Търсене
Close this search box.

Етични хакери, по- известни като бели хакери, наскоро участваха в програмата с награди за откриване на уязвимости в Apple и постигнаха отлични резултати. В продължение на три месеца петима хакери, водени от 20-годишния Сам Къри, разкриха 55 уязвимости. Единадесет от тях бяха счетени за много критични. Възнаграждението на хакерите в момента е  $ 288 000 и продължава да расте.

Apple въведе програма с награди  за откриване на грешки през 2016 г., след като специалистите на компанията изпитваха все по-големи трудности да се справят с проблема със собствени сили.  Оттогава програмата заплаща милиони долари на етични хакери – доста изгодна инвестиция в сравнение с потенциалната цена дори на единичен проблем с уязвимост.

За екипа на Къри участието в подобно начинание беше огромно предизвикателство. Apple.com и iCloud.com притежават над 25 000 уеб сървъра. Apple притежава и 7000 други уникални имена на домейни. Къри и неговите сътрудници бяха готови за задачата. Една от критичните уязвимости, които откриха, включваше платформата iCloud на Apple и работеща слабост, която може да се разпространи чрез имейл, кражба на снимки и друга ценна информация. Друг проблем бе открит чрез грубо нахлуване в администраторски акаунт на Apple Distinguished Educator. Оттам е възможно по-нататъшно проникване във вътрешната мрежа. След откриването етичните хакери незабавно съобщиха за уязвимостите на Apple. Компанията отстрани всеки проблем в рамките на дни, а понякога и часове – с изключителна бързина,  което може да бъде трудно за една компания без стабилната инфраструктура и ресурси на Apple.

Експертите по киберсигурност са единодушни, че Apple е многостранно  защитена, но  при компания с толкова  голям дигитален отпечатък, уязвимости непременно ще има. Тестовете за проникване се прилагат вътрешно. Това обаче не винаги е достатъчно. Програмата за награди на Apple за краудсорсинг на любители и професионални етични хакери са формат за икономия на пари и време, за да се открият и премахнат пропуските.

В края на краищата, дори предвиденият бюджет за  изплащане на хакери на Apple от над 500 000 долара е дребна сума в сравнение с пробив в киберсигурността, особено, ако инцидентът включва рансъмуер, авария в комуникационните връзки, продължителен период на престой, спад на фондовия пазар или по-лошо.

Както се казва, „Всяка компания вече е технологична компания.“ Понастоящем повечето фирми имат онлайн присъствие. Те използват софтуер на трети страни и създават и / или купуват инфраструктура, която неизбежно включва слабости. Хакерите също стават все по-усъвършенствани. По този начин програмите с награди са все по-често срещан инструмент в микса  за киберсигурност на компанията.

Програмите с награди за грешки не са само за Голямата петорка от фирми. Всъщност те  са популярни сред бизнеса от всякакъв размер, включително стартиращи компании. Стартъпите работят усилено и бързо, за да пуснат продукта си на пазара с ограничени средства. Осигуряването на пълен кибер екип е трудно в началото. Експертите по киберсигурност са скъпи. А в момента има голям дефицит на експерти по киберсигурност – тенденция, която се влошава. Чрез задаване на параметрите на програма с награди за грешки и бюджетиране за намерени уязвимости, стартиращите компании имат достъп до експерти по киберсигурност бързо и лесно. За утвърден бизнес със солиден екип и стратегия за киберсигурност програмите с награди за грешки предлагат допълнителен слой сигурност. При големите компании в банковото дело и здравеопазването етичните хакери могат да покрият много повече терен, отколкото вътрешните екипи за киберсигурност.

Платформите с награди за грешки се предлагат от доверени доставчици като HackerOne и Bugcrowd. Тези предложения на SaaS помагат за стартирането на успешна програма за грешки, като осигуряват комуникационен път между етични хакери и предприятията. Техните хакери са проверени и способни. Ловците на бъгове получават възможността да увеличат своята креативност като  мислят като хакери. В пейзаж, където хакерството непрекъснато се променя и еволюира, програмите за киберсигурност бързо стават архаични. Повечето хакери, които участват в програми с  награди за грешки, излизат на разумна цена. Някои го правят, за да повишат уменията си като служител в киберсигурността или бъдещ такъв. Други го правят, за да се надяват да намерят Големия, който плаща големи пари. Трети –  за да участват в сплотената общност от етични хакери, които споделят знания помежду си. Каквато и да е причината, с нарастването на киберпрестъпността етичното хакерство е преминало в нова фаза на развитие. Дори Министерството на отбраната на САЩ използва етични хакери.

Работата с етична хакерска организация обаче не е толкова проста, колкото изглежда. Важно е първо да се положи правилната основа.

  • Не забравяйте, че истинските хакери намират уязвимости. Те не ги проверяват и поправят. Ако екипът за киберсигурност на организацията не е готов да действа по въпросите, открити от етичен хакер – камо ли да разбере доклада, издаден от хакера – това означава, че тези средства е най-добре да се инвестират в по-силен екип по киберсигурност.
  • Целта на етичното хакерство не е да бъде цялостно кибер решение. След като бъде изпълнена силна политика за киберсигурност, тя трябва да бъде внедрена като база за използване. С други думи, трябва да са налице основни сканирания за сигурност, тестове и най-добри практики, преди да се използва програма за грешки. Програмите с  награди за грешки не трябва да се оценяват като поредното усилие за високо ниво на киберсигурност.
  • Има няколко различни модела на награди за грешки. Някои работят под определен обхват. Други работят по време на годишни или двугодишни „хакове“, за разлика от услуга, предлагана целогодишно. Различните доставчици предлагат различни видове платформи. За да работи програмата за награди за грешки, това трябва да бъде съвместно усилие между ИТ, екипа за киберсигурност и белите хакери.

 

Въпреки че етичното хакерство не е задължително решение, все пак – за екипите за киберзащита, които търсят следващата стъпка към повишена сигурност, може да е точно такова.

 

Източник: По материали от Интернет

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
3 октомври 2024

Microsoft представя Copilot Vision, но набляга ...

Във вторник Microsoft представи нов инструмент за анализ на уеб съд...
Бъдете социални
Още по темата
26/09/2024

Джо Гранд - пакостник, вред...

Джо Гранд – от „дивото“ дете...
26/09/2024

Вторият Pwn2Own Automotive ...

Етичните хакери могат да спечелят над...
25/09/2024

Защо да плащате на пентестер?

Еволюцията на софтуера винаги ни изненадва....
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!