| dc.contributor.advisor | Jaatun, Martin Gilje | |
| dc.contributor.advisor | Bernsmed, Karin | |
| dc.contributor.author | Trond Hønsi | |
| dc.date.accessioned | 2020-06-06T16:00:28Z | |
| dc.date.available | 2020-06-06T16:00:28Z | |
| dc.date.issued | 2020 | |
| dc.identifier.uri | https://hdl.handle.net/11250/2657064 | |
| dc.description.abstract | I en verden hvor hackere tar datasystemer som gisler i bytte mot løsepenger, og myndighetene truer med bøter hvis personinformasjon kommer på avveie, blir det stadig viktigere å sikre datasystemene sine mot trusler. Flere firmaer har begynt å sette av mer plass i budsjettene deres for tiltak som fremmer informasjonssikkerhet. Likevel, er det ikke alle firmaer som har midlene det kreves til å sikre systemene sine ordentlig, hvor det ofte er de små firmaene som sliter mest. Over 99\% av alle firmaer i Norge faller under kategorien små til mellomstor bedrift (SMB), og det vil da være mange firmaer i Norge som vil slite med kjøpe sikkerhetsløsninger etter dagens standard.
Et potensielt billigere alternativ til vanlige sikkerhetsløsninger, som har hat markant fremgang de siste årene, er å sikre bedriftens løsninger gjennom bug bounty programmer (BBP). Dette er en prosess hvor firmaer inviterer hackere til å lete etter sikkerhetssvakheter i systemene sine, hvor penger blir belønnet i bytte mot rapporter om sårbarheter. Denne masteroppgaven sikter på å utforske dette alternativet som en billigere, men fortsatt effektivt fremgangsmåte for norske SMB-er. En fremgangsmåte som vil styrke informasjonssikkerheten til bedriften, samtidig som bedriften kan fortsette å være lønnsom.
Det er gjort lite forskning på om bug bounty programmer er en bærekraftig metode for å bedre sikkerheten, og enda mindre med det norske markedet i tankene. Det ble i løpet av prosjektets gang utført en litteraturgjennomgang av disse forskningsartiklene. Mengden artikler var få, og informasjonen i dem var utdatert, eller tatt i bruk i eksisterende programmer.
Fire delvis strukturerte intervjuer ble holdt med personer fra det norske bug bounty program-miljøet. To norske selskaper som har implementert deres egne bug bounty programmer gav innsikt i hvordan et vellykket program fungerer i Norge. Videre gav two bug bounty-jegere innsyn i forventinger, erfaringer, og inntrykk personene som sitter på den motsatte siden har.
Funnene i oppgaven indikerer at om en SMB har råd til tradisjonell penetrasjonstesting, så burde pengene bli brukt her. Større bedrifter på den andre siden kjøper ofte Bug Bounty som en tjeneste, og reduserer slik kostnadene betraktelig for hver sårbarhet som blir funnet. Oppgaven presenterer likevel et oppsett for et bug bounty program som norske SMBer kan ta i bruk hvis penetrasjonstesting ikke er en mulighet. Oppgaven avdekket også interessante detaljer om forholdet mellom bedrifter og hackerne, samt maktbalansen mellom dem. | |
| dc.description.abstract | In a world where hackers take companies' computer systems as hostage in exchange for ransom, and authorities threaten with fines if personal information ever get into the wrong hands, more and more resources are spent on securing computer systems. Companies have begun to reserve more room in their budgets for information security. However, not all companies have the required resources to secure their system. Over 99\% of all companies in Norway are small to medium-sized businesses (SMB), and these companies do not always have the required budget to pay for the standard security solutions that are available today.
A potential alternative to standard security solutions that has had major growth in recent years is securing a company's information systems through bug bounty programs (BBP). This is a process where companies invite hackers to research vulnerabilities on their system, with monetary rewards being given in exchange for these vulnerabilities. This master's thesis aims to explore this alternative, as a cheaper but still effective way for Norwegian SMBs to increase the security of their information systems and services, and still remain a business that can make a profit.
Limited research has been done on bug bounty programs as a viable method for security, and even less has been done with the Norwegian market in mind. In this project, a review was performed on research literature concerning bug bounty programs. There was not much research available, and the good attributes were found in existing bug bounty programs.
Four semi-structured interviews were then held with with people from the bug bounty program community in Norway. Two Norwegian companies that host their own bug bounty programs, gave insight in how a successful bug bounty programs functions in Norway. Furthermore, two bug bounty hunters gave insight in expectations, experiences and impressions the people sitting on the other side has.
The findings in this thesis indicate that if an SMB can afford traditional penetration testing, spending the money on that is most likely the best option, where as companies of a larger size can purchase Bug Bounty as a Service (BBaaS) reduce the expenses made for each vulnerability uncovered. However, the thesis also propose a structure for a bug bounty program that Norwegian SMBs can try to implement for their systems, if penetration testing is not an option. The thesis also uncovered some interesting details of the relationships between the hackers and the company, and the balance of power among them. | |
| dc.language | eng | |
| dc.publisher | NTNU | |
| dc.title | Er Bug Bounty Programmer en Bærekraftig Behandling for Sikkerhetsmangler? | |
| dc.type | Master thesis | |
