説明
バグバウンティプログラムにより、独立したセキュリティ研究者は企業にバグを報告し、報酬や報酬を受け取ることができます。これらのバグエリアユニットは、メソッドの問題やハードウェアの欠陥などをさらに具体化するものの、セキュリティの悪用や脆弱性をユニット化することがあります。
レポートエリアユニットは通常、準学士号のフリーランスのサードパーティ（BugcrowdやHackerOneなど）によるプログラム旅行を通じて作成されます。企業は、組織の要望に合わせてキュレーションされたプログラムを利用する（そして実行する）ことができます。
また、プログラムは非公開（招待のみ）であり、組織または一般の人々（誰でもサインインして参加する）の機密情報としてエリアユニットが壊れていないことを報告します。それらは、収集期間中または停止日なしで発生します（ただし、2番目の可能性は多くの場合一般的です）。
バグバウンティプログラムを使用しているのは誰ですか？多くの主要な組織は、AOL、Android、Apple、Digital Ocean、ゴールドマンサックスとともに、セキュリティプログラムの領域としてバグバウンティを使用しています。これらのリンクで、主要なバグ報奨金サプライヤーであるBugcrowdとHackerOneが提供するすべてのプログラムの一覧を読むことができます。
企業がバグバウンティプログラムを使用するのはなぜですか？バグバウンティプログラムは、コード内のバグを探すために、ハッカーの特大のクラスターを利用する柔軟性を企業に提供します。
これにより、1対1でアクセスできるよりも、さまざまなハッカーやテスターに​​アクセスできるようになります。悪意のあるハッカーがバグを悪用する前に、バグエリアユニットが発見して報告する確率を{可能|また|可能|可能|可能|可能}増加させます。
それはまた、会社にとって正直な宣伝の代替手段かもしれません。バグバウンティが一般的になるにつれて、バグバウンティプログラムを持つことは、企業が成熟したセキュリティプログラムを組み込んでいることを一般大衆や規制当局にさえ知らせるでしょう。
バグバウンティプログラムをすべての企業が投資すべき通常のビジネスと見なし始めているため、この傾向は続く可能性があります。
なぜ研究者やハッカーがバグバウンティプログラムに参加するのですか？バグバウンティプログラムを介してバグを見つけたりニュースを提供したりすると、それぞれのお金のボーナスや認識につながる可能性があります。場合によっては、就職先を探したら実際の専門知識を示すことができれば幸いです。また、企業内の保護チームの保護者を紹介することもできます。
これは、私たちの何人かにとってはフルタイムの収入、雇用を補うための収入、またはあなたのスキルを指摘してフルタイムの仕事を見つける方法です。
それも楽しいかもしれません！巨大な企業や政府機関に対してあなたのスキルをチェックするのは良い（合法的な）確率です。
独立した研究者やハッカーにとってのバグバウンティプログラムの不利な点はどの領域にありますか？多くのハッカーがこれらの種類のプログラムに参加しており、プラットフォームで大量の現金を形成するのは難しいでしょう。
報酬を言うには、ハッカーがバグをプログラムに提出する主要な人物である必要があります。つまり、適用する場合、使用するバグを探すために数週間を支払うことができます。それを報告し、現金を稼ぐ人になるためだけです。
主要なバグバウンティプラットフォームの参加者の約97人は、バグを売り切れていません。
実際、HackerOneからの2019年のレポートでは、登録ユーザーの30万人のうち、約2.5％だけがプラットフォームでの賞金を受け取っていることが確認されています。
基本的に、ほとんどのハッカーはこれらのプラットフォームで多くの現金を生み出しておらず、フルタイムの賃金を切り替えるのに十分な額を生み出すことはほとんどありません（さらに、休暇、保険、退職後の計画などの利点はありません）。
組織にとってのバグバウンティプログラムの不利な点をどのように測定しますか？これらのプログラムは、プログラムが企業で自分自身を見つけることができなかった問題に気付いた場合（そしてそれらの問題を修正する場合）にのみ役立ちます！
企業が既知の問題を迅速に修正できるほど成熟していない場合、バグバウンティプログラムは彼または彼女の企業にとって適切な代替手段ではありません。
また、バグ報奨金プログラムはおそらく、膨大な範囲の提出物を引き込むことになるでしょう。そのうちのいくつかは、高品質の提出物ではありえません。企業は、誇張された量のアラートと、コーヒー信号とノイズの大きさの関係のリスクに対処する準備ができている必要があります（基本的に、有用なレポートごとに役に立たないレポートをほとんど受け取らない可能性があります）。
さらに、プログラムが十分な参加者を引き付けない場合（または、不適切なタレントセットを持つ参加者であるため、参加者がバグを特定できない場合）、プログラムは企業にとって有用ではありません。
脆弱性報奨金の参加者の圧倒的多数は、Webサイトの脆弱性（HackerOnあたり72％）を考慮していますが、パッケージの脆弱性を探すには、ほんの数（3.5％）の方が高く評価されています。
これはおそらく、オペレーティングシステム（ネットワークハードウェアやメモリなど）のハッキングには非常に専門的な経験が大量に必要であるという実際の事実によるものです。これは、企業がWebサイトのバグバウンティへの投資に不可欠であり、代替アプリケーション、特に専門的な経験を必要とするアプリケーションではないことを意味します。
これは、選択した時間枠内でANアプリケーションまたはWebサイトを確認する必要がある組織は、一度またはレポートを受け取る保証がないため、バグバウンティに依存する必要がない可能性があることを意味します。
最後に、フリーランスの研究者があなたのネットワークに侵入しようとすることを許可することはおそらく危険です。これは、バグの公の言論行為、脚光を浴びる中で名前の危害を加えること（組織の製品またはサービスの購入に熱心でない個人に終わる可能性があります）、または追加の悪意のある第三者へのバグの言論行為で終わる可能性があります。このデータは組織に焦点を当てます。

ハニートラップは、攻撃者が魅力的な人物になりすましてオンラインで人物を標的にし、偽のオンライン関係を開始して標的企業に関する機密情報を入手する手法です。この手法では、被害者は標的組織に関する重要な情報を持っているインサイダーです。
ベイティングは、攻撃者がログインの詳細やその他の機密データなどの重要な情報と引き換えに、エンドユーザーに魅力的なものを提供する手法です。この手法は、エンドユーザーの好奇心と欲望に依存しています。攻撃者は、駐車場、エレベーター、バスルームなど、悪意のあるファイルを簡単に見つけられる場所に、悪意のあるファイルを含むUSBフラッシュドライブなどの物理デバイスを置いたままにして、この手法を実行します。この物理デバイスには、正規の会社のロゴのラベルが付いているため、エンドユーザーをだまして信頼させ、システムで開くように仕向けます。被害者が接続してデバイスを開くと、悪意のあるファイルがダウンロードされます。システムに感染し、攻撃者が制御できるようにします。
たとえば、攻撃者は、「従業員の給与情報2019」というラベルと合法的な会社のロゴが付いた、USBドライブの形で餌をエレベーターに残します。好奇心と貪欲さから、被害者はデバイスを手に取り、システム上でそれを開き、餌をダウンロードします。餌がダウンロードされると、悪意のあるソフトウェアが被害者のシステムにインストールされ、攻撃者がアクセスできるようになります。