Число нападений на объекты кибербезопасности продолжает расти не только в количественном отношении, но и в плане их изощренности и сложности. Нарушение данных, нарушающее GDPR, может повлечь за собой штраф в размере до 20 млн. евро, или до 4% от ежегодного мирового оборота. Понятно, что 40% руководителей очень нервничают по поводу того, что станут следующей жертвой хакерской атаки, согласно обзорному отчету PWC CEO.
Шансы в пользу злоумышленников, которым нужно использовать только один недостаток безопасности, чтобы скомпрометировать целую организацию. В отличие от хакеров, командам безопасности, поручено защищать от всех потенциальных уязвимостей с сильно ограниченными ресурсами.
Беглый просмотр любой новостной сюжета будет представлять собой стереотипное изображение хакера в толстовке, скомканное на клавиатуре с бинарным кодом. Этот устаревший образ - всего лишь один из многих опасных мифов, которые вредят предприятиям, пытающимся устранить критические уязвимости в безопасности.
Этический хакерский подход проложил путь для так называемых "багов", так как компании всех размеров обратились к краудсорсингу в борьбе с хакерами. Общедоступные программы поощрения за ошибки широко используются для усиления защиты безопасности и устранения уязвимостей. Некоторые компании идут настолько же далеко, насколько и хакеры, чтобы найти ошибку на сайте.
Единственная уверенность заключается в том, что команды безопасности ограничены в ресурсах, а хакеры - нет. Что касается баг-платформ, то существует множество мифов и заблуждений, которые необходимо развеять.
1. Программы вознаграждения за ошибки должны быть публичными
Технические гиганты, такие как Google, Facebook, и Microsoft, часто заслужили признание за революцию в области безопасности приложений с помощью общественных программ по борьбе с ошибками. Но позиции и подходы с годами изменились. Вопреки распространённому мнению, большинство программ по устранению ошибок на самом деле являются частными. Например, 80% программ HackerOne состоят только из инициатив по получению наград за ошибки по приглашению.
Большинство организаций сейчас предпочитают безопасность и анонимность частной программы, где они могут освоить процесс обработки уязвимостей. Вместо того, чтобы громко и нагло приглашать мир взломать их бизнес, частные модели предлагают более разумную точку входа для того, чтобы впервые попробовать воспользоваться программой, дающей право на получение багов.
Меньшая группа квалифицированных специалистов может быть приглашена на основе их опыта, профессиональных навыков и расположения. Гораздо более сдержанный вариант часто выполняется без каких-либо фанфар или внешнего признания. Для многих предприятий этический хакинг - это путешествие, а не место назначения. Общественные баг-боги также имеют огромные дополнительные преимущества, но это редко является первым шагом для организации.
2. Благотворительность за жучки только для технологических компаний.
Конечно, именно крупнейшие в мире технологические компании помогли популяризировать модель "баг-баунт". Но есть аргумент, что каждый бизнес - это технологическая компания в этом все более цифровом мире, где дистанционная работа стала новой нормой. В результате этих изменений модель эволюционировала, чтобы соответствовать традиционным организациям и отраслям.
По данным BugCrowd, все, начиная от компаний, предоставляющих финансовые услуги, и заканчивая государственными структурами, приняли участие в частных программах по борьбе с ошибками. Традиционные организации, начиная от финансовых компаний и заканчивая государственными структурами, в последние годы приняли участие в частных программах. Даже ЕС объявил, что в прошлом году будет финансировать программы по борьбе с жуками для 14 проектов с открытым исходным кодом.
Было бы глупо, в лучшем случае, для традиционных отраслей промышленности немедленно продемонстрировать свои уязвимые места на виртуальной публичной арене. В очередной раз частные программы по борьбе с ошибками предлагают полупансиона, который является конкурентоспособным, но в гораздо более контролируемой среде.
3. Доверительные хакеры - рискованный бизнес.
Перспектива приглашения хакеров для использования уязвимостей в вашем бизнесе может показаться невероятно пугающей. Зачем рисковать приглашением неприятностей в свою компанию? Но есть и обратный аргумент: зарывать голову в песок - это, пожалуй, самое худшее, что можно сделать. Безопасность - это путешествие, а не пункт назначения, и ответственность, возможно, является одним из самых больших оружий против плохих парней.
Мы точно знаем, что уязвимость, риски и взломы продолжают расти. Постоянное обновление политик безопасности, процедур и информационных программ имеет решающее значение. Когда перед организацией ставится задача снизить риск в организации, уязвимость в сети намного перевешивает опасность, связанную с запуском программы по борьбе с ошибками.
Исследования в области безопасности следует рассматривать как возможность раскрыть ценную информацию, осмеливаясь исследовать неизвестные уязвимости. Пришло время отказаться от устаревшей концепции хакеров в толстовке и безосновательной паранойи. В контролируемой среде эти современные исследователи в области безопасности могут помочь вашей организации, исправив недостатки и снизив риск, а не навредив ей.
4. Жучки - это замена для тестирования на проникновение.
Это правда, что внутреннее тестирование само по себе не является ответом. К сожалению, нет ни серебряной пули, ни готового раствора. Но каждый бизнес потребует широкого набора инструментов в своем распоряжении. Традиционно компания обращается к тестированию на проникновение.
