Ödül avcılığı programı kapsamında sektörel bazlı güvenlik açıkları analizi
No Thumbnail Available
Date
2023
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
İstanbul Ticaret Üniversitesi
Access Rights
info:eu-repo/semantics/openAccess
Abstract
Günümüzde teknolojinin gelişmesi ile siber güvenliğin önemi giderek artmaktadır. Hayatımızın her adımında yer alan bilgisayar sistemlerinde oluşacak açıklar yüzünden kullanıcıların güvenliği ciddi şekilde zarar görebilmektedir. Bu açıkların olası en kısa zamanda giderilmesi ve sistemin güvenli hale getirilmesi büyük maliyetler gerektirebilir. Bu durumların henüz oluşmadan önüne geçebilmek için birçok önlem alınmaktadır. Bu önlemlerden birisi de ödül avcılığı yarışmalarıdır. Bu kapsamda yarışmacı bir saldırgan mantığında çalışarak hedef sistemin güvenlik açıklarını (zafiyet) keşfetmeye çalışır. Tespit sonrası hedef sistemin zafiyetlerin giderilmesi için gerekli bilgi ve desteği sağlar. Bu tür testler sayesinde sistemler daha güvenli bir şekilde hizmet vermeye devam eder. Tespit edilen zafiyetlerin kritiklik seviyesi ve etki alanına göre maliyeti değişmektedir. Ödül avcılığı yöntemleri bize doğrudan şirketler ve sektörler hakkında bilgi vermese de çıktılar incelenerek sektörlerde tespit edilen hatalar, etkiler incelenmiştir. Bu çalışma kapsamında "Hackerone" ismiyle öne çıkan ödül avcılığı platformu üzerinde incelemeler yapılmıştır. Platform üzerinde herkesin erişimine sunulmuş zafiyet raporları içerisinden 11162 adet rapor 7 başlıkta toplanacak şekilde analiz edilmiştir. Bu başlıklar arasında en çok zafiyeti olan 76 şirket baz alınarak, 14 farklı sektörel dağılım üzerinden analizler yapılmış ve sektörler arası güvenilirlik durumları incelenmiştir. İnceleme sonucunda ödül avcılığı için sektörel bazda ne kadar yatırım yapıldığı, her bir zafiyet için ne kadar ödeme yapıldığı ve ödeme miktarına bağlı olarak elde edilen sonuçlar incelenmiş ve kıyaslama yapılmıştır. Buna göre ödül avcılığında en çok yatırıma sahip olan sektörün en çok zafiyet oranına sahip olduğu tespit edilmiştir. Verilen ödüllerin ortalamasına göre en çok ödül veren şirketlerin sektörler bazında sırasıyla eğlence, oyun ve e-ticaret iken en düşük ödül verenlerin ise sırasıyla tekstil, konaklama ve teknik servis sektörü olduğu çıkarımına varılmıştır.
With the increase of technology development nowadays, the importance of cyber security is also increasing. Due to vulnerabilities in the computer systems that take place in every step of our lives, the security of users can be compromised. Patching the vulnerabilities and securing the systems as soon as possible may require huge budgets. Many measures are taken to prevent these incidents before they occur. One of these measures is bug bounty programs. In this context, the security researcher follows the hacker's logic and tries to find vulnerabilities in the targeted systems. After detecting the vulnerabilities, the researcher provides necessary information and support to patch these vulnerabilities in the affected systems. Thanks to such security tests, systems continue to provide their services more securely. The amount of bounty varies according to the criticality and the scope of the detected vulnerabilities. Despite the fact that bug bounty methods don't give us direct information about companies and sectors, by reviewing the bug reports, the detected bugs and their effects on sectors were examined. In this study, researches were made on a well known bug bounty platform called "Bugcrowd". Among the vulnerability reports that are available to everyone on the platform, 11162 reports were analyzed and classified under 7 categories. Based on 76 companies with the most vulnerabilities in these categories, 14 different sectoral distributions were analyzed and their inter-sectoral reliability was examined. As a result of the research, on a sectoral basis, the size of investment allocated for bug bounty, the amount of money paid for each vulnerability, and the results obtained based on amount of money paid were examined and compared. Accordingly, the sector with highest investment for bug bounty found to be the highest in vulnerability rate. Similarly, while the highest average amount of bounties were paid by Entertainment, Gaming, and E-commerce sectors respectively, the lowest average amount of bounties were paid by Textile, Accommodation, and Technical Service sectors respectively.
With the increase of technology development nowadays, the importance of cyber security is also increasing. Due to vulnerabilities in the computer systems that take place in every step of our lives, the security of users can be compromised. Patching the vulnerabilities and securing the systems as soon as possible may require huge budgets. Many measures are taken to prevent these incidents before they occur. One of these measures is bug bounty programs. In this context, the security researcher follows the hacker's logic and tries to find vulnerabilities in the targeted systems. After detecting the vulnerabilities, the researcher provides necessary information and support to patch these vulnerabilities in the affected systems. Thanks to such security tests, systems continue to provide their services more securely. The amount of bounty varies according to the criticality and the scope of the detected vulnerabilities. Despite the fact that bug bounty methods don't give us direct information about companies and sectors, by reviewing the bug reports, the detected bugs and their effects on sectors were examined. In this study, researches were made on a well known bug bounty platform called "Bugcrowd". Among the vulnerability reports that are available to everyone on the platform, 11162 reports were analyzed and classified under 7 categories. Based on 76 companies with the most vulnerabilities in these categories, 14 different sectoral distributions were analyzed and their inter-sectoral reliability was examined. As a result of the research, on a sectoral basis, the size of investment allocated for bug bounty, the amount of money paid for each vulnerability, and the results obtained based on amount of money paid were examined and compared. Accordingly, the sector with highest investment for bug bounty found to be the highest in vulnerability rate. Similarly, while the highest average amount of bounties were paid by Entertainment, Gaming, and E-commerce sectors respectively, the lowest average amount of bounties were paid by Textile, Accommodation, and Technical Service sectors respectively.
Description
Fen Bilimleri Enstitüsü, Bilgisayar Mühendisliği Ana Bilim Dalı, Bilgisayar Mühendisliği Bilim Dalı
Keywords
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
