùng như phân tích động, nhưng vẫn muốn bổ sung thử nghiệm thủ công từ cộng đồng lớn hơn, thì kiểm tra công khai có thể là điều bạn đang tìm kiếm.
• Cuối cùng, một điều vô cùng quan trọng nữa là bạn cần có quy tắc bug bounty trên trang web hoặc ứng dụng của mình để người tham gia biết rằng thực hiện như nào, mong đợi những gì và phần thưởng cho từng lỗi là gì. Đây là tiền đề để các nhà nghiên cứu nắm được cách tiến hành công bố các lỗi có trách nhiệm.

Hiện tại, rất nhiều trang web có chương trình bug bounty, tuy nhiên bạn mở chương trình công khai không có nghĩa là bạn sẽ có một nhóm hacker mũ trắng xâm nhập vào trang của bạn để tìm lỗi. Xác định được tiền thưởng tốt nhất, phần mã bạn muốn kiểm tra và cách hành động khi bạn nhận thấy các cuộc tấn công xảy ra là điều vô cùng quan trọng đối với việc gửi tiền thưởng lỗi và vận hành ngày của bạn.