Bug

Hacking: Kumpulan Platform untuk Bug Bounty

5 platform bug bounty yang paling menjanjikan bagi Anda yang ingin meningkatkan kemampuan penetration testing perangkat lunak Anda yang ada dengan pengetahuan dan keahlian dari peneliti keamanan internasional.

HackerOne

Menjadi unicorn yang didukung oleh banyak pemodal ventura terkemuka, HackerOne mungkin adalah merek Bug Bounty yang paling terkenal dan dikenal di dunia.

Menurut laporan tahunan terbaru mereka, lebih dari 1.700 perusahaan mempercayai platform HackerOne untuk meningkatkan kapasitas pengujian keamanan aplikasi internal mereka. Laporan tersebut juga mengatakan bahwa peneliti keamanan mereka memperoleh sekitar $40 juta dalam bentuk hadiah pada tahun 2019 saja dan $82 juta secara kumulatif.

HackerOne juga terkenal sebagai tuan rumah program Bug Bounty pemerintah AS, termasuk program pengungkapan kerentanan Departemen Pertahanan AS dan Angkatan Darat AS. Seperti beberapa penyedia komersial Bug Bounties dan Vulnerability Disclosure Programs (VDP) lainnya, HackerOne sekarang juga menawarkan layanan pengujian penetrasi yang diisi dengan peneliti keamanan yang berpengalaman dari seluruh dunia. HackerOne memiliki portofolio sertifikasi keamanan yang solid, termasuk ISO 27001 dan otorisasi FedRAMP.

BugCrowd

Didirikan oleh pakar keamanan siber Casey Ellis, BugCrowd mungkin adalah platform Bug Bounty yang paling kreatif dan inventif. BugCrowd secara aktif mempromosikan tidak hanya layanan pengujian keamanan kerumunan tradisional tetapi juga menyerang manajemen permukaan dan spektrum luas layanan pengujian penetrasi untuk IoT, API, dan bahkan jaringan, tetap berada di depan pesaing mereka di pasar tenaga kerja kerumunan yang berkembang pesat.

BugCrowd juga dengan tepat mengiklankan berbagai kapasitas integrasi Siklus Hidup Pengembangan Perangkat Lunak (SDLC), membuat alur kerja DevSecOps lebih cepat dan lebih mudah untuk klien kaya mereka.

BugCrowd terkenal sebagai tuan rumah program Bug Bounty untuk raksasa industri seperti Amazon, VISA, dan eBay, serta asosiasi pendidikan keamanan siber ² yang dihormati (ISC). Banyak pemula dalam penelitian keamanan yang sangat mengenal BugCrowd berkat BugCrowd University, webinar keamanan yang berkelanjutan, dan pelatihan BugCrowd dengan cerdas mengatur baik untuk pelanggan dan peneliti mereka.

OpenBugBounty

Proyek OpenBugBounty yang meroket adalah satu-satunya pengungkapan kerentanan nirlaba dan platform Bug Bounty di daftar kami. Peringkat Alexa-nya mengatakan OpenBugBounty akan mengungguli sebagian besar pesaing komersialnya dengan sukses.

Dengan lebih dari 1.200 program Bug Bounty aktif, OpenBugBounty juga mengizinkan pengungkapan terkoordinasi tentang masalah keamanan di situs web mana pun jika masalah tersebut terdeteksi dengan cara yang tidak mengganggu. Pembuatan program Bug Bounty benar-benar gratis, dan pemilik situs web tidak diharuskan membayar uang kepada para peneliti – tetapi didorong setidaknya untuk berterima kasih kepada para peneliti dan memberikan rekomendasi publik atas upaya mereka.

OpenBugBounty menyelenggarakan program Bug Bounty untuk perusahaan seperti A1 Telekom Austria dan Drupal, dengan lebih dari 20.000 peneliti keamanan dan hampir 800.000 kerentanan keamanan telah dikirimkan sejauh ini. Platform tersebut mengatakan kebijakan dan proses pengungkapannya didasarkan pada standar ISO 29147.

OpenBugBounty juga bekerja sama dengan CERT nasional dan lembaga penegak hukum dengan memberi mereka API gratis ke platform sambil menjaga kerahasiaan detail kerentanan kecuali jika peneliti mengungkapkan temuannya kepada publik.

SynAck

Didukung oleh banyak dana VC terkenal, termasuk Intel Capital dan Kleiner Perkins, SynAck dinobatkan sebagai perusahaan “CNBC Disruptor” empat kali berturut-turut, dari 2015 hingga 2019. SynAck berdiri di atas platform Bug Bounty komersial, juga disebut dalam 25 Startup Perangkat Lunak Perusahaan Teratas Gartner.

Didirikan oleh Jay Kaplan dan Mark Kuhr, visioner keamanan dan veteran terkemuka dari badan keamanan nasional AS, SynAck menawarkan tim elit yang terdiri dari peneliti keamanan siber yang diperiksa secara menyeluruh yang dikenal sebagai “Tim Merah” (SRT). Menurut SynAck, grup SRT terdiri dari pakar keamanan dengan latar belakang terverifikasi dan pengalaman industri yang kredibel.

SynAck berhasil memposisikan dirinya sebagai pemimpin dalam layanan pengujian keamanan kerumunan tepercaya dengan melakukan uji tuntas komprehensif pada Tim Merah mereka dan merekam semua aktivitas mereka untuk analisis atau tinjauan di masa mendatang. Terakhir, SynAck telah berhasil mengembangkan kemitraan dan aliansi teknologi dengan para pemimpin industri, termasuk Microsoft, AWS, dan HPE, yang menunjukkan potensi kuat untuk pertumbuhan lebih lanjut.

YesWeHack

YesWeHack adalah bintang yang sedang naik daun dalam peringkat kami untuk tahun 2021. Satu-satunya perusahaan Bug Bounty dan pengungkapan kerentanan Eropa, YesWeHack secara efisien menarik perusahaan yang berbasis di UE yang perhatian utamanya adalah privasi dan perlindungan data yang ketat. Baru-baru ini, YesWeHack mengumumkan rekor pertumbuhan 250% selama tahun 2020 di Asia, yang menunjukkan bahwa perusahaan rintisan Eropa mampu melakukan penskalaan secara global.

Mirip dengan BugCrowd, YesWeHack sangat siap untuk berinvestasi pada sumber daya manusianya. Tahun lalu, ia meluncurkan program pelatihan untuk membantu pemburu Bug Bounty mengasah keterampilan peretasan mereka dengan platform YesWeHack DOJO. Ini menampilkan kursus pengantar dan tantangan pelatihan yang berfokus pada kerentanan keamanan dan taman bermain tertentu.

Dengan DOJO, peneliti keamanan dari seluruh dunia dapat meningkatkan keterampilan pengujian keamanan perangkat lunak mereka. Terakhir, YesWeHack secara persuasif menunjukkan kapasitasnya untuk menarik pelanggan terkemuka Eropa seperti konglomerat OVH Prancis.

Bug Bounties telah memulai transformasi mereka dari pengujian keamanan kerumunan murni menjadi platform keamanan siber all-in-one, menawarkan pengujian penetrasi klasik dan berbagai layanan lainnya. Saat ini, sulit untuk memprediksi seberapa sukses penawaran mereka terhadap MSSP tradisional dan vendor keamanan siber; namun, Bug Bounties jelas menciptakan ceruk pasar baru dengan potensi yang kuat.

Sementara proyek OpenBugBounty yang terbuka dan gratis membawa kedewasaan ke dalam bisnis, seperti yang dilakukan Linux bersumber terbuka terhadap Microsoft beberapa dekade yang lalu, kemudian melahirkan bisnis multi-miliar Red Hat.

Ini merupakan indikator bahwa pasar Bug Bounty menjadi lebih besar dan lebih kompetitif sementara para pendatang baru masih bergabung dalam permainan. Kita mungkin mengharapkan lebih banyak lagi kesepakatan Modal Ventura dan M&A yang mendorong perluasan pasar keamanan kerumunan lebih lanjut.