Етични хакери, по- известни като бели хакери, наскоро участваха в програмата с награди за откриване на уязвимости в Apple и постигнаха отлични резултати. В продължение на три месеца петима хакери, водени от 20-годишния Сам Къри, разкриха 55 уязвимости. Единадесет от тях бяха счетени за много критични. Възнаграждението на хакерите в момента е  $ 288 000 и продължава да расте.

Apple въведе програма с награди  за откриване на грешки през 2016 г., след като специалистите на компанията изпитваха все по-големи трудности да се справят с проблема със собствени сили.  Оттогава програмата заплаща милиони долари на етични хакери – доста изгодна инвестиция в сравнение с потенциалната цена дори на единичен проблем с уязвимост.

За екипа на Къри участието в подобно начинание беше огромно предизвикателство. Apple.com и iCloud.com притежават над 25 000 уеб сървъра. Apple притежава и 7000 други уникални имена на домейни. Къри и неговите сътрудници бяха готови за задачата. Една от критичните уязвимости, които откриха, включваше платформата iCloud на Apple и работеща слабост, която може да се разпространи чрез имейл, кражба на снимки и друга ценна информация. Друг проблем бе открит чрез грубо нахлуване в администраторски акаунт на Apple Distinguished Educator. Оттам е възможно по-нататъшно проникване във вътрешната мрежа. След откриването етичните хакери незабавно съобщиха за уязвимостите на Apple. Компанията отстрани всеки проблем в рамките на дни, а понякога и часове – с изключителна бързина,  което може да бъде трудно за една компания без стабилната инфраструктура и ресурси на Apple.

Експертите по киберсигурност са единодушни, че Apple е многостранно  защитена, но  при компания с толкова  голям дигитален отпечатък, уязвимости непременно ще има. Тестовете за проникване се прилагат вътрешно. Това обаче не винаги е достатъчно. Програмата за награди на Apple за краудсорсинг на любители и професионални етични хакери са формат за икономия на пари и време, за да се открият и премахнат пропуските.

В края на краищата, дори предвиденият бюджет за  изплащане на хакери на Apple от над 500 000 долара е дребна сума в сравнение с пробив в киберсигурността, особено, ако инцидентът включва рансъмуер, авария в комуникационните връзки, продължителен период на престой, спад на фондовия пазар или по-лошо.

Както се казва, „Всяка компания вече е технологична компания.“ Понастоящем повечето фирми имат онлайн присъствие. Те използват софтуер на трети страни и създават и / или купуват инфраструктура, която неизбежно включва слабости. Хакерите също стават все по-усъвършенствани. По този начин програмите с награди са все по-често срещан инструмент в микса  за киберсигурност на компанията.

Програмите с награди за грешки не са само за Голямата петорка от фирми. Всъщност те  са популярни сред бизнеса от всякакъв размер, включително стартиращи компании. Стартъпите работят усилено и бързо, за да пуснат продукта си на пазара с ограничени средства. Осигуряването на пълен кибер екип е трудно в началото. Експертите по киберсигурност са скъпи. А в момента има голям дефицит на експерти по киберсигурност – тенденция, която се влошава. Чрез задаване на параметрите на програма с награди за грешки и бюджетиране за намерени уязвимости, стартиращите компании имат достъп до експерти по киберсигурност бързо и лесно. За утвърден бизнес със солиден екип и стратегия за киберсигурност програмите с награди за грешки предлагат допълнителен слой сигурност. При големите компании в банковото дело и здравеопазването етичните хакери могат да покрият много повече терен, отколкото вътрешните екипи за киберсигурност.

Платформите с награди за грешки се предлагат от доверени доставчици като HackerOne и Bugcrowd. Тези предложения на SaaS помагат за стартирането на успешна програма за грешки, като осигуряват комуникационен път между етични хакери и предприятията. Техните хакери са проверени и способни. Ловците на бъгове получават възможността да увеличат своята креативност като  мислят като хакери. В пейзаж, където хакерството непрекъснато се променя и еволюира, програмите за киберсигурност бързо стават архаични. Повечето хакери, които участват в програми с  награди за грешки, излизат на разумна цена. Някои го правят, за да повишат уменията си като служител в киберсигурността или бъдещ такъв. Други го правят, за да се надяват да намерят Големия, който плаща големи пари. Трети –  за да участват в сплотената общност от етични хакери, които споделят знания помежду си. Каквато и да е причината, с нарастването на киберпрестъпността етичното хакерство е преминало в нова фаза на развитие. Дори Министерството на отбраната на САЩ използва етични хакери.

Работата с етична хакерска организация обаче не е толкова проста, колкото изглежда. Важно е първо да се положи правилната основа.

• Не забравяйте, че истинските хакери намират уязвимости. Те не ги проверяват и поправят. Ако екипът за киберсигурност на организацията не е готов да действа по въпросите, открити от етичен хакер – камо ли да разбере доклада, издаден от хакера – това означава, че тези средства е най-добре да се инвестират в по-силен екип по киберсигурност.
• Целта на етичното хакерство не е да бъде цялостно кибер решение. След като бъде изпълнена силна политика за киберсигурност, тя трябва да бъде внедрена като база за използване. С други думи, трябва да са налице основни сканирания за сигурност, тестове и най-добри практики, преди да се използва програма за грешки. Програмите с  награди за грешки не трябва да се оценяват като поредното усилие за високо ниво на киберсигурност.
• Има няколко различни модела на награди за грешки. Някои работят под определен обхват. Други работят по време на годишни или двугодишни „хакове“, за разлика от услуга, предлагана целогодишно. Различните доставчици предлагат различни видове платформи. За да работи програмата за награди за грешки, това трябва да бъде съвместно усилие между ИТ, екипа за киберсигурност и белите хакери.

Въпреки че етичното хакерство не е задължително решение, все пак – за екипите за киберзащита, които търсят следващата стъпка към повишена сигурност, може да е точно такова.