Hacking for Good: Η πλατφόρμα ασφαλείας του Bugcrowd’s Crowdsourced είναι μια λύση επόμενης γενιάς για μείωση κινδύνου κατά παραγγελία

TL; Δρ: Το Bugcrowd είναι μια πλατφόρμα ασφαλείας με πολλούς πόρους που αξιοποιεί τη δύναμη των ηθικών χάκερ για τη μείωση του κινδύνου εντός των οργανισμών. Αξιοποιώντας μια προσέγγιση που βασίζεται στον άνθρωπο για την αποκάλυψη ευπάθειας, τα bug bounties και τις δοκιμές με στυλό, η εταιρεία κλείνει το κενό μεταξύ των κινήτρων των επιτιθέμενων και εκείνων των παραδοσιακών υπερασπιστών της ασφάλειας των επιχειρήσεων. Τελικά, το Bugcrowd εξουσιοδοτεί τις εταιρείες να οικοδομήσουν ισχυρή φήμη όσον αφορά την ασφάλεια, ενώ απελευθερώνουν εσωτερικά ταλέντα για άλλες πιεστικές πρωτοβουλίες.


Με όλα τα ψυχρά, τεχνικά ακουστικά όπλα που αναπτύσσονται στις σημερινές διαδικτυακές επιθέσεις – κακόβουλο λογισμικό, ηλεκτρονικό ψάρεμα, SQL εγχύσεις, άρνηση εξυπηρέτησης – μπορεί να είναι δύσκολο να θυμόμαστε ότι ζουν και αναπνέουν ανθρώπινα όντα βρίσκονται πίσω από κάθε ένα από αυτά.

Αλλά η ψηφιακή ασφάλεια είναι ουσιαστικά ανθρώπινο πρόβλημα και όχι τεχνικό.

«Οι άνθρωποι δημιουργούν τεχνολογία, αλλά δεν είναι τέλειες, και μερικές φορές τα λάθη τους μετατρέπονται σε ευπάθειες», δήλωσε ο Casey Ellis, ιδρυτής και CTO του Bugcrowd. «Από την άλλη πλευρά, έχετε δημιουργικούς αντιπάλους που οδηγούνται από την ανθρώπινη επιθυμία να εντοπίσετε αυτά τα λάθη και να τα εκμεταλλευτείτε».

Φωτογραφία της Casey Ellis και μιας αφίσας Bugcrowd σε έναν τοίχο από τούβλα

Ο ιδρυτής και ο CTO Casey Ellis μας είπε πώς το Bugcrowd εκμεταλλεύεται τη δύναμη των ηθικών χάκερ να μειώσουν τον κίνδυνο εντός των οργανισμών.

Πολλές από τις λύσεις υπεράσπισης της ασφάλειας της επιχείρησης που διατίθενται σήμερα στην αγορά αξιοποιούν τεχνικές λύσεις όπως αυτοματοποίηση και μηχανική μάθηση για να μετριάσουν τους κινδύνους που θέτουν οι αντίπαλοι. Αλλά ο Bugcrowd ακολουθεί μια προσέγγιση που βασίζεται στον άνθρωπο, αξιοποιώντας τη συλλογική δύναμη των ηθικών χάκερ για να σκληρύνει τις επιθέσεις.

“Έχουμε δημιουργήσει έναν στρατό καλών ανθρώπων που μπορούν να σκέφτονται σαν κακούς ανθρώπους για να βοηθήσουν να κάνουν το Διαδίκτυο ασφαλέστερο μέρος”, δήλωσε ο Casey.

Η πλατφόρμα ασφαλείας του Bugcrowd βοηθά τους οργανισμούς να διαχειρίζονται τα bug bounty, την αποκάλυψη ευπάθειας και τα προγράμματα δοκιμών διείσδυσης συνδυάζοντας την τεχνογνωσία της εσωτερικής της ομάδας με αυτήν των αξιόπιστων ηθικών χάκερ σε όλο τον κόσμο.

Εκτός από την ταχεία μείωση των κινδύνων, οι ομάδες ασφαλείας με πολλούς πόρους μπορούν να μειώσουν το κόστος και να μειώσουν τα λειτουργικά γενικά έξοδα, ελευθερώνοντας το εσωτερικό ταλέντο μέσα σε μια επιχείρηση για να επικεντρωθεί σε εργασίες υψηλού επιπέδου. Στο τέλος της ημέρας, το Bugcrowd μετρά την επιτυχία του για το πόσο καλά βοηθά και τους δύο οργανισμούς να προστατεύουν τα ψηφιακά τους στοιχεία και τους επιτρέπει να χτίσουν ισχυρή φήμη ως ηγέτες στην ασφάλεια στο διαδίκτυο.

Μια προσέγγιση που βασίζεται στον άνθρωπο στη διαχείριση απειλών

Το Bugcrowd ιδρύθηκε το 2012 με έδρα το Σαν Φρανσίσκο. Τότε, ο Κέισι – ο οποίος είχε ξεκινήσει την ασφάλεια και τη δικτύωση απευθείας από το γυμνάσιο και παρακολούθησε τη βιομηχανία να εξελίσσεται με τα χρόνια – παρατήρησε μια βαθιά έλλειψη πόρων ασφαλείας που οι επιχειρήσεις θα μπορούσαν να χρησιμοποιήσουν για την προστασία του ψηφιακού τους περιβάλλοντος.

Την ίδια στιγμή, η Google και το Facebook παρουσίασαν προγράμματα bug bounty που επιβραβεύουν όσους μπορούσαν να εντοπίσουν τρωτά σημεία ασφαλείας στις πλατφόρμες τους. «Η όλη ιδέα μιας γενναιοδωρίας bug ξεκίνησε το 1995 με το Netscape, αλλά χρειάστηκε έως το 2011 περίπου όταν το Google και το Facebook πήγαν για να γίνουν καλύτερα κατανοητά στην κοινότητα ασφαλείας», δήλωσε ο Casey.

Η έλλειψη πόρων ασφάλειας στον κυβερνοχώρο και η αυξημένη δημοτικότητα των προγραμμάτων bug bounty ενέπνευσαν την Casey να ξεκινήσει το Bugcrowd. “Αυτά τα δύο πράγματα ενώθηκαν, γι ‘αυτό αποφάσισα να δημιουργήσω έναν στρατό συμμάχων για να πολεμήσουμε τους αντιπάλους μας – και να συνδέσω αυτόν τον στρατό με τη ζήτηση”, είπε.

Κολάζ φωτογραφιών της ομάδας Bugcrowd

Η λύση ασφάλειας του Bugcrowd’s crowdsourced υποστηρίζεται από μια ομάδα αξιόπιστων ηθικών χάκερ από όλο τον κόσμο.

Σήμερα, το Bugcrowd βοηθά στον επαναπροσδιορισμό της ασφάλειας για επιχειρήσεις σε περισσότερες από 50 βιομηχανίες και 30 χώρες. Η πελατειακή βάση περιλαμβάνει νέους πελάτες, μεσαίες αγορές και πελάτες Fortune 500. Ορισμένες από τις μεγαλύτερες εταιρείες του κόσμου, συμπεριλαμβανομένων των Mastercard, Etsy, Jet, Tesla, NETGEAR, Sophos και Fiat Chrysler Automobiles, εμπιστεύονται την Bugcrowd για την προστασία των ψηφιακών τους στοιχείων.

Όσον αφορά την εσωτερική ανάπτυξη, το Bugcrowd απευθύνεται τόσο στους πελάτες όσο και στην παγκόσμια κοινότητα ερευνητών για πληροφορίες για μελλοντικά σχέδια.

«Όλα οφείλονται στο να μπορούμε να ακούμε αυτές τις ομάδες για να κατανοήσουμε τα χαρακτηριστικά και την καινοτομία που περιμένουν με βάση τις δικές τους εκτιμήσεις για το πού βρίσκονται τα πράγματα», δήλωσε ο Casey. «Ενσωματώνουμε αυτά τα σχόλια στην υπηρεσία μας με βάση το πού πηγαίνει η αγορά. Αυτό είναι ένα βασικό μέρος του τρόπου λειτουργίας μας. “

Αποκάλυψη ευπάθειας, γενναιοδωρία σφαλμάτων και δοκιμές πένας

Η πλατφόρμα μείωσης κινδύνου του Bugcrowd έχει δημιουργηθεί γύρω από τρεις θεμελιώδεις τομείς: αποκάλυψη ευπάθειας, bug bounties και προγράμματα δοκιμών πένας επόμενης γενιάς.

Τα προγράμματα γνωστοποίησης ευπάθειας της εταιρείας (VDP) παρέχουν μια πλήρως διαχειριζόμενη λύση για αποδοχή, ανταπόκριση και διόρθωση τρωτών σημείων που αναφέρει η παγκόσμια κοινότητα ασφαλείας. Με ένα VDP σε ισχύ, μια εταιρεία είναι σε θέση να παρέχει ένα πλαίσιο για εξωτερικά μέρη να αποκαλύπτουν υπεύθυνα ευπάθειες, ενώ επιδεικνύει δέσμευση για ασφάλεια. Σύμφωνα με τον Bugcrowd, το VDP δεν είναι πλέον κάτι ωραίο να έχει – είναι αναγκαιότητα.

«Δεν είναι απλώς να κλωτσάει τον κώλο σου γύρω από συγκεκριμένο κίνδυνο. αφορά τα μαθήματα που μπορείτε να αξιοποιήσετε από την εμπειρία, προκειμένου να βελτιώσετε την ομάδα ανάπτυξης για να αποφύγετε αυτά τα πράγματα στην αρχή », δήλωσε ο Casey.

Γιατί λειτουργεί

Το σύστημα βοηθά στη μείωση των επιφανειών προσβολής χρησιμοποιώντας μια τρισδιάστατη προσέγγιση.

Το πλήρως διαχειριζόμενο πρόγραμμα bug bounty του Bugcrowd, από την άλλη πλευρά, βοηθά τις εταιρείες να ξεπεράσουν τους αντιπάλους τους συνδυάζοντας ανθρώπινη τεχνογνωσία, αυτοματοποιημένες ροές εργασίας ασφαλείας και αναλυτικά στοιχεία. Η εταιρεία παρέχει υποστήριξη από άκρη σε άκρο για όλες τις πτυχές της διαδικασίας, από το εύρος προγραμμάτων και την πρόσληψη πλήθους έως τη δοκιμή ευπάθειας και την ενσωμάτωση SDLC.

Η διαδικασία είναι εύκολη: Καθορίστε τις περιοχές που θα δοκιμαστούν και το Bugcrowd θα συνδεθεί με χάκερ που ειδικεύονται σε τεχνολογίες ιστού, κινητών και IoT για να βρουν το κατάλληλο ταλέντο. Στη συνέχεια, οι χάκερ θα αναζητήσουν ευπάθειες, τις οποίες οι μηχανικοί ασφαλείας του Bugcrowd θα δοκιμάσουν, θα επικυρώσουν και θα δώσουν προτεραιότητα. Η πλατφόρμα crowdsourcing διαθέτει ακόμη ενσωμάτωση με εργαλεία ανάπτυξης, όπως το IRA, το Slack, το ServiceNow, το Trello και το Github, για την παροχή των πληροφοριών που προκύπτουν στους σωστούς ανθρώπους σε κάθε εταιρεία.

Τέλος, η δοκιμή στυλό επόμενης γενιάς του Bugcrowd συνδυάζει τη συλλογική νοημοσύνη της παγκόσμιας κοινότητας της εταιρείας με αναφορές βάσει μεθοδολογίας για να διασφαλίσουν ότι οι επιχειρήσεις πληρούν τις απαιτήσεις συμμόρφωσης. Η μία ομάδα αναζητά συνεχώς ευπάθειες, ενώ η άλλη λειτουργεί με μια μεθοδολογία που ορίζεται από την επιχείρηση.

Όταν επιλυθούν όλα τα προβλήματα, το σύστημα ενεργοποιεί μια καθαρή αναφορά συμμόρφωσης. Για να διασφαλιστεί η αξιοπιστία, το Bugcrowd είχε αξιολογήσει τη διαδικασία ανεξάρτητα για τη συμβατότητα με τις κανονιστικές απαιτήσεις σχετικά με τη δοκιμή διείσδυσης, συμπεριλαμβανομένου του Προτύπου Ασφάλειας Δεδομένων Βιομηχανίας Κάρτας Πληρωμών (PCI DSS).

Μειώστε τον κίνδυνο ενώ απελευθερώνετε το εσωτερικό ταλέντο

Η έλλειψη ταλέντων ασφαλείας που παρατήρησε ο Κάσι πριν από χρόνια εξακολουθεί να υφίσταται σήμερα. Σύμφωνα με το «Cyber ​​Risk in Consumer Business Study» της Deloitte, σχεδόν 350.000 διαδικτυακές θέσεις ασφαλείας στις ΗΠΑ παρέμειναν ανεκπλήρωτες από τον Ιούλιο του 2017. Και επιδεινώνεται μόνο – η ίδια μελέτη προβάλλει το παγκόσμιο έλλειμμα στο εργατικό δυναμικό ασφάλειας πληροφοριών για να ξεπεράσει τα 1,8 εκατομμύρια εργαζόμενους έως το 2022.

Σύμφωνα με την Casey, το Bugcrowd μπορεί να βοηθήσει τις εταιρείες να μειώσουν τον αριθμό των κεφαλαίων και να βελτιώσουν τις διαδικασίες εργασίας. Αναφέρθηκε σε μια εταιρεία Fortune 500 που χρησιμοποιεί το Bugcrowd ως παράδειγμα: Η εταιρεία διαπίστωσε 90 ευπάθειες εντός 30 ημερών από την ανάπτυξη της πλατφόρμας και ειδοποιήθηκαν επτά φορές περισσότερες κρίσιμες ευπάθειες σε σύγκριση με την προηγούμενη υπηρεσία δοκιμής διείσδυσης. Τελικά, η απόφαση μετάβασης στο Bugcrowd βοήθησε στην ενίσχυση της απόδοσης επένδυσης της εταιρείας.

«Crowdsource τα καθήκοντα που είναι κατάλληλα για crowdsourcing και, στη συνέχεια, τακτοποιήστε τους εσωτερικούς σας ανθρώπους σε περιοχές που βρίσκονται βαθιά μέσα στην ίδια την επιχείρηση», δήλωσε ο Casey.

Ο David Baker, τώρα Αντιπρόεδρος Επιχειρήσεων στο Bugcrowd, έμαθε αυτό το μάθημα από πρώτο χέρι ως πρώην πελάτης. Πριν διοριστεί στον τωρινό του ρόλο, ο David υπηρέτησε ως CSO της Okta, όπου αξιοποίησε την πλατφόρμα Bugcrowd για να αλλάξει τον τρόπο προσέγγισης της λειτουργίας του στην ασφάλεια.

«Πίστευε στην ιδέα μας και είδε την αξία της», είπε ο Κέισι. «Κατάφερε να ελευθερώσει τρία έως τέσσερα άτομα στο πλαίσιο της αξιολόγησης ασφάλειας και του αμυντικού του οργανισμού εντός της Οκτά. Το πλήθος μπόρεσε να έρθει και να κάνει μια καλύτερη και πιο επεκτάσιμη δουλειά στις προηγούμενες εργασίες αυτών των εργαζομένων, ενώ οι εργαζόμενοι χειρίστηκαν περισσότερες εργασίες υψηλής τάξης. Για μένα, αυτό είναι το τέλειο αποτέλεσμα. “

Βοηθώντας τις εταιρείες να δημιουργήσουν ασφαλείς φήμες

Μέχρι πριν από πέντε ή έξι χρόνια, ο Κέισι είπε ότι οι λίγοι άνθρωποι που κηρύττουν την αξία της ψηφιακής ασφάλειας θεωρούνταν φανατικοί φανατικοί της βιομηχανίας – και το κοινό δεν τους άκουγε. «Αλλά μετά άλλαξε κάτι», είπε ο Κέισι. «Ξαφνικά, η ασφάλεια στον κυβερνοχώρο έχει γίνει μια συνομιλία τραπεζιού.»

Σε αυτόν τον νέο κόσμο, οι οργανισμοί μπορούν να χρησιμοποιήσουν τα περιουσιακά τους στοιχεία ασφαλείας για να ενημερώσουν αποτελεσματικές στρατηγικές επιχειρήσεων και μάρκετινγκ – και ο Bugcrowd ελπίζει να τους βοηθήσει σε αυτήν την προσπάθεια.

«Συγκεντρώνουμε δεδομένα από διαφορετικούς πελάτες για μια περίοδο επτά ετών για να δημιουργήσουμε μια πιο συναρπαστική ιστορία για CSO, VPs ασφάλειας και ηγέτες ασφαλείας για να δείξουμε γιατί αυτό που έκαναν άξιζε, και επίσης να μεταφέρουμε αυτές τις πληροφορίες στην αγορά , “Είπε ο Κέισι.

Η πρωτοβουλία θα βοηθήσει τους οργανισμούς να διατυπώσουν καλύτερα την αξία τους. «Είναι το καλύτερο και των δύο κόσμων: Κάνουμε τους πελάτες τους πιο ασφαλείς, αλλά τους βοηθάμε επίσης να δημιουργήσουν μια φήμη επωνυμίας που είναι πιο ελκυστική για τους πελάτες», δήλωσε ο Casey.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me