Tuy nhiên, mỗi nền tảng lại có hướng phát triển và cách công khai thông tin khác nhau, như việc công khai hay bí mật về các chương trình, cách báo cáo lỗ hổng trong các chương trình bug bounty, thông tin về người chơi tham gia. Dưới đây là 5 nền tảng Bug bounty cung cấp các chương trình bug bounty hàng đầu hiện nay do Geekflare bình chọn.
Nền tảng tìm kiếm lỗ hổng bảo mật HackerOne lần đầu ra mắt vào năm 2013. Nền tảng này hoạt động trên 9 tên miền khác nhau như: hackerone.com, https://hackerone-us-west-2-production-attachments.s3-us-west-2.amazonaws.com/, https://api.hackerone.com và *.vpn.hackerone.net….
Trong số các nền tảng tiền thưởng lỗi, HackerOne được xem là nền tảng đi đầu trong việc thu hút đông đảo người chơi tham dự, các chương trình tiền thưởng, truyền bá thông tin và những đóng góp tới cộng đồng.
Có 2 cách để các công ty tham gia vào nền tảng HackerOne: Sử dụng nền tảng để thu thập các báo cáo về lỗ hổng và tự mình giải quyết hoặc để các chuyên gia tại HackerOne xử lý (triaging). Triaging đơn giản là quá trình trung gian biên soạn các báo cáo về các lỗ hổng bảo mật và giao tiếp với các người chơi.
HackerOne được sử dụng bởi những tên tuổi nổi tiếng như Google Play, PayPal, GitHub, Starbucks… Đặc biệt, nền tảng này chấp nhận các lỗ hổng được báo cáo nằm ngoài phạm vi các chương trình tiền thưởng.
Giao diện Nền tảng HackerOne - Website: https://hackerone.com/security
Hàng năm, HackerOne sẽ công bố Báo cáo Top 10 các chương trình bào mật công khai trên nền tảng này. Năm 2020, Chương trình Verizon Media đứng đầu với 1.315 người chơi tham dự có tổng tiền thưởng lên tới 9.408.000 USD. Đứng thứ 2 là PayPal với 371 người chơi và 2.790.000 USD. Một chương trình khác cũng thu hút 635 người chơi xếp ở vị trí thứ 3 là Uber với tổng giá trị tiền thưởng là 2.415.000 USD.
Đối với Hackerone, thông tin về người báo cáo lỗ hổng trong các chương trình (công khai và bí mật), số lượng báo cáo, thông tin chi tiết về các khoảng tiền thưởng, tổng số lỗ hổng (đã báo cáo và xử lý xong), thời gian phản hồi trung bình của chương trình đều được công bố.
Thành lập năm 2014, Bugcrowd cung cấp một số giải pháp để đánh giá bảo mật, một trong số đó là Bug Bounty. Nền tảng này cung cấp giải pháp SaaS tích hợp với vòng đời phần mềm của các công ty, khiến việc vận hành một chương trình tiền thưởng lỗi cho các doanh nghiệp trở nên dễ dàng.
Các doanh nghiệp có thể chọn một chương trình tiền thường lỗi riêng tư với một số lượng tin tặc giới hạn hoặc một chương trình công khai.
Khác với HackerOne, nền tảng Bugcrowd tiết lộ các thông tin theo một giới hạn như: trung bình số tiền thưởng đã trả cho người tham gia trong 3 tháng gần nhất, thời gian xử lý một báo cáo hợp lệ, tổng số lỗ hổng đã được trao thưởng. Các thông tin về báo cáo và người tham gia là tuyệt mật cũng như chính sách không tiết lộ bất kỳ thông tin về lỗ hổng nào trong chương trình khi chưa có sự cho phép từ phía chủ chương trình.
Giao diện Nền tảng Bugcrowd Website: https://www.bugcrowd.com/
YesWeHack thành lập năm 2013 có trụ sở chính tại Pháp. Hiện tại, nền tảng này kết nối hơn 21.000 chuyên gia tại trên 170 quốc gia với các tổ chức. YesWeHack hoạt động với 2 loại chương trình là riêng tư (dựa trên lời mời) và các chương trình công khai (Vulnerability Disclosure Program - VDP). VDP nhằm đưa ra thông tin về chính sách tiếp nhận lỗ hổng từ bên ngoài và thông tin liên hệ để báo cáo của các công ty, tổ chức. Đây là những chương trình mà tất cả mọi người đều có thể tham gia công khai và thực hiện kiểm thử xâm nhập theo chính sách, mục tiêu của chương trình. Đặc biệt, YesWeHack tuân thủ quy định nghiêm ngặt của Châu Âu.
Giao diện Nền tảng YesWeHack Website: https://www.yeswehack.com/
Được thành lập vào năm 2016 - Intigriti là một nền tảng bảo mật sử dụng nguồn lực cộng đồng, nơi các nhà nghiên cứu bảo mật và các công ty gặp gỡ nhau, với phương châm là một nền tảng săn tiền thưởng có đạo đức.
Theo đại diện của Intigriti, họ bày tỏ mong muốn xác định và xử lý các lỗ hổng bảo mật một cách hiệu quả về chi phí. Nền tảng được quản lý tạo điều kiện thuận lợi cho việc kiểm tra bảo mật trực tuyến thông qua cộng tác với các nhà nghiên cứu giàu kinh nghiệm với trọng tâm là người Châu Âu. Cùng nhau, có thể cung cấp nguồn sáng tạo vô tận để mô phỏng các mối đe dọa có thể xảy ra.
Giao diện Nền tảng Intigriti Website: https://www.intigriti.com/
Nền tảng Synack là một ngoại lệ của trong thị trường bug bounty, bởi nó phá vỡ khuôn mẫu mà các nền tảng khác vận hành. Synack có điểm nhấn chính là Hack the Pentagon. Không chỉ tìm kiếm lỗ hổng, Synack còn hướng dẫn bảo mật và đào tạo cấp cao. Được biết đến là nền tảng tình báo của Mỹ, Synack tự động hóa việc phát hiện ra các điểm cuối và tài sản dễ bị tấn công.
Về mặt thông tin, Synack còn bí mật hơn các nền tảng khác khi không công khai bất kỳ thông tin nào về các chương trình bug bounty và người tham gia. Để tham dự, người chơi phải trải qua nhiều vòng phỏng vấn, kiểm tra nghiêm ngặt. Sau khi được chấp nhận trở thành một thành viên của nền tảng, các chương trình bug bounty cũng ở mức giới hạn và bí mật. Thông tin có thể được tiết lộ chỉ là danh sách các lỗ hổng đã được báo cáo và phân loại các lỗ hổng. Mức tiền thưởng cho các chương trình là giống nhau phân theo mức độ nghiêm trọng của từng báo cáo.
Giao diện nền tảng Synack Website: https://www.synack.com/.
Trí Công
08:00 | 05/03/2021
16:00 | 03/09/2021
09:00 | 28/04/2024
08:00 | 01/11/2021
09:00 | 22/10/2021
09:00 | 06/09/2021
09:00 | 28/04/2024
08:00 | 24/04/2019
10:00 | 24/04/2024
10:00 | 04/10/2020
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
17:00 | 11/08/2023
Wireless Mesh Network là công nghệ mạng truyền thông đầy hứa hẹn với khả năng kết nối mạnh mẽ và ổn định, được ứng dụng trong nhiều lĩnh vực khác nhau. Trong số 1 (071) 2023 của Tạp chí An toàn thông tin, nhóm tác giả đã giới thiệu về cơ sở lý thuyết của Wifi Mesh. Để ứng dụng thực tiễn nền tảng này, trong bài báo dưới đây nhóm tác giả đề xuất một giải pháp thiết kế hệ thống giám sát độ nghiêng của thiết bị trong không gian ba chiều X, Y, Z sử dụng module ESP32 WROOM có tính năng truyền nhận dữ liệu bằng Wifi Mesh.
14:00 | 17/05/2023
Một trong những lý do khiến các tổ chức e ngại khi sử dụng các dịch vụ điện toán đám mây là vấn đề về an toàn thông tin. Tuy nhiên, dù nhìn nhận từ góc độ nào thì hầu hết chúng ta đều phải công nhận là các nhà cung cấp dịch vụ điện toán đám mây lớn như Amazon, Microsoft hay Google đều có nhiều nguồn lực và nhân sự giỏi về an ninh bảo mật hơn hầu hết các doanh nghiệp khác. Vậy tại sao chúng ta liên tục nhận được tin tức về các sự cố bảo mật của các doanh nghiệp khi sử dụng điện toán đám mây?
09:00 | 09/03/2023
D2D (Device-to-Device) là phương tiện liên lạc trực tiếp giữa các thiết bị mà không qua nút trung gian, nó giúp mở rộng phạm vi phủ sóng di động và tăng cường tái sử dụng tần số vô tuyến trong mạng 5G [1]. Đồng thời, D2D còn là công nghệ lõi của liên lạc giữa thiết bị với vạn vật IoT. Tuy nhiên, truyền thông D2D trong mạng 5G là kiểu mạng thông tin di động có nhiều thách thức bao gồm ẩn danh, nghe lén, đánh cắp quyền riêng tư, tấn công tự do… Những thách thức này sẽ khó giảm thiểu hơn do tính chất hạn chế tài nguyên của các thiết bị IoT. Do đó, việc sử dụng mật mã hạng nhẹ vào bảo mật hệ thống D2D nhằm đáp ứng yêu cầu về năng lượng tiêu thụ, tài nguyên bộ nhớ, tốc độ thực thi bảo mật xác thực trong 5G IoT là đặc biệt quan trọng. Bài báo đi phân tích các bước trong mô hình bảo mật D2D cho mạng 5G IoT. Từ đó, đề xuất thuật toán có thể sử dụng để bảo mật liên lạc D2D cho các thiết bị 5G IoT.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024