Peretasan untuk Baik: Platform Keamanan Crowdsourced Bugcrowd adalah Solusi Generasi Berikutnya untuk Pengurangan Risiko Berdasarkan Permintaan

TL; DR: Bugcrowd adalah platform keamanan crowdsourced yang memanfaatkan kekuatan peretas etis untuk mengurangi risiko dalam organisasi. Dengan memanfaatkan pendekatan berbasis manusia untuk pengungkapan kerentanan, karunia bug, dan pengujian pena, perusahaan menutup celah antara motivasi penyerang dan motivasi para pembela keamanan perusahaan tradisional. Pada akhirnya, Bugcrowd memberdayakan perusahaan untuk membangun reputasi yang kuat dalam hal keamanan sambil membebaskan bakat internal untuk inisiatif mendesak lainnya.


Dengan semua senjata dingin yang terdengar teknis yang digunakan dalam serangan online hari ini – malware, phishing, injeksi SQL, penolakan layanan – mungkin sulit untuk mengingat bahwa manusia yang hidup dan bernapas berada di belakang masing-masing.

Tetapi keamanan digital pada dasarnya adalah masalah manusia, bukan masalah teknis.

“Manusia menciptakan teknologi, tetapi mereka tidak sempurna, dan terkadang kesalahan mereka berubah menjadi kerentanan,” kata Casey Ellis, Pendiri dan CTO dari Bugcrowd. “Di sisi lain, Anda memiliki musuh kreatif yang didorong oleh keinginan manusia untuk mengidentifikasi kesalahan-kesalahan itu dan mengeksploitasinya.”

Foto Casey Ellis dan poster Bugcrowd di dinding bata

Pendiri dan CTO Casey Ellis memberi tahu kami bagaimana Bugcrowd memanfaatkan kekuatan peretas etis untuk mengurangi risiko dalam organisasi.

Banyak solusi pertahanan keamanan perusahaan yang tersedia di pasaran saat ini memanfaatkan solusi teknis seperti otomasi dan pembelajaran mesin untuk mengurangi risiko yang ditimbulkan oleh musuh. Tetapi Bugcrowd mengambil pendekatan berbasis manusia, memanfaatkan kekuatan kolektif peretas etis untuk mengeraskan permukaan serangan.

“Kami telah membangun pasukan orang-orang baik yang dapat berpikir seperti orang jahat untuk membantu menjadikan internet tempat yang lebih aman,” kata Casey..

Platform keamanan crowdsourced Bugcrowd membantu organisasi mengelola karunia bug, pengungkapan kerentanan, dan program pengujian penetrasi dengan menggabungkan keahlian tim internal dengan para peretas etis tepercaya di seluruh dunia.

Selain pengurangan risiko yang cepat, tim keamanan crowdsourced dapat mengurangi biaya dan menurunkan biaya operasional dengan membebaskan bakat internal dalam bisnis untuk fokus pada tugas-tugas tingkat tinggi. Pada akhirnya, Bugcrowd mengukur keberhasilannya pada seberapa baik keduanya membantu organisasi melindungi aset digital mereka dan memungkinkan mereka untuk membangun reputasi yang kuat sebagai pemimpin dalam keamanan online.

Pendekatan Berbasis Manusia untuk Manajemen Ancaman

Bugcrowd didirikan pada 2012 dengan kantor pusat di San Francisco. Saat itu, Casey – yang telah menjelajah ke bidang keamanan dan jaringan langsung dari sekolah menengah dan menyaksikan industri berkembang selama bertahun-tahun – mengamati kekurangan sumber daya keamanan yang dapat digunakan bisnis untuk melindungi lingkungan digital mereka.

Sekitar waktu yang sama, Google dan Facebook memperkenalkan program karunia bug yang menghargai mereka yang bisa mengidentifikasi kerentanan keamanan dalam platform mereka. “Seluruh gagasan tentang karunia bug dimulai pada 1995 dengan Netscape, tetapi butuh sampai 2011 atau lebih ketika Google dan Facebook melompat untuk membuatnya lebih dipahami di komunitas keamanan,” kata Casey..

Kekurangan sumber daya cybersecurity dan meningkatnya popularitas program karunia bug menginspirasi Casey untuk memulai Bugcrowd. “Kedua hal itu bersatu, jadi saya memutuskan untuk membuat pasukan sekutu untuk memerangi musuh-musuh kita – dan menghubungkan pasukan itu dengan permintaan,” katanya.

Kolase foto dari tim Bugcrowd

Solusi keamanan sumber daya Bugcrowd didukung oleh tim peretas etis tepercaya dari seluruh dunia.

Hari ini, Bugcrowd membantu mendefinisikan kembali keamanan untuk bisnis di lebih dari 50 industri dan 30 negara. Basis pelanggan perusahaan termasuk juga pelanggan pemula, pasar menengah, dan Fortune 500. Beberapa perusahaan terbesar di dunia, termasuk Mastercard, Etsy, Jet, Tesla, NETGEAR, Sophos, dan Fiat Chrysler Automobiles, percaya Bugcrowd untuk melindungi aset digital mereka.

Ketika datang ke pengembangan internal, Bugcrowd beralih ke pelanggan dan komunitas peneliti globalnya untuk mendapat masukan untuk menginformasikan rencana masa depan.

“Semuanya bermula untuk dapat mendengarkan kelompok-kelompok ini untuk memahami fitur dan inovasi yang mereka harapkan berdasarkan penilaian mereka sendiri di mana segala sesuatunya berada,” kata Casey. “Kami mengintegrasikan umpan balik itu ke dalam layanan kami berdasarkan ke mana arah pasar. Itu adalah bagian inti dari cara kami beroperasi. “

Pengungkapan Kerentanan, Bug Bug, dan Pengujian Pena

Platform pengurangan risiko Bugcrowd dibangun di sekitar tiga bidang mendasar: pengungkapan kerentanan, karunia bug, dan program uji pena generasi berikutnya.

Program pengungkapan kerentanan perusahaan (VDP) menyediakan solusi yang dikelola sepenuhnya untuk menerima, merespons, dan memperbaiki kerentanan yang dilaporkan oleh komunitas keamanan global. Dengan adanya VDP, perusahaan dapat menyediakan kerangka kerja bagi pihak eksternal untuk mengungkapkan kerentanan secara bertanggung jawab sambil menunjukkan komitmen terhadap keamanan. Menurut Bugcrowd, VDP bukan lagi sesuatu yang baik untuk dimiliki – itu suatu keharusan.

“Itu tidak hanya membuatmu ditendang di sekitar risiko tertentu; ini tentang pembelajaran yang dapat Anda ambil dari pengalaman untuk membuat tim pengembangan Anda menjadi lebih baik dalam menghindari hal-hal itu, ”kata Casey.

Mengapa ini berhasil?

Sistem ini membantu mengurangi permukaan serangan menggunakan pendekatan tiga cabang.

Di lain pihak, program karunia bug yang dikelola sepenuhnya oleh Bugcrowd, membantu perusahaan mengakali musuh dengan menggabungkan keahlian manusia, alur kerja keamanan otomatis, dan analitik. Perusahaan menyediakan dukungan ujung ke ujung untuk semua aspek proses, mulai dari pelingkupan program dan rekrutmen kerumunan hingga triage kerentanan dan integrasi SDLC.

Prosesnya mudah: Tentukan area yang akan diuji, dan Bugcrowd akan terhubung dengan peretas yang berspesialisasi dalam teknologi web, seluler, dan IoT untuk menemukan talenta yang tepat. Para peretas kemudian akan mencari kerentanan, yang akan diperiksa, divalidasi, dan diprioritaskan oleh teknisi keamanan Bugcrowd. Platform crowdsourcing bahkan memiliki integrasi dengan alat pengembangan, seperti IRA, Slack, ServiceNow, Trello, dan Github, untuk memberikan informasi yang dihasilkan kepada orang yang tepat di setiap perusahaan.

Akhirnya, pengujian pena generasi mendatang Bugcrowd menggabungkan kecerdasan kolektif komunitas global perusahaan dengan laporan yang didorong oleh metodologi untuk memastikan bisnis memenuhi persyaratan kepatuhan. Satu kelompok terus mencari kerentanan sementara yang lain bekerja melawan metodologi yang ditentukan oleh bisnis.

Ketika semua masalah diselesaikan, sistem memicu laporan kepatuhan yang bersih. Untuk memastikan kredibilitas, Bugcrowd telah menilai proses secara independen untuk kompatibilitas dengan persyaratan peraturan pada pengujian penetrasi, termasuk Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).

Kurangi Risiko Saat Membebaskan Bakat Internal

Kekurangan bakat keamanan yang diamati Casey bertahun-tahun lalu masih ada sampai sekarang. Menurut “Risiko Cyber ​​dalam Studi Bisnis Konsumen” Deloitte, hampir 350.000 pekerjaan keamanan online di AS tetap tidak terisi hingga Juli 2017. Dan studi ini semakin memburuk – studi yang sama memproyeksikan kekurangan global dalam tenaga kerja keamanan informasi untuk melampaui 1,8 juta pekerja pada tahun 2022.

Menurut Casey, Bugcrowd dapat membantu perusahaan mengurangi jumlah karyawan dan merampingkan proses kerja. Dia mengutip perusahaan Fortune 500 yang menggunakan Bugcrowd sebagai contoh: Perusahaan menemukan 90 kerentanan dalam waktu 30 hari sejak penggelaran platform, dan diberitahu tujuh kali lebih banyak kerentanan kritis dibandingkan dengan layanan pengujian penetrasi sebelumnya. Pada akhirnya, keputusan untuk beralih ke Bugcrowd membantu meningkatkan ROI perusahaan.

“Crowdsource tugas-tugas yang sesuai untuk crowdsourcing, dan kemudian tentukan kembali orang-orang internal Anda di daerah-daerah yang jauh di dalam bisnis itu sendiri,” kata Casey.

David Baker, sekarang Wakil Presiden Operasi di Bugcrowd, belajar pelajaran ini secara langsung sebagai mantan pelanggan. Sebelum ia ditunjuk untuk perannya saat ini, David menjabat sebagai CSO dari Okta, di mana ia memanfaatkan platform Bugcrowd untuk mengubah cara operasinya mendekati keamanan..

“Dia percaya pada ide kami dan melihat nilainya,” kata Casey. “Dia mampu membebaskan tiga hingga empat personel dalam penilaian keamanan dan organisasi pertahanannya dalam Okta. Kerumunan mampu masuk dan melakukan pekerjaan yang lebih baik dan lebih terukur pada tugas-tugas karyawan sebelumnya, sementara karyawan menangani lebih banyak tugas tingkat tinggi. Bagi saya, itu hasil yang sempurna. “

Membantu Perusahaan Membangun Reputasi yang Aman

Hingga lima atau enam tahun yang lalu, Casey mengatakan beberapa orang yang mengabarkan nilai keamanan digital dipandang sebagai fanatik industri fanatik – dan masyarakat tidak mendengarkan mereka. “Tapi kemudian sesuatu berubah,” kata Casey. “Tiba-tiba, cybersecurity telah menjadi percakapan di meja makan.”

Di dunia baru ini, organisasi dapat menggunakan aset keamanan mereka untuk menginformasikan strategi bisnis dan pemasaran yang efektif – dan Bugcrowd berharap dapat membantu mereka dalam upaya itu.

“Kami mengumpulkan data dari pelanggan yang berbeda selama tujuh tahun untuk menciptakan kisah yang lebih menarik bagi CSO, VP of security, dan pemimpin keamanan untuk menunjukkan mengapa apa yang mereka lakukan sepadan, dan juga untuk membawa informasi itu ke pasar , ”Kata Casey.

Inisiatif ini akan membantu organisasi mengartikulasikan proposisi nilai mereka dengan lebih baik. “Ini yang terbaik dari kedua dunia: Kami membuat pelanggan mereka lebih aman, tetapi juga membantu mereka membangun reputasi merek yang lebih menarik bagi pelanggan,” kata Casey.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me