Ethische hackers - ook wel bekend als white hat-hackers, hebben onlangs deelgenomen aan het kwetsbaarheidspremieprogramma van Apple en scoorden hoog. In een tijdsbestek van drie maanden vijf hackers, geleid door 20-jarige Sam Kerrie, 55 kwetsbaarheden blootgelegd. Elf van die kwetsbaarheden werden als kritiek beschouwd. Hun uitbetaling? $ 288,000 en meer.
Feiten
Apple heeft in 2016 een bugbounty-programma ingesteld nadat ze steeds meer intern worstelden om kwetsbaarheden te vinden. Het programma heeft sindsdien miljoenen dollars beloond aan ethische hackers - een welkome investering vergeleken met de potentiële kosten van zelfs maar een enkele kwaadwillende hack.
Voor het team van Curry was het aangaan van een dergelijke onderneming een enorme onderneming. Apple.com en iCloud.com zijn verantwoordelijk voor meer dan 25,000 webservers. Apple bezit ook 7,000 andere unieke domeinnamen. Curry en zijn cohorten gingen de uitdaging aan. Een van de kritieke kwetsbaarheden die ze vonden, betrof het iCloud-platform van Apple en een wormbare zwakte die via e-mail kon worden verspreid, waarbij foto's en andere waardevolle informatie werden gestolen. Een andere werd gevonden door brute kracht in een Apple Distinguished Educator-beheerdersaccount. Van daaruit was verdere interne netwerkpenetratie mogelijk. Bij ontdekking meldden de ethische hackers de kwetsbaarheden onmiddellijk aan Apple. Apple loste elk probleem binnen dagen en soms uren op - met andere woorden uitzonderlijk snel - wat moeilijk kan zijn voor een bedrijf zonder de degelijke infrastructuur en middelen van Apple.
Zie ook: Waarom samenwerkende ondernemingen een betere manier nodig hebben om risico's te beheren
Cybersecurity-experts zijn het erover eens dat Apple op grote schaal veilig is, maar met zo'n grote voetafdruk zijn er zeker kwetsbaarheden. Penetratietesten, of pentesten, worden intern afgenomen. Het is echter niet altijd voldoende. Apple's premieprogramma crowdsourcet hobbyisten en professionele ethische hackers in een gig-economy-formaat om de hiaten op te vullen.
Tenslotte is zelfs de voorspelde uiteindelijke uitbetaling van meer dan $ 500,000 aan de Apple-hackers kleine aardappelen vergeleken met een inbreuk op de cyberveiligheid die gepaard ging met losgeld, een PR-ramp, een langere periode van downtime, een daling van de aandelenmarkt, of erger.
Lessons Learned
Zoals het gezegde luidt: "Elk bedrijf is nu een technologiebedrijf." De meeste bedrijven zijn tegenwoordig online aanwezig. Ze gebruiken software van derden en creëren en / of kopen infrastructuur die onvermijdelijk zwakke punten bevat. Hackers worden ook steeds geavanceerder. Bounty-programma's zijn dus een steeds vaker gebruikte tool in de cyberbeveiligingstoolbox van een bedrijf.
Bug bounty-programma's zijn niet alleen voor de Big Five. Bug bounty-programma's zijn zelfs populair bij bedrijven van elke omvang, inclusief startups. Startups werken hard en snel om hun product met beperkte middelen op de markt te krijgen. Het beveiligen van een compleet cyberteam is in het begin moeilijk. Cybersecurity-experts zijn duur. En er is momenteel een droogte-expert op het gebied van cyberveiligheid - een trend die alleen maar erger wordt. Door de perimeters van een bugbounty-programma in te stellen en te budgetteren voor gevonden kwetsbaarheden, kunnen startups snel en betaalbaar toegang krijgen tot cyberveiligheidsexperts. Voor een gevestigd bedrijf met een solide cyberbeveiligingsteam en -strategie, bieden bugbounty-programma's een extra beveiligingslaag. Voor grote bedrijven in het bankwezen en de gezondheidszorg kunnen ethische hackers veel meer terreinen bestrijken dan alleen interne cyberbeveiligingsteams.
Zie ook: Nut van cyberbeveiligingscertificaten
Bug bounty-platforms zijn verkrijgbaar bij vertrouwde leveranciers zoals HackerOne en Bugcrowd. Deze SaaS-aanbiedingen helpen bij het lanceren van een succesvol bugbounty-programma door een communicatiepad te bieden tussen ethische hackers en ondernemingen. Hun hackers zijn doorgelicht en bekwaam. Bug-premiejagers krijgen de creativiteit om te denken als een hacker. In een landschap waar hacking continu verschuift en evolueert, worden cyberbeveiligingsprogramma's snel archaïsch. De meeste hackers die deelnemen aan bugbounty-programma's zijn maanlichters. Sommigen doen het om hun vaardigheden als cybersecuritymedewerker of toekomstige medewerker te vergroten. Sommigen doen het in de hoop The Big One te vinden die dienovereenkomstig betaalt. Weer anderen doen het om deel te nemen aan de hechte gemeenschap van ethische hackers die onderling kennis delen. Wat de reden ook is, met de opkomst van cybercriminaliteit, is ethisch hacken van rand tot mainstream gegaan. Zelfs het Amerikaanse ministerie van Defensie maakt gebruik van ethische hackers.
Quick tips
Werken met een ethische hackorganisatie is echter niet zo eenvoudig als aanmelden. Het is belangrijk om eerst de juiste basis te leggen.
- Onthoud dat eithische hackers kwetsbaarheden vinden. Ze onderzoeken en repareren ze niet. Als het cyberveiligheidsteam van een organisatie niet bereid is om iets te doen aan de problemen die door een ethische hacker zijn gevonden - laat staan het rapport van de hacker te begrijpen - betekent dit dat die middelen het beste kunnen worden geïnvesteerd in sterkere cyberbeveiliging.
- De bedoeling van ethisch hacken is niet om een holistische cyberoplossing te zijn. Het moet worden ingezet als een 'nice-to-have' nadat een sterk cyberveiligheidsbeleid is uitgevoerd. Met andere woorden, er moeten basisbeveiligingsscans, pentests en best practices zijn voordat u een bugbounty-programma gebruikt. Bug bounty-programma's mogen niet ten koste gaan van een andere cyberveiligheidsinspanning.
- Er zijn verschillende soorten bugbounty-modellen. Sommige werken onder een specifiek bereik. Anderen opereren tijdens jaarlijkse of halfjaarlijkse "hack-a-thons", in tegenstelling tot een dienst die het hele jaar door wordt aangeboden. Verschillende leveranciers bieden verschillende soorten platforms aan. Om een bug bounty-programma te laten werken, moet het een gezamenlijke inspanning zijn van IT, het cyberbeveiligingsteam en de C-suite.
Hoewel ethisch hacken geen vereiste is voor cyberveiligheidsteams die op zoek zijn naar de volgende stap in de richting van verhoogde beveiliging, is het misschien precies wat u moet hebben.
Lees verder: Incident van de week
