Crowdsourced-beveiliging is niet nieuw meer en bestaat sinds 2013 in een of andere vorm als een verbruikbare bedrijfsservice met de lancering van de belangrijkste crowdsourced-platforms (HackerOne, Bugcrowd en Synack). Langzaam maar zeker daagden deze platforms de traditionele pentestpraktijken uit en begonnen hun marktaandeel weg te vreten. Sindsdien zijn er nog meer platforms en concurrenten gelanceerd binnen de crowdsourced-ruimte om te concurreren om een deel van dit groeiende marktaandeel.
Maar is crowdsourced-beveiliging echt een wondermiddel tegen de kwalen van traditionele pentesting of zorgt het voor meer problemen? Laten we, voordat we dit aanpakken, eerst bekijken wat de problemen van traditioneel pentesten eigenlijk zijn.
Ontwikkelingscycli en continue levering
Voor bedrijven die gebruik maken van pentesting, het is meestal een oefening van één keer per jaar. Helaas houdt dit geen gelijke tred met de snelheid van de huidige ontwikkeling. Veel organisaties implementeren wekelijks, dagelijks of hanteren een continue leveringsmethode, waarbij ze voortdurend hun omgevingen en applicaties veranderen en daardoor mogelijk in een constant tempo kwetsbaarheden en configuratieproblemen introduceren.
Een pentest die in een dergelijke omgeving wordt uitgevoerd, levert slechts een momentopname op van de beveiligingsstatus op een specifiek tijdstip (de algemeen aanvaarde definitie van pentesting). Voeg daarbij de tijd die het kost om een rapport op te stellen, QA te doorlopen en bij de klant af te leveren (meestal enkele weken) en een pentestrapport is verouderd zodra het bij de klant wordt afgeleverd. In die tijd is de klantomgeving meerdere keren veranderd en niet meer representatief voor wat er überhaupt werd getest.
Tijdslimiet
Een commercieel opgelegde beperking, maar wel een hele belangrijke. Pentesters hebben niet de luxe van tijd, en tests zijn meestal beperkt in de tijd. Aan een website-engagement kunnen doorgaans vijf dagen worden toegewezen, waarvan één dag is gereserveerd voor het schrijven van rapporten. Dit betekent dat een pentester geen tijd heeft om diep in alle hoeken en gaten van de applicatie te duiken en voortdurend beslissingen zal moeten nemen over wat hij wel en niet moet negeren in de tijd die hem is toegewezen.
Vaardigheden
Er is een verschil in vaardigheden, zelfs onder pentesters. Sommigen zijn beter in het testen van mobiele apps, anderen in het testen van API-beveiliging en webapplicaties. Toch zijn de technologieën zo gevarieerd dat je zelfs bij een kleine populatie van gespecialiseerde pentesters variaties in vaardigheden zult tegenkomen. Voeg daarbij de moeilijkheden bij het aannemen van bekwaam personeel vandaag de dag (een thema dat niet nieuw is in infosec) en je zult vaak het probleem tegenkomen van twee verschillende pentesters die dezelfde applicatie testen en verschillende kwetsbaarheden vinden. Een tactische oplossing hiervoor is geweest om pentestleveranciers elk jaar te ‘cyclen’, maar – omdat de pentestpool van talent zo klein en gespecialiseerd is – heb ik bedrijven twee jaar op rij met dezelfde pentester zien eindigen, maar nu voor een ander bedrijf!
Pentester-syndroom
Het Pentestersyndroom zorgt ervoor dat dingen erger lijken dan ze in werkelijkheid zijn. Een veel voorkomende praktijk bij het pentesten van rapporten is het 'bespreken' van problemen die u hebt gevonden, vooral als u niets kritisch kon vinden. Dit is ook de reden waarom niemand ooit een pentestrapport heeft gelezen waarin staat dat “alles in orde is”. Ik heb zelfs informatieve zaken zoals een ontbrekende Strict Transport Security Header gezien als een “medium” kwetsbaarheid. Dit genereert onnodig werk bij het opsporen van ‘junkrisico’s’, waardoor problemen in een pentestrapport worden verholpen, maar uw beveiligingshouding geen enkel beetje wordt verbeterd.
Bedrijfsmodel
Ten slotte is er een nadeel aan het bedrijfsmodel verbonden aan het moeten bijhouden van een selectie pentesters op uw loonlijst. Je moet ze een competitief salaris betalen, ze de licenties geven voor alle apparatuur die ze nodig hebben (bijvoorbeeld Burpsuite Pro-licenties, enz.), hun voortdurende training en vaardigheden sponsoren, ze naar conferenties sturen en alle bijbehorende bagage. met fulltime medewerkers. In een personeelsbestand waar al schaarste is, is dit duur en weegt het op het bedrijfsresultaat.
Hoe lost crowdsourced-beveiliging deze problemen op?
Crowdsourced-bedrijfsmodellen pakten deze problemen aan door een flexibele benadering van pentesting te hanteren. Er zijn geen toegewijde pentesters, maar een ‘menigte’ van vrijwillige beveiligingsonderzoekers die zich aanmelden en proberen kwetsbaarheden in een asset te vinden. Als ze er een vinden, worden ze betaald. Als ze niets vinden, krijgen ze niets betaald.
Het eerste probleem dat hiermee wordt opgelost, is het ‘tijdgebonden’ aspect van pentesting. Je hebt niet langer slechts vijf dagen de tijd om te proberen een applicatie te kiezen; crowdsourced pentests hebben doorgaans een open einde, wat betekent dat je weken, zo niet maanden kunt besteden aan het opsporen van ongrijpbare, kritieke kwetsbaarheden, en dit heeft met groot succes uitgepakt.
Ik heb hier mijn eigen persoonlijke ervaring mee: als onderdeel van een crowdsourced programma vond ik ooit een kritieke kwetsbaarheid in een miljarden dollars, Nasdaq-beursgenoteerd bedrijf na enkele weken zoeken naar kwetsbaarheden. Deze kwetsbaarheid maakte het totale eigendom van alle meer dan 100 miljoen klantgegevens mogelijk (in feite al hun gegevens). Vanwege de complexiteit van de kwetsbaarheid was er geen kans dat een pentester de tijd zou hebben gehad om dit goed te onderzoeken (ze vertrouwden in het verleden op traditionele pentests, wat dit punt bewees).
Het tweede probleem met betrekking tot continue levering en point-in-time-tests wordt ook verholpen door deze open benadering en door onderzoekers in en uit de programma's te laten stappen. Dit heeft zijn eigen problemen, waar ik later op in zal gaan, maar zorgt er ook voor dat deze, ondanks een voortdurend veranderende infrastructuur, voortdurend wordt getest (op voorwaarde dat je een voldoende brede en diep genoeg pool van onderzoekers hebt om uit te putten).
Dit leidt tot het derde pentestprobleem: vaardigheden en bedrijfsmodel. Crowdsourced-bedrijven hebben een enorm bedrijfsmodelvoordeel omdat ze geen fulltime werknemers hebben. Ze betalen hen geen salaris en hoeven zelfs hun materiële kosten niet te betalen. Om problemen met de vaardigheden te compenseren, gooien ze gewoon zoveel mogelijk lichamen naar een applicatie, en dit zal in grote aantallen alle bekende profielen van de technologiestapel dekken. Hoe meer ogen je hebt om naar iets te kijken, hoe meer problemen je zult tegenkomen.
Ten slotte wordt het probleem van het pentestersyndroom opgelost door het beloningssysteem. Als u een probleem indient dat niet echt een kwetsbaarheid is en u geen proof of concept levert, wordt dit genegeerd. Erger nog, er worden punten afgetrokken van uw profiel voor tijdverspilling en/of (in extreme scenario's) wordt u volledig van het platform verwijderd. De klant krijgt alleen bruikbare kwetsbaarheden met exploits, geen pentestrapporten vol ongewenste risico's.
De problemen met crowdsourced-beveiliging vandaag de dag
Rekening houdend met het bovenstaande is crowdsourced-beveiliging vandaag de dag geen gelijkwaardige vervanging voor pentesting. Er zijn nog steeds veel problemen, waarvan sommige hardnekkig zijn vanwege hun bedrijfsmodel.
Interne versus externe testen
Crowdsourced-beveiliging testen zijn niet geschikt voor testen binnen de bedrijfsgrenzen. Bij een pentest komt een consultant fysiek naar het pand van de organisatie en sluit hij gewoon zijn laptop aan om met zijn tests te beginnen. In een crowdsourced-scenario is dit niet mogelijk omdat er een complexe combinatie van VPN's en/of proxy's moet worden opgezet, en het netwerk de belasting van tientallen, zo niet honderden gebruikers tegelijk moet kunnen dragen. Dit is de reden waarom het merendeel van de crowdsourced-opdrachten tot nu toe betrekking had op webapplicaties, aangezien deze overal toegankelijk zijn met relatief weinig kosten of complexiteit.
Dit geldt ook voor fysieke tests of tests van IoT-apparaten. Hoewel ik heb deelgenomen aan crowdsourced-opdrachten waarbij je een fysiek item kreeg toegestuurd (bijvoorbeeld een fitnesstrack), vergt dit investeringen omdat elke betrokken tester een kopie nodig heeft. Voeg daarbij dat testers over de hele wereld verspreid zijn en uw initiële kosten kunnen snel oplopen voordat u zelfs maar met de test bent begonnen.
De bronnenpool is eindig
Offensieve beveiliging kampt met een tekort aan vaardigheden, net als elk ander facet van het huidige informatiebeveiligingspersoneel. Crowdsourced-beveiliging heeft dit weliswaar enigszins verlicht door de potentiële pool van testers uit te breiden naar een internationaal niveau, maar is nog steeds op een muur gestoten, omdat er geen eindeloze pool van talent is om uit te putten.
Bezoek het klassement van de belangrijkste crowdsourced-platforms en je zult één opvallende overeenkomst ontdekken: ze zijn bijna hetzelfde. Het merendeel van de tests op alle platforms wordt gedaan door een selecte groep superonderzoekers, waarvan sommigen dit fulltime doen. Dit betekent dat het merendeel van de kwetsbaarheden feitelijk telkens door dezelfde groep wordt afgehandeld.
Hoewel je misschien marketingreferenties leest over het hebben van “duizenden” onderzoekers, is de realiteit dat twee dozijn onderzoekers verantwoordelijk zijn voor de meeste kwetsbaarheden die tegenwoordig op platforms worden aangetroffen. Dit creëert een hulpbronnenprobleem waarbij crowdsourced-bedrijven, veelal gesteund door durfkapitaal, constante groei nodig hebben, en dus meer klanten, en daarom staan er meer programma's open voor testen. Deze programma's hebben een overeenkomstige groei van het aantal testers nodig, maar die is er gewoon niet. Iedereen die vandaag de dag wil deelnemen aan een crowdsourced pentest, doet dat al. Omdat het geheel vrijwillig is, begrijpt u wel welk probleem dit veroorzaakt: u kunt een vrijwillig personeelsbestand niet dwingen uw nieuwe aanwinst te testen als zij simpelweg niet over de bandbreedte beschikken om dit te doen.
De kosten van crowdsourced pentesten
Ondanks wat crowdsourced-beveiligingsbedrijven zeggen, is crowdsourced pentesting in geen enkel opzicht goedkoop. Een pentest voor een externe website vandaag levert u het aantal dagen terug, vermenigvuldigd met het dagtarief van de consultant.
Laten we een gemiddelde nemen en zeggen dat dit $1200 USD is (dit kan meer of minder zijn, afhankelijk van het pentestbedrijf). Voor een pentest van vijf dagen (gebruikelijk voor een website) levert dit u gemiddeld $ 6000 USD op om een asset te testen. Om eerst een crowdsourced-test te krijgen, heb je een platformvergoeding nodig die vele malen hoger is: de vergoeding om je pentest daadwerkelijk op de verschillende crowdsourced-platforms te adverteren. Voeg daarbij dat u ook een beloning moet uitbetalen voor elke gevonden kwetsbaarheid. Hoe meer kwetsbaarheden er worden ontdekt, hoe meer u betaalt. Dit betekent dat uw kosten snel uit de hand kunnen lopen.
Een paar kanttekeningen hier: de aanpak van Synack (een van de platforms) is iets anders: ze brengen alleen platformkosten in rekening en alle beloningen worden uit eigen zak betaald. Deze kostenpremie sluit crowdsourced testen voor kleinere bedrijven feitelijk uit, omdat de toetredingsdrempels zo hoog zijn.
Federatie is voorlopig het enige alternatief voor kleine/middelgrote bedrijven. Ze spelen daarop in door het platform en de uitbetalingen te verlagen, maar het probleem is dat hoe lager de uitbetalingen, hoe minder onderzoekers zich tot het platform zullen aangetrokken voelen.
De gig-economie
Waarschijnlijk het meest verraderlijke probleem is dat crowdsourced-beveiliging in feite een Orwelliaanse versie van de kluseconomie propageert. De gig-economie van vandaag wordt vaker geassocieerd met Uber en Deliveroo: werknemers zien af van traditionele voordelen zoals pensioenen en ziektegeld om te kiezen wanneer en hoeveel ze werken.
Er is echter één cruciaal verschil: werknemers in de gig-economie worden feitelijk betaald voor hun arbeid. Als u ervoor kiest om 10 uur als Uber-chauffeur te werken, kunt u een bepaald bedrag aan nettoloon berekenen. Beveiligingsonderzoekers die zich bezighouden met crowdsourced pentesting worden niet betaald voor het werk, maar per gevonden kwetsbaarheid, en ze kunnen gemakkelijk een dag besteden aan het zoeken naar kwetsbaarheden en niets vinden. Het vinden van geen kwetsbaarheden is tegenwoordig het standaardresultaat voor de meeste beveiligingsonderzoekers, en u krijgt absoluut niets betaald voor uw tijd.
Niet alleen dit, maar al het gereedschap dat u gebruikt, moet u zelf aanschaffen. Heb je een gejailbreakte iPhone nodig om die mobiele app te testen? U dient deze zelf aan te leveren. Een exemplaar van Burp Suite Pro nodig? U dient de licentie zelf aan te schaffen. Je bent ziek? Jammer. Pensioen? Wat is dat? Dit levert enorme kostenbesparingen op voor crowdsourced-beveiligingsbedrijven, omdat ze effectief het bedrijfsmodelprobleem oplossen waarmee pentestbedrijven worstelen, maar als gevolg daarvan uitbuiting van personeel introduceren.
Merk ten slotte op dat beide benaderingen complementair kunnen zijn, ondanks hun talloze problemen. Er bestaat niet één oplossing voor offensieve beveiligingstests, en het is aan u om te beslissen welke het beste bij uw omgeving past, terwijl u de bovenstaande problemen in gedachten houdt.
Bron: https://www.helpnetsecurity.com/2020/03/23/crowdsourced-pentesting/
