פריצה לתמיד: פלטפורמת האבטחה Crowdsourced של Bugcrowd היא פיתרון הדור הבא להפחתת סיכונים לפי דרישה.

TL; ד”ר: Bugcrowd היא פלטפורמת אבטחה בהמונים רבים הרותמת את כוחם של האקרים אתיים להפחית סיכון בארגונים. על ידי מינוף גישה מבוססת-אנוש לגילוי פגיעות, הוצאות באגים ובדיקת עט, החברה סוגרת את הפער בין המוטיבציות של התוקפים לבין אלה של מגיני אבטחה ארגוניים מסורתיים. בסופו של דבר, Bugcrowd מאפשרת לחברות לבנות מוניטין חזק מבחינת אבטחה תוך פניית כישרון פנימי ליוזמות דחופות אחרות..


עם כל כלי הנשק הקרים והשמיעים הטכניים הפרוסים בהתקפות המקוונות של ימינו – תוכנות זדוניות, דיוג, זריקות SQL, מניעת שירות – יכול להיות קשה לזכור שבני אדם חיים ונושמים עומדים מאחורי כל אחד מהם.

אבל ביטחון דיגיטלי הוא ביסודו בעיה אנושית ולא טכנית.

“בני אדם יוצרים טכנולוגיה, אבל הם לא מושלמים, ולפעמים הטעויות שלהם הופכות לפגיעויות”, אמרה קייסי אליס, מייסדת ומנכ”ל ה- CTO של Bugcrowd. “בצד השני, יש לך יריבים יצירתיים המונעים על ידי רצון אנושי לזהות את הטעויות הללו ולנצל אותן.”

תצלום של קייסי אליס וכרזת בוכרים על קיר לבנים

מייסד CTO קייסי אליס סיפר לנו כיצד בוגקרוד רותם את כוחם של האקרים אתיים להפחית סיכון בארגונים.

רבים מהפתרונות להגנת האבטחה בארגונים הקיימים כיום בשוק ממנפים פתרונות טכניים כמו אוטומציה ולמידת מכונות כדי להקטין את הסיכונים שאותם יריבים מהווים. אבל Bugcrowd נוקטת בגישה אנושית, רותמת את כוחם הקולקטיבי של האקרים אתיים להקשיח משטחי התקפה.

“בנינו צבא של אנשים טובים שיכולים לחשוב כמו אנשים רעים כדי לעזור להפוך את האינטרנט למקום בטוח יותר,” אמר קייסי.

פלטפורמת האבטחה ההמונית של Bugcrowd מסייעת לארגונים לנהל את שפע הבאגים שלהם, חשיפת הפגיעות ותוכניות בדיקת החדירה על ידי שילוב המומחיות של צוות הבית שלה עם זו של האקרים אתיים מהימנים ברחבי העולם..

בנוסף להפחתת סיכון מהירה, צוותי האבטחה המוצעים על ידי המונים יכולים להפחית עלויות ולהוזיל את התקורה התפעולית על ידי שחרור הכישרון הפנימי בתוך עסק להתמקד במשימות ברמה גבוהה. בסופו של יום, Bugcrowd מודד את הצלחתו בכמה טוב זה גם עוזר לארגונים לשמור על הנכסים הדיגיטליים שלהם ומאפשר להם לבנות מוניטין חזק כמובילים בתחום האבטחה המקוונת..

גישה מבוססת אנושית לניהול איומים

בוגקרוד הוקמה בשנת 2012 עם מטה בסן פרנסיסקו. אז, קייסי – שהעז לביטחון ולרשת ישר מהתיכון וצפה בתעשייה מתפתחת עם השנים – הבחין במחסור עמוק במשאבי האבטחה שבהם עסקים יכולים להשתמש כדי להגן על הסביבה הדיגיטלית שלהם..

בערך באותה תקופה, גוגל ופייסבוק הציגו תוכניות לניסיון באגים שתגמלו את אלה שיכולים לזהות פגיעויות אבטחה בפלטפורמות שלהם. “כל הרעיון של השגת באגים החל בשנת 1995 עם נטסקייפ, אבל זה לקח עד שנת 2011 בערך כשגוגל ופייסבוק קפצו פנימה כדי שיהיה מובן טוב יותר בקהילת האבטחה,” אמר קייסי..

המחסור במשאבי אבטחת הרשת והפופולריות הגוברת של תוכניות שפע של באגים היוו השראה לקייסי להתחיל את Bugcrowd. “שני הדברים האלה התאגדו, אז החלטתי להקים צבא של בעלות ברית כדי להילחם ביריבים שלנו – ולחבר את הצבא הזה לדרוש,” הוא אמר.

קולאז 'תמונות של צוות בוגקרוד

פיתרון האבטחה ההמוני של בוגקרודד מופעל על ידי צוות האקרים אתיים מהימנים מרחבי העולם.

כיום, Bugcrowd עוזר להגדיר מחדש את האבטחה לעסקים ביותר מ- 50 תעשיות ו -30 מדינות. בסיס הלקוחות של החברה כולל לקוחות סטארט-אפ, חנות ביניים ו- Fortune 500 כאחד. כמה מהחברות הגדולות בעולם, כולל מאסטרקארד, אטסי, ג’ט, טסלה, NETGEAR, סופוס ופיאט קרייזלר מכוניות, סומכות על Bugcrowd כדי להגן על הנכסים הדיגיטליים שלהן.

בכל הקשור לפיתוח פנימי, Bugcrowd פונה ללקוחות ולקהילת החוקרים הגלובלית שלה לצורך קבלת מידע על תוכניות עתידיות.

“הכל מסתכם ביכולת להקשיב לקבוצות האלה להבין את התכונות והחדשנות שהם מצפים על סמך הערכותיהם לגבי היכן הדברים נמצאים,” אמר קייסי. “אנו משלבים את המשוב הזה בשירות שלנו על בסיס לאן שהשוק הולך. זה חלק מרכזי מאיך שאנחנו פועלים. “

גילוי פגיעות, פרסי באגים ובדיקת עט

פלטפורמת הפחתת הסיכון של Bugcrowd בנויה סביב שלושה תחומים עיקריים: חשיפת פגיעות, הפרעות באגים ותכניות בדיקת עטים מהגנים הבאים..

תוכניות גילוי הפגיעות של החברה מספקות פיתרון מנוהל באופן מלא לקבלה, להגיב עליהן ולתיקונן של פגיעויות שדווחו על ידי קהילת האבטחה העולמית. כאשר קיימת VDP במקום, חברה מסוגלת לספק מסגרת עבור גורמים חיצוניים לגלות באחריות פגיעויות תוך הפגנת מחויבות לביטחון. לפי Bugcrowd, VDP הוא כבר לא משהו נחמד שיש – זה הכרח.

“זה לא רק שגורם לך להתחתן בסיכון מסוים; זה קשור למידה שתוכלו לקחת מהניסיון בכדי להפוך את צוות הפיתוח שלכם לטובה יותר בהימנעות מלכתחילה מהדברים האלה, ”אמר קייסי..

למה זה עובד

המערכת מסייעת בהפחתת משטחי התקפה בגישה תלת-ממדית.

לעומת זאת, התוכנית המנוהלת לחלוטין של Bugcrowd, מסייעת לחברות להערים על יריבים על ידי שילוב מומחיות אנושית, זרימות עבודה אוטומטיות ואבטחה. החברה מספקת תמיכה מקצה לקצה בכל תחומי התהליך, החל מהיקף תוכניות וגיוס קהל ועד למצב של פגיעות ושילוב SDLC..

התהליך קל: ציין את האזורים שיש לבדוק, ו- Bugcrowd יתחבר להאקרים המתמחים בטכנולוגיות אינטרנט, ניידים ו- IoT כדי למצוא את הכישרון הנכון. ההאקרים יחפשו אחר נקודות תורפה, אשר מהנדסי האבטחה של Bugcrowd יעבדו, יאמתו ויתעדפו. פלטפורמת ה- crowddsourcing אף כוללת אינטגרציה עם כלי פיתוח, כמו IRA, Slack, ServiceNow, Trello ו- Github, כדי לספק את המידע המתקבל לאנשים הנכונים בכל חברה..

לבסוף, בדיקות העט של הדור הבא של Bugcrowd משלבות בין האינטיליגנציה הקולקטיבית של הקהילה הגלובלית של החברה לבין דוחות מונחים מתודולוגיים כדי להבטיח כי עסקים עומדים בדרישות התאימות. קבוצה אחת מחפשת ברציפות אחר פגיעויות בעוד שהקבוצה עובדת על פי מתודולוגיה שהוגדרה על ידי העסק.

כאשר כל הבעיות נפתרות, המערכת מפעילה דוח ציות נקי. כדי להבטיח אמינות, Bugcrowd בוחן את התהליך באופן עצמאי לצורך התאמתו לדרישות הרגולטוריות בבדיקת חדירה, כולל תקן אבטחת מידע על תעשיות התשלום (PCI DSS).

הפחת את הסיכון תוך שחרור הכישרון הפנימי

המחסור בכישרון הביטחוני שציין קייסי לפני שנים נמשך היום. על פי “סיכון הסייבר במחקר עסקי צרכני של דלויט”, כמעט 350,000 משרות אבטחה מקוונות בארה”ב נותרו ללא מילוי החל מיולי 2017. וזה רק הולך ומחמיר – אותם מחקרים מראים כי המחסור העולמי בכוח העבודה בתחום אבטחת המידע יעלה על 1.8 מיליון עובדים עד שנת 2022.

לדברי קייסי, Bugcrowd יכול לעזור לחברות להפחית את חשבונות הכס ולייעל תהליכי עבודה. הוא ציין דוגמה של חברת Fortune 500 שמשתמשת בבוגקרוד: החברה מצאה 90 נקודות תורפה תוך 30 יום מיום פריסת הפלטפורמה, והודעו עליה על פי שבע נקודות תורפה קריטיים בהשוואה לשירות בדיקות החדירה הקודם שלהן. בסופו של דבר, ההחלטה לעבור לבוגקרוד עזרה להגביר את ההחזר על ההשקעה של החברה.

קייסיי מציגה את המשימות המתאימות למטרת היבשה, ואז מתאימה מחדש את האנשים הפנימיים שלך באזורים שנמצאים עמוק בתוך העסק עצמו, “אמרה קייסי..

דייוויד בייקר, כיום סמנכ”ל תפעול בבוגקרוד, למד את הלקח ממקור ראשון כלקוח לשעבר. לפני שמונה לתפקידו הנוכחי, שימש דייוויד כמנהל המנכ”ל של אוקטה, שם מינוף את פלטפורמת בוגקרוד כדי לשנות את אופן התקרבות פעולתו לביטחון.

“הוא האמין ברעיון שלנו וראה את ערכו,” אמר קייסי. “הוא הצליח לשחרר שלושה עד ארבעה אנשי צוות בארגון הערכת הביטחון והביטחון שלו באוקטה. הקהל הצליח להיכנס ולעשות עבודה טובה יותר ומדרגית יותר במשימות הקודמות של העובד, בעוד העובדים טיפלו במשימות יותר בסדר גודל. בעיניי זו התוצאה המושלמת. “

עוזרים לחברות לבנות מוניטין מאובטח

עד לפני חמש או שש שנים אמר קייסי כי האנשים המעטים שהטיפו לערך הביטחון הדיגיטלי נתפסו כקנאים בתעשייה קנאית – והציבור לא הקשיב להם. “אבל אז משהו השתנה,” אמרה קייסי. “פתאום, אבטחת הרשת הפכה לשיחת שולחן ארוחת הערב.”

בעולם חדש זה, ארגונים יכולים להשתמש בנכסי האבטחה שלהם כדי ליידע אסטרטגיות עסקיות ושיווקיות אפקטיביות – ובוגקרוד מקווה לסייע להם במאמץ זה.

“אנו אוספים נתונים מלקוחות שונים במשך שבע שנים כדי ליצור סיפור משכנע יותר עבור CSO, סמנכ”לי אבטחה ומובילי אבטחה כדי להראות מדוע מה שהם עושים היה שווה, וגם לקחת את המידע הזה לשוק “אמרה קייסי.

היוזמה תעזור לארגונים לנסח טוב יותר את הצעת הערך שלהם. “זה הטוב משני העולמות: אנו הופכים את הלקוחות שלהם לבטוחים יותר, אך גם עוזרים להם לבנות מוניטין של מותג יותר אטרקטיבי עבור הלקוחות,” אמרה קייסי.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me