Piratage pour de bon: la plateforme de sécurité participative de Bugcrowd est une solution de nouvelle génération pour la réduction des risques à la demande

TL; DR: Bugcrowd est une plate-forme de sécurité externalisée qui exploite la puissance des pirates éthiques pour réduire les risques au sein des organisations. En tirant parti d’une approche humaine de la divulgation des vulnérabilités, des primes de bogues et des tests de plume, la société comble le fossé entre les motivations des attaquants et celles des défenseurs de la sécurité d’entreprise traditionnels. En fin de compte, Bugcrowd permet aux entreprises de bâtir une solide réputation en termes de sécurité tout en libérant des talents internes pour d’autres initiatives urgentes.


Avec toutes les armes froides et techniques utilisées dans les attaques en ligne d’aujourd’hui – logiciels malveillants, phishing, injections SQL, déni de service – il peut être difficile de se rappeler que des êtres humains vivants et respirants sont derrière chacun d’eux.

Mais la sécurité numérique est fondamentalement un problème humain, pas un problème technique.

“Les humains créent la technologie, mais ils ne sont pas parfaits, et parfois leurs erreurs se transforment en vulnérabilités”, a déclaré Casey Ellis, fondateur et directeur technique de Bugcrowd. “De l’autre côté, vous avez des adversaires créatifs animés par un désir humain d’identifier ces erreurs et de les exploiter.”

Photo de Casey Ellis et d'une affiche Bugcrowd sur un mur de briques

Le fondateur et CTO Casey Ellis nous a expliqué comment Bugcrowd exploite le pouvoir des pirates éthiques pour réduire les risques au sein des organisations.

De nombreuses solutions de défense de la sécurité d’entreprise disponibles sur le marché aujourd’hui exploitent des solutions techniques telles que l’automatisation et l’apprentissage automatique pour atténuer les risques posés par ces adversaires. Mais Bugcrowd adopte une approche humaine, exploitant le pouvoir collectif des pirates éthiques pour durcir les surfaces d’attaque.

“Nous avons construit une armée de bonnes personnes qui peuvent penser comme de mauvaises personnes pour aider à faire d’Internet un endroit plus sûr”, a déclaré Casey..

La plate-forme de sécurité participative de Bugcrowd aide les organisations à gérer leurs programmes de détection de bogues, de divulgation de vulnérabilités et de tests de pénétration en combinant l’expertise de son équipe interne avec celle de pirates éthiques de confiance du monde entier..

En plus d’une réduction rapide des risques, les équipes de sécurité externalisées peuvent réduire les coûts et réduire les frais généraux opérationnels en libérant les talents internes au sein d’une entreprise pour se concentrer sur des tâches de haut niveau. À la fin de la journée, Bugcrowd mesure son succès sur la façon dont il aide les organisations à protéger leurs actifs numériques et leur permet de se forger une réputation solide en tant que leaders de la sécurité en ligne.

Une approche humaine de la gestion des menaces

Bugcrowd a été fondée en 2012 et a son siège à San Francisco. À l’époque, Casey – qui s’était aventuré dans la sécurité et le réseautage tout droit sorti du lycée et avait vu l’industrie évoluer au fil des ans – a observé une grave pénurie de ressources de sécurité que les entreprises pourraient utiliser pour protéger leurs environnements numériques..

À la même époque, Google et Facebook ont ​​introduit des programmes de primes aux bogues qui récompensaient ceux qui pouvaient identifier les failles de sécurité au sein de leurs plateformes. «L’idée d’une prime aux bogues a commencé en 1995 avec Netscape, mais il a fallu attendre 2011 environ pour que Google et Facebook interviennent pour qu’elle soit mieux comprise dans la communauté de la sécurité», a déclaré Casey..

La pénurie de ressources de cybersécurité et la popularité accrue des programmes de primes aux bogues ont inspiré Casey à lancer Bugcrowd. “Ces deux choses se sont réunies, j’ai donc décidé de créer une armée d’alliés pour combattre nos adversaires – et de connecter cette armée à la demande”, a-t-il déclaré..

Collage de photos de l'équipe Bugcrowd

La solution de sécurité participative de Bugcrowd est alimentée par une équipe de hackers éthiques de confiance du monde entier.

Aujourd’hui, Bugcrowd aide à redéfinir la sécurité des entreprises dans plus de 50 industries et 30 pays. La clientèle de la société comprend des startups, des moyennes entreprises et des clients Fortune 500. Certaines des plus grandes entreprises mondiales, dont Mastercard, Etsy, Jet, Tesla, NETGEAR, Sophos et Fiat Chrysler Automobiles, font confiance à Bugcrowd pour protéger leurs actifs numériques.

En ce qui concerne le développement interne, Bugcrowd se tourne à la fois vers les clients et sa communauté mondiale de chercheurs pour obtenir des informations afin d’éclairer les plans futurs.

“Tout se résume à être en mesure d’écouter ces groupes pour comprendre les fonctionnalités et l’innovation qu’ils attendent sur la base de leurs propres évaluations de la situation”, a déclaré Casey. «Nous intégrons ces commentaires dans notre service en fonction de l’orientation du marché. C’est un élément essentiel de notre fonctionnement. »

Divulgation de vulnérabilité, primes de bogue et test de plume

La plate-forme de réduction des risques de Bugcrowd est construite autour de trois domaines fondamentaux: la divulgation des vulnérabilités, les primes de bogues et les programmes de test de plume de nouvelle génération.

Les programmes de divulgation des vulnérabilités (VDP) de la société fournissent une solution entièrement gérée pour accepter, répondre et corriger les vulnérabilités signalées par la communauté mondiale de la sécurité. Avec un VDP en place, une entreprise est en mesure de fournir un cadre permettant aux parties externes de divulguer de manière responsable les vulnérabilités tout en démontrant un engagement envers la sécurité. Selon Bugcrowd, un VDP n’est plus quelque chose de bien, c’est une nécessité.

“Il ne s’agit pas seulement de se faire botter le cul autour d’un risque spécifique; il s’agit des apprentissages que vous pouvez tirer de l’expérience afin de rendre votre équipe de développement encore meilleure pour éviter ces choses en premier lieu », a déclaré Casey.

Pourquoi ça marche

Le système aide à réduire les surfaces d’attaque en utilisant une approche à trois volets.

D’un autre côté, le programme de gestion des bogues entièrement géré de Bugcrowd aide les entreprises à déjouer leurs adversaires en combinant l’expertise humaine, les flux de travail de sécurité automatisés et les analyses. La société fournit un support de bout en bout pour tous les aspects du processus, de la portée du programme et du recrutement de la foule au triage des vulnérabilités et à l’intégration SDLC.

Le processus est simple: spécifiez les zones à tester et Bugcrowd communiquera avec des pirates informatiques spécialisés dans les technologies Web, mobiles et IoT pour trouver le bon talent. Les pirates rechercheront ensuite les vulnérabilités, que les ingénieurs en sécurité de Bugcrowd trieront, valideront et hiérarchiseront. La plateforme de crowdsourcing propose même une intégration avec des outils de développement, tels que IRA, Slack, ServiceNow, Trello et Github, pour fournir les informations résultantes aux bonnes personnes au sein de chaque entreprise.

Enfin, les tests de stylet de nouvelle génération de Bugcrowd combinent l’intelligence collective de la communauté mondiale de l’entreprise avec des rapports basés sur la méthodologie pour garantir que les entreprises répondent aux exigences de conformité. Un groupe recherche en permanence les vulnérabilités tandis que l’autre travaille contre une méthodologie définie par l’entreprise.

Lorsque tous les problèmes sont résolus, le système déclenche un rapport de conformité propre. Pour garantir la crédibilité, Bugcrowd a fait évaluer le processus de manière indépendante pour vérifier sa compatibilité avec les exigences réglementaires sur les tests de pénétration, y compris la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS).

Réduisez les risques tout en libérant des talents internes

La pénurie de talents en sécurité que Casey a observée il y a des années persiste encore aujourd’hui. Selon «Cyber ​​Risk in Consumer Business Study» de Deloitte, près de 350 000 emplois de sécurité en ligne aux États-Unis n’étaient toujours pas pourvus en juillet 2017. Et cela ne fait qu’empirer – la même étude prévoit que le déficit mondial de main-d’œuvre en sécurité de l’information dépassera 1,8 million de travailleurs d’ici 2022.

Selon Casey, Bugcrowd peut aider les entreprises à réduire les effectifs et à rationaliser les processus de travail. Il a cité une entreprise du Fortune 500 qui utilise Bugcrowd comme exemple: la société a trouvé 90 vulnérabilités dans les 30 jours suivant le déploiement de la plate-forme et a été informée de sept fois plus de vulnérabilités critiques par rapport à son précédent service de test de pénétration. En fin de compte, la décision de passer à Bugcrowd a contribué à augmenter le retour sur investissement de l’entreprise.

“Crowdsourcez les tâches qui sont appropriées pour le crowdsourcing, puis réappropriez vos employés internes dans des domaines qui sont profondément dans l’entreprise elle-même”, a déclaré Casey..

David Baker, maintenant vice-président des opérations chez Bugcrowd, a appris cette leçon de première main en tant qu’ancien client. Avant d’être nommé à son poste actuel, David a été CSO d’Okta, où il a utilisé la plate-forme Bugcrowd pour changer la façon dont son opération abordait la sécurité..

“Il a cru en notre idée et a vu sa valeur”, a déclaré Casey. «Il a pu libérer de trois à quatre personnes au sein de son organisation d’évaluation de la sécurité et de défense au sein d’Okta. La foule a pu entrer et faire un travail meilleur et plus évolutif dans les tâches précédentes de ces employés, tandis que les employés géraient des tâches plus exigeantes. Pour moi, c’est le résultat parfait. “

Aider les entreprises à bâtir une réputation sûre

Jusqu’à il y a cinq ou six ans, Casey a déclaré que les quelques personnes prêchant la valeur de la sécurité numérique étaient considérées comme des fanatiques de l’industrie fanatique – et que le public ne les écoutait pas. “Mais alors quelque chose a changé”, a déclaré Casey. «Tout d’un coup, la cybersécurité est devenue une conversation à table.»

Dans ce nouveau monde, les organisations peuvent utiliser leurs actifs de sécurité pour informer des stratégies commerciales et marketing efficaces – et Bugcrowd espère les aider dans cet effort.

«Nous compilons des données de différents clients sur une période de sept ans pour créer une histoire plus convaincante pour les OSC, les vice-présidents de la sécurité et les responsables de la sécurité pour montrer pourquoi ce qu’ils faisaient en valait la peine, et aussi pour mettre ces informations sur le marché », A déclaré Casey.

L’initiative aidera les organisations à mieux articuler leur proposition de valeur. “C’est le meilleur des deux mondes: nous sécurisons leurs clients, mais nous les aidons également à bâtir une réputation de marque plus attrayante pour les clients”, a déclaré Casey..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me