БЕЛИ ХАКЕРИ ОТКРИХА НЯКОЛКО УЯЗВИМОСТИ В APPLE

Етични хакери, по- известни като бели хакери, наскоро участваха в програмата с награди за откриване на уязвимости в Apple и постигнаха отлични резултати. В продължение на три месеца петима хакери, водени от 20-годишния Сам Къри, разкриха 55 уязвимости. Единадесет от тях бяха счетени за много критични. Възнаграждението на хакерите в момента е  $ 288 000 и продължава да расте.

Apple въведе програма с награди  за откриване на грешки през 2016 г., след като специалистите на компанията изпитваха все по-големи трудности да се справят с проблема със собствени сили.  Оттогава програмата заплаща милиони долари на етични хакери – доста изгодна инвестиция в сравнение с потенциалната цена дори на единичен проблем с уязвимост.

За екипа на Къри участието в подобно начинание беше огромно предизвикателство. Apple.com и iCloud.com притежават над 25 000 уеб сървъра. Apple притежава и 7000 други уникални имена на домейни. Къри и неговите сътрудници бяха готови за задачата. Една от критичните уязвимости, които откриха, включваше платформата iCloud на Apple и работеща слабост, която може да се разпространи чрез имейл, кражба на снимки и друга ценна информация. Друг проблем бе открит чрез грубо нахлуване в администраторски акаунт на Apple Distinguished Educator. Оттам е възможно по-нататъшно проникване във вътрешната мрежа. След откриването етичните хакери незабавно съобщиха за уязвимостите на Apple. Компанията отстрани всеки проблем в рамките на дни, а понякога и часове – с изключителна бързина,  което може да бъде трудно за една компания без стабилната инфраструктура и ресурси на Apple.

Експертите по киберсигурност са единодушни, че Apple е многостранно  защитена, но  при компания с толкова  голям дигитален отпечатък, уязвимости непременно ще има. Тестовете за проникване се прилагат вътрешно. Това обаче не винаги е достатъчно. Програмата за награди на Apple за краудсорсинг на любители и професионални етични хакери са формат за икономия на пари и време, за да се открият и премахнат пропуските.

В края на краищата, дори предвиденият бюджет за  изплащане на хакери на Apple от над 500 000 долара е дребна сума в сравнение с пробив в киберсигурността, особено, ако инцидентът включва рансъмуер, авария в комуникационните връзки, продължителен период на престой, спад на фондовия пазар или по-лошо.

Както се казва, „Всяка компания вече е технологична компания.“ Понастоящем повечето фирми имат онлайн присъствие. Те използват софтуер на трети страни и създават и / или купуват инфраструктура, която неизбежно включва слабости. Хакерите също стават все по-усъвършенствани. По този начин програмите с награди са все по-често срещан инструмент в микса  за киберсигурност на компанията.

Програмите с награди за грешки не са само за Голямата петорка от фирми. Всъщност те  са популярни сред бизнеса от всякакъв размер, включително стартиращи компании. Стартъпите работят усилено и бързо, за да пуснат продукта си на пазара с ограничени средства. Осигуряването на пълен кибер екип е трудно в началото. Експертите по киберсигурност са скъпи. А в момента има голям дефицит на експерти по киберсигурност – тенденция, която се влошава. Чрез задаване на параметрите на програма с награди за грешки и бюджетиране за намерени уязвимости, стартиращите компании имат достъп до експерти по киберсигурност бързо и лесно. За утвърден бизнес със солиден екип и стратегия за киберсигурност програмите с награди за грешки предлагат допълнителен слой сигурност. При големите компании в банковото дело и здравеопазването етичните хакери могат да покрият много повече терен, отколкото вътрешните екипи за киберсигурност.

Платформите с награди за грешки се предлагат от доверени доставчици като HackerOne и Bugcrowd. Тези предложения на SaaS помагат за стартирането на успешна програма за грешки, като осигуряват комуникационен път между етични хакери и предприятията. Техните хакери са проверени и способни. Ловците на бъгове получават възможността да увеличат своята креативност като  мислят като хакери. В пейзаж, където хакерството непрекъснато се променя и еволюира, програмите за киберсигурност бързо стават архаични. Повечето хакери, които участват в програми с  награди за грешки, излизат на разумна цена. Някои го правят, за да повишат уменията си като служител в киберсигурността или бъдещ такъв. Други го правят, за да се надяват да намерят Големия, който плаща големи пари. Трети –  за да участват в сплотената общност от етични хакери, които споделят знания помежду си. Каквато и да е причината, с нарастването на киберпрестъпността етичното хакерство е преминало в нова фаза на развитие. Дори Министерството на отбраната на САЩ използва етични хакери.

Работата с етична хакерска организация обаче не е толкова проста, колкото изглежда. Важно е първо да се положи правилната основа.

  • Не забравяйте, че истинските хакери намират уязвимости. Те не ги проверяват и поправят. Ако екипът за киберсигурност на организацията не е готов да действа по въпросите, открити от етичен хакер – камо ли да разбере доклада, издаден от хакера – това означава, че тези средства е най-добре да се инвестират в по-силен екип по киберсигурност.
  • Целта на етичното хакерство не е да бъде цялостно кибер решение. След като бъде изпълнена силна политика за киберсигурност, тя трябва да бъде внедрена като база за използване. С други думи, трябва да са налице основни сканирания за сигурност, тестове и най-добри практики, преди да се използва програма за грешки. Програмите с  награди за грешки не трябва да се оценяват като поредното усилие за високо ниво на киберсигурност.
  • Има няколко различни модела на награди за грешки. Някои работят под определен обхват. Други работят по време на годишни или двугодишни „хакове“, за разлика от услуга, предлагана целогодишно. Различните доставчици предлагат различни видове платформи. За да работи програмата за награди за грешки, това трябва да бъде съвместно усилие между ИТ, екипа за киберсигурност и белите хакери.

 

Въпреки че етичното хакерство не е задължително решение, все пак – за екипите за киберзащита, които търсят следващата стъпка към повишена сигурност, може да е точно такова.

 

Източник: По материали от Интернет

Подобни публикации

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
28 май 2023

Computex 2023: всичко, което трябва да знаете з...

Computex 2023 се провежда от 29 май до 2 юни Изложението Computex 2...
Бъдете социални
Още по темата
26/04/2023

Имате ли нужда от антивирус...

Продуктите на Apple са защитени с...
22/04/2023

Откриха първия голям рансъм...

Насочвайки се към потребителите на Apple,...
11/04/2023

Изтекоха данни за iPhone 15...

С увереност предполагаме, че серията iPhone...
Последно добавени
31/05/2023

Как да избегнете прегарянет...

Въпреки че кибератаките се увеличават през...
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!