Identifique y aborde vulnerabilidades con nuestra plataforma de Bug Bounty
Nuestra plataforma de Bug Bounty, única y flexible, protege sus sistemas de las últimas amenazas cibernéticas.
El Bug Bounty de LRQA le brinda acceso en tiempo real a nuestros expertos en seguridad de clase mundial
Un Bug Bounty es un programa que permite a las organizaciones recompensar a hackers éticos (a veces llamados hackers de sombrero blanco) por identificar y reportar vulnerabilidades de seguridad en sus sistemas, aplicaciones o infraestructura. Al aprovechar una red global de expertos en ciberseguridad, las empresas pueden probar continuamente sus defensas de seguridad en escenarios reales. Este enfoque proactivo ayuda a prevenir costosas brechas, mitigar riesgos y mejorar la postura general de seguridad.
La investigación de vulnerabilidades y el desarrollo de software de seguridad ofensiva son parte de lo que somos, y nuestra amplia experiencia en sistemas gubernamentales, infraestructura nacional crítica, sistemas financieros globales clave y más nos ha permitido crear un programa de Bug Bounty como ningún otro. Nuestra plataforma flexible revela las vulnerabilidades cibernéticas de una organización según las amenazas que más le importan y le brinda acceso en tiempo real a nuestro equipo altamente capacitado de profesionales con autorización de seguridad.
Experiencia galardonada
Nuestro equipo de ciberseguridad sigue obteniendo múltiples certificaciones de proveedores, acreditaciones de la industria altamente respetadas y reconocimientos internacionales, lo que demuestra la amplitud, profundidad e impacto de sus servicios.
Solo paga cuando descubrimos vulnerabilidades
Con un Bug Bounty, usted paga por los resultados. Si no encontramos vulnerabilidades, no paga.
Siempre activo
Las vulnerabilidades que identificamos en sus sistemas se informan a través de nuestra plataforma de Bug Bounty siempre activa.
Puntuación de severidad de vulnerabilidades
Cada vulnerabilidad se clasifica según su puntuación CVSSv3. Proporcionamos la cadena vectorial para que pueda ver exactamente cómo llegamos a una puntuación determinada.
Experiencia
Contamos con la confianza para realizar pruebas de penetración en sistemas gubernamentales e infraestructuras nacionales críticas, y llevamos esa experiencia a nuestro Bug Bounty.
Nuestro enfoque
Usamos típicamente los programas de Bug Bounty y las pruebas de penetración juntos para fortalecer la madurez de su ciberseguridad. Ambos enfoques proporcionan garantías de manera complementaria de la siguiente manera:
Entendiendo sus objetivos
Después de tomarnos el tiempo para comprender completamente sus objetivos de seguridad, nuestro equipo de expertos diseñará un programa de Bug Bounty orientado por amenazas que cumplirá con esos objetivos.
Pruebas de alta calidad realizadas por expertos con autorización de seguridad
Nuestras pruebas de seguridad son realizadas por nuestro equipo de profesionales verificados, mientras que el programa es gestionado por un gerente experimentado de programas de Bug Bounty. Estas dos entidades trabajan juntas para garantizar que cada hallazgo sea rigurosamente controlado en calidad, medido objetivamente y publicado de manera oportuna. Cada vulnerabilidad se clasifica según su puntuación CVSSv3 y proporcionamos una declaración de impacto, un recorrido de explotación, capturas de pantalla, instrucciones de reproducción y orientación para la remediación.
Plataforma dedicada
Interactuamos con usted a través de nuestra plataforma de Bug Bounty tanto como lo necesite, trabajando con usted hasta que se sienta seguro en su enfoque de remediación. Una vez que haya remediado una vulnerabilidad, la volvemos a probar y confirmamos que la solución fue exitosa. Si encontramos una vulnerabilidad en software suministrado por un proveedor, podemos usar nuestro equipo maduro de divulgación coordinada para garantizar que el proveedor emita un parche de manera oportuna, todo sin costo alguno.
Informe ejecutivo
Ofrecemos un servicio personalizado de informes y reuniones informativas para ejecutivos. Esto suele ocurrir al final de su programa de Bug Bounty o de manera periódica, según lo que tenga más sentido para su organización.
¿Por qué trabajar con nosotros?
Garantía continua
Nuestros expertos en ciberseguridad detectaron más de 15,500 vulnerabilidades a través de pruebas de penetración durante 2023.
Liderazgo en la industria
Lideramos y damos forma a la industria en juntas asesoras y consejos, incluidos el PCI SSC Global Executive Assessor Roundtable y los consejos de CREST en las Américas, Asia, EMEA y el Reino Unido. Estamos certificados por una variedad de organismos reguladores, incluyendo la industria de tarjetas de pago, y estamos aprobados como Qualified Security Assessor.
Dondequiera que estés
Operando en más de 55 países, con más de 250 especialistas dedicados en ciberseguridad y más de 300 auditores altamente calificados en seguridad de la información en todo el mundo, podemos ofrecer un servicio local con un compromiso global y constante con la excelencia.
Ganadores de premios
Hemos sido reconocidos por la amplitud y profundidad de nuestros servicios, incluyendo el premio TEISS a la Mejor Prueba de Penetración en 2024, los premios de Detección de Amenazas Empresariales y Seguridad en la Nube en los Security Excellence Awards 2024, y el Stratus Award al Mejor Servicio de Seguridad en la Nube Gestionada.
Nuestro programa de Bug Bounty es una plataforma única y flexible que le ofrece:
• Acceso a un equipo altamente capacitado de profesionales de seguridad con autorización de seguridad.
• Hallazgos de vulnerabilidades que ningún otro programa revelará.
• Integración con herramientas de terceros como Jira y ServiceNow.
• Acceso en tiempo real e interactivo a nuestro equipo y hallazgos de vulnerabilidades a través de nuestra plataforma en línea de Bug Bounty.
• Informes ejecutivos a través de reportes y reuniones informativas periódicas.
• Asistencia gratuita con la divulgación de vulnerabilidades de proveedores utilizando nuestro experimentado equipo de asesores.
• Reevaluación gratuita de los hallazgos: lo apoyaremos con nuestro conocimiento experto y seguiremos reevaluando hasta que la vulnerabilidad haya sido remediada.
El líder mundial en acreditaciones CREST
Nos enorgullece ser la única organización en el mundo con un conjunto completo de acreditaciones del Consejo de Testers Éticos de Seguridad Registrados (CREST).
Nuestro equipo de consultores ha logrado las acreditaciones más altas en pruebas de penetración, Red Teaming, servicios de respuesta a incidentes e inteligencia de amenazas. Además, fuimos la primera organización en obtener la acreditación CREST para nuestros servicios del Centro de Operaciones de Seguridad.
Preguntas Frecuentes
¿Cómo distinguimos la actividad de prueba de los ataques reales?
La atribución es importante. Todo nuestro tráfico de Bug Bounty proviene del mismo rango de direcciones IP, el cual compartimos con usted por adelantado. Al hacerlo, puede estar seguro de que nuestra actividad de prueba es nuestra y no de un actor de amenazas real.
¿Deberíamos incluir su rango de direcciones IP en la lista blanca de nuestros controles de seguridad?
No recomendamos incluirnos en una lista blanca de ninguna manera. Los Bug Bounties están diseñados para probar la postura de seguridad de su organización tal como se presenta al mundo exterior. Por lo tanto, a diferencia de una prueba de penetración con tiempo limitado, cuyo objetivo suele ser encontrar la mayor cantidad de vulnerabilidades dentro de ese marco temporal, la lista blanca no tiene tanto sentido en un Bug Bounty.
¿Dónde se almacena la información del Bug Bounty?
Todos los datos se almacenan en nuestra plataforma de Bug Bounty, alojada en AWS. Manejamos esos datos de acuerdo con nuestras estrictas políticas de manejo y retención de datos, que forman parte de nuestra certificación ISO 27001.
¿Cómo nos aseguramos de que se enfoquen en las áreas que más nos importan?
Le permitimos crear reglas de participación personalizadas para cada programa de Bug Bounty. Por ejemplo, puede definir el alcance que probamos, los tipos de vulnerabilidades que enviamos y en qué áreas pasamos la mayor parte del tiempo. Proporcionamos reglas de participación predeterminadas que funcionan bien para la mayoría de los clientes, las cuales puede modificar libremente.
Tenemos sistemas de producción en el alcance. ¿Cómo manejan el riesgo de impacto en el servicio?
Seguimos una metodología de caza de vulnerabilidades no disruptiva y no destructiva. Todas las pruebas las realizan miembros del equipo con experiencia en probar de manera segura sistemas de alta importancia y de producción. Aunque ninguna actividad de prueba está completamente libre de riesgos, tenemos mucha experiencia en evitar interrupciones, y nuestra tasa de incidentes es extremadamente baja.
¿Cómo califican la gravedad de cada vulnerabilidad?
Utilizamos el Sistema de Puntuación de Vulnerabilidades Común (CVSS) v3 para calificar las vulnerabilidades. CVSS v3 especifica rangos de gravedad, por ejemplo, una puntuación de 9.0 a 10 es crítica, de 7.0 a 8.9 es alta, y así sucesivamente. Proporcionamos la cadena vectorial de CVSS junto con la puntuación para que sea claro cómo se determinó la calificación.
¿Cuál es el precio del servicio?
Cada vulnerabilidad se asigna a una puntuación y gravedad según CVSS v3. El precio depende de la gravedad; una vulnerabilidad crítica tiene un precio más alto que una vulnerabilidad de baja gravedad. Recomendaremos un modelo de precios basado en los sistemas objetivo y su postura de seguridad percibida. Cada programa tiene un pago máximo total para garantizar un presupuesto confiable. Cobramos una tarifa de gestión baja en comparación con otros proveedores, por lo que, en su mayoría, está pagando por vulnerabilidades.
¿Cómo me notificarán sobre una nueva vulnerabilidad?
Nuestro servicio de Bug Bounty se ejecuta en una plataforma en línea que le proporciona varias opciones granulares de notificación. Actualmente, ofrecemos notificaciones dentro de la plataforma, correos electrónicos y mensajes SMS. Por ejemplo, puede decidir que una notificación de vulnerabilidad crítica se envíe por mensaje de texto y correo electrónico, mientras que una vulnerabilidad de severidad media se notifique solo por correo electrónico.
¿Tengo que usar su plataforma para interactuar con el servicio?
Nuestra plataforma presenta una API que proporciona todas las funcionalidades de nuestra aplicación web principal de Bug Bounty. Esto significa que puede integrar cualquier software con nuestra plataforma y dejar que la aplicación web pase a un segundo plano. También proporcionamos varios asistentes para la integración rápida y fácil con software de gestión de tickets comunes como ServiceNow y Jira.
¿Qué sucede si encuentran una nueva vulnerabilidad en un software de terceros?
Regularmente descubrimos vulnerabilidades previamente desconocidas que afectan a software de terceros. Nuestro equipo de divulgación coordinada tiene una amplia experiencia trabajando con proveedores de software para acelerar la producción de un parche.
¿Qué pasa si tengo preguntas adicionales sobre un hallazgo?
Cada vulnerabilidad que descubrimos está documentada de manera clara y concisa. Nos esforzamos por demostrar el impacto, garantizar la reproducibilidad y proporcionar orientación detallada sobre la remediación. Si necesita hablar con nosotros sobre un hallazgo, puede hacerlo directamente a través de nuestra plataforma. No nos detendremos hasta que tenga toda la información y comprensión que necesita.
¿En qué horario realizan las pruebas?
Nuestras reglas de participación predeterminadas permiten pruebas las 24 horas del día, los 7 días de la semana. Recomendamos mantener la ventana de pruebas lo más abierta posible. Nuestro equipo a menudo trabaja en la plataforma de Bug Bounty fuera del horario laboral habitual, y algunos de sus mejores hallazgos ocurren fuera de las horas normales de trabajo. Nuestras reglas de participación predeterminadas prohíben el escaneo masivo de vulnerabilidades y cualquier otra actividad que tenga una mayor probabilidad de causar un impacto negativo. Los hallazgos de un Bug Bounty tienden a ser manuales debido a una evaluación lenta y deliberada durante un período prolongado. Por supuesto, puede establecer cualquier regla de participación que desee, incluida la definición de horarios de prueba permitidos. Del mismo modo, puede pausar un Bug Bounty en cualquier momento, por ejemplo, durante una congelación de cambios.
Proporcionando Pruebas de Seguridad a una empresa líder de inversión financiera en el Reino Unido
Este cliente había experimentado anteriormente un gran número de vulnerabilidades, de las cuales LRQA pudo ayudar. Los servicios implementados proporcionaron al cliente un enfoque proactivo y dirigido por amenazas; informado por nuestros equipos de inteligencia ofensiva y de amenazas para protegerse contra las últimas amenazas de la industria.
Ver caso de estudio
