Crowdsourced запуск ИТ-безопасности CrowdCurity создала новую программу баунти-ошибок с уникальным твистом.

титулованный Захватить монету , Программа вдохновлена ​​известными захват флага игры, и поощрять исследователей безопасности за поиск частных ключей биткойнов, скрытых в интерфейсе веб-платформ.

CrowdCurity тестирует идею на своем собственном веб-сайте, чтобы начать с нее, и отталкивает ее как конкуренцию с биткойном за призы.

Джейкоб Хэнсон, генеральный директор CrowdCurity, сказал CoinDesk:

«Мы находим интересный подход, чтобы в основном проверить безопасность нашей собственной платформы».

Как это работает

Для конкурса CrowdCurity создал три бумажных кошелька, которые хранят биткойн в автономном режиме. Каждый из них находится в разных количествах, исходя из предполагаемой ценности возможного вторжения безопасности, которое представляет собой уязвимость.

Частные ключи к этим кошелькам, однако, скрыты в коде их веб-сайта, ожидающем открытия, – для тех, у кого есть достаточные навыки.

Есть три разных награды: 1,5 BTC Nakamoto Reward, 1BTC Dorian Reward и 0,5 BTC Scytale. Кроме того, каждый из них имеет свои собственные подсказки, чтобы помочь исследователям, которые детализированы в блоге компании.

Каждая награда за очень специфическую уязвимость, что делает эту программу отличной багги, чем обычно. Например, схема вознаграждения Google в отношении ошибок диаграмма, используемая для расчета вознаграждений ,

CrowdCurity хочет экспериментировать с более конкурентоспособным стилем вознаграждения с помощью Capture the Coin.

Сказал Хансен:

«[С биткойном] вы можете принести денежную оценку уязвимостям. Большинство компаний отдают призы на основе уровней, но Capture the Coin предлагает лучшую детализацию и корректировки для программ вознаграждений».

Монетизация уязвимостей

В разных количествах биткойнов CrowdCurity установила определенное значение для уязвимостей с разной степенью твердости. Например, первое место 1.5 BTC Nakamoto Reward должно быть тем, что является значительно более жестким орешком для взлома, поскольку только CrowdCurity должен уже знать об этом.

Хансен считает, что создание уязвимости на рынке с помощью секретных ключей для кошельков с биткойнами может изменить способ, которым исследователи безопасности конкурируют в программах бонусных баунти:

«Мы имеем разные суммы в каждом из этих разных закрытых ключей. Различные суммы соответствуют критичности ошибок, которые компания фактически видит в системе».

И если кто-то найдет секретный ключ, владение кошельком мгновенно. Никто не ждет, чтобы кто-то принял решение о награде, как в обычных схемах исправления ошибок.

Прозрачность безопасности

Способность блочной цепочки публично отображать все транзакции означает, что, в теории, будущие системы безопасности, использующие Capture Coin-style криптовалютные вознаграждения, могут обеспечить большую прозрачность.

Хансен говорит, что цепочка блоков – это «система обнаружения вторжений, где мы можем отслеживать адреса биткойнов и видеть, используются ли частные ключи».

Большинство систем обнаружения вторжений в ИТ-безопасности являются пассивными по своей природе – предназначены для ожидания нарушения определенного порога, а затем выдается предупреждение.

При мониторинге транзакций на основе цепочки блоков может быть возможно более реактивная система для быстрого устранения вторжения.

Разъяснил Хансен:

«Возможность отслеживать движения на учетной записи [биткойн] на самом деле является очень реактивной системой. Вы можете создать определенную цепочку реакций, как только увидите определенное движение [по цепочке блоков]».

Никогда не защищайте 100%

Основная бизнес-стратегия CrowdCurity – это краудсорсинг вознаграждений за ИТ-безопасность для получения результатов, вместо того, чтобы платить дорогостоящим консультантам за время, которое он рассматривает как разрушительный отраслевой подход.

Последняя модель является моделью, которую компания говорит, что многие компании используют биткойн, которые составляют около половины существующей клиентской базы CrowdCurity.

Ни один бизнес не защищен полностью от угроз безопасности, и потому, что кражи и нарушения безопасности находятся на подъеме, необходимы инновационные методы, помогающие сорвать злоумышленников.

53% of mid-size and larger businesses spent more on security in 2013. Source: TechTarget
53% средних и крупных предприятий больше потратили на безопасность в 2013 году. Источник: TechTarget

Capture the Coin – это тест CrowdCurity, чтобы узнать, как биткойн может помочь упростить безопасность веб-сайтов в рамках его бизнеса.

«Надеюсь, в будущем мы сможем предоставить это как услугу для клиентов», – сказал Хансен.

Безопасность на основе шифрования

Использование криптовалюты для стимулирования и повышения прозрачности проблем безопасности кажется логичным продолжением бизнес-модели краудсорсинга CrowdCurity.

Частные ключи для биткойн-кошельков, встроенных в веб-сайты, могут в конечном итоге использоваться в качестве «медовых горшков» – тактику ИТ-безопасности, предназначенную для того, чтобы соблазнить возможных воров, чтобы выследить их и поймать в акте.

И метод отслеживания этого медового горшка мог бы использовать мощность регистрационной цепочки блоков, чего раньше не было.

Сказал Хансен:

«Теперь у нас есть программируемые деньги, и вы можете делать такие вещи в безопасности, которые не могли быть сделаны раньше».

«Вы не можете сделать это с помощью PayPal. Вы не можете делать это с регулярными деньгами, это очень и очень интересно», – добавил он.

Изображение в биткойне через Shutterstock

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here