ホワイトハッカーとしても知られる倫理的なハッカーは、最近Appleの脆弱性報奨金プログラムに参加し、大きな得点を記録しました。 20か月の間に、XNUMX歳のハッカーXNUMX人が率いる サムカレー、55の脆弱性を発見しました。 これらの脆弱性のうち288,000件は重大と見なされました。 彼らの支払い？ XNUMXドルとカウント。

事実

Appleは、内部で脆弱性を見つけるのにますます苦労した後、2016年にバグ報奨金プログラムを開始しました。 それ以来、このプログラムは倫理的なハッカーに数百万ドルの報酬を与えてきました。これは、悪意のあるハッキングがXNUMX回でも発生する可能性があるため、歓迎すべき投資です。

カリーのチームにとって、そのようなベンチャーに従事することは大規模な仕事でした。 Apple.comとiCloud.comは、25,000を超えるWebサーバーを担当しています。 Appleは、他に7,000の一意のドメイン名も所有しています。 カレーと彼のコホートは挑戦に立ち向かった。 彼らが発見した重大な脆弱性のXNUMXつは、AppleのiCloudプラットフォームと、電子メール、写真やその他の貴重な情報を盗むことで広がる可能性のあるワーム可能な弱点に関係していました。 もうXNUMXつは、Apple DistinguishedEducator管理者アカウントへのブルートフォース攻撃によって発見されました。 そこから、さらに内部ネットワークへの浸透が可能になりました。 発見されると、倫理的なハッカーはすぐに脆弱性をAppleに報告しました。 Appleは、Appleの健全なインフラストラクチャとリソースがない企業にとっては困難な場合がある、数日、場合によっては数時間以内に、つまり例外的に迅速に、各問題を修正しました。

関連する コラボレーション企業がリスクを管理するためのより良い方法を必要とする理由

サイバーセキュリティの専門家は、Appleは広く安全であることに同意していますが、そのような大きなフットプリントでは、脆弱性が必ず存在します。 ペネトレーションテスト、またはペンテストは、内部で実施されます。 ただし、それだけでは必ずしも十分ではありません。 アップルの報奨金プログラムは、ギャップを埋めるためにギグエコノミー形式で愛好家やプロの倫理的ハッカーをクラウドソーシングします。

結局のところ、Appleハッカーへの500,000万ドル以上の予測最終支払いでさえ、身代金、広報災害、長期間のダウンタイム、株式市場の下落、またはそれ以上の事態を伴うサイバーセキュリティ違反と比較して、小さなジャガイモです。

教訓

ことわざにあるように、「すべての企業は今やハイテク企業です。」 最近のほとんどの企業はオンラインで存在しています。 彼らはサードパーティのソフトウェアを利用し、必然的に弱点を含むインフラストラクチャを作成および/または購入します。 ハッカーもより洗練されてきています。 したがって、報奨金プログラムは、企業のサイバーセキュリティツールボックスでますます一般的なツールになっています。

バグバウンティプログラムはビッグファイブだけのものではありません。 実際、バグバウンティプログラムは、スタートアップを含むあらゆる規模の企業に人気があります。 スタートアップは限られた資金で製品を市場に出すために一生懸命そして速く働きます。 完全なサイバーチームを確保することは、最初は困難です。 サイバーセキュリティの専門家は高価です。 そして現在、サイバーセキュリティの専門家による干ばつがあり、その傾向は悪化しています。 バグバウンティプログラムの境界を設定し、見つかった脆弱性の予算を立てることで、スタートアップはサイバーセキュリティの専門家に迅速かつ手頃な価格でアクセスできます。 強固なサイバーセキュリティチームと戦略を備えた確立されたビジネスの場合、バグバウンティプログラムはセキュリティの追加レイヤーを提供します。 銀行やヘルスケアの大企業にとって、倫理的なハッカーは、社内のサイバーセキュリティチームだけよりもはるかに多くの分野をカバーできます。

関連する サイバーセキュリティ認定の有用性

バグバウンティプラットフォームは、HackerOneやBugcrowdなどの信頼できるベンダーから入手できます。 これらのSaaSオファリングは、倫理的なハッカーと企業の間の通信経路を提供することにより、成功するバグ報奨金プログラムの立ち上げを支援します。 彼らのハッカーは精査され、有能です。 バグバウンティハンターには、ハッカーのように考える創造性が与えられます。 ハッキングが絶えず変化し進化する状況では、サイバーセキュリティプログラムはすぐに古風になります。 バグバウンティプログラムに参加するほとんどのハッカーはムーンライターです。 サイバーセキュリティの従業員または将来の従業員としてのスキルを向上させるためにそれを行う人もいます。 それに応じて支払うビッグワンを見つけることを望んでいる人もいます。 さらに、知識を共有する倫理的なハッカーの緊密なコミュニティに参加するためにそれを行う人もいます。 理由が何であれ、サイバー犯罪が増加しているため、倫理的なハッキングは周辺から主流になっています。 米国国防総省でさえ、倫理的なハッカーを利用しています。

クイックヒント

ただし、倫理的なハッキング組織と協力することは、単にサインアップするほど簡単ではありません。 最初に適切な基礎を築くことが重要です。

1. 倫理的なハッカーは脆弱性を見つけることを忘れないでください。 彼らはそれらを精査して修正しません。 組織のサイバーセキュリティチームが倫理的なハッカーによって発見された問題に対処する準備ができていない場合、ハッカーによって発行されたレポートを理解することは言うまでもなく、それらの資金はより強力なサイバーセキュリティに投資するのが最善であることを意味します。
2. 倫理的なハッキングの目的は、全体的なサイバーソリューションではありません。 強力なサイバーセキュリティポリシーが実行された後は、便利なものとして展開する必要があります。 つまり、バグバウンティプログラムを利用する前に、基本的なセキュリティスキャン、侵入テスト、およびベストプラクティスを実施する必要があります。 バグバウンティプログラムは、別のサイバーセキュリティの取り組みを犠牲にしてもたらされるべきではありません。
3. いくつかの異なるバグ報奨金モデルがあります。 特定のスコープで動作するものもあります。 他のものは、一年中提供されるサービスとは対照的に、年次または半年ごとの「ハッカソン」の間に動作します。 さまざまなベンダーがさまざまなタイプのプラットフォームを提供しています。 バグバウンティプログラムを機能させるには、IT、サイバーセキュリティチーム、および経営幹部の間の共同作業が必要です。

倫理的なハッキングは、セキュリティの強化に向けた次のステップを探しているサイバーセキュリティチームにとって、企業にとってなくてはならないものではありませんが、それだけかもしれません。

続きを読む： 今週の事件

出典：https：//www.cshub.com/attacks/articles/iotw-ethical-hackers-discover-several-apple-vulnerabilitiesand-the-payout-may-reach-a-half-a-million-dollars