Етични хакери, по- известни като бели хакери, наскоро участваха в програмата с награди за откриване на уязвимости в Apple и постигнаха отлични резултати. В продължение на три месеца петима хакери, водени от 20-годишния Сам Къри, разкриха 55 уязвимости. Единадесет от тях бяха счетени за много критични. Възнаграждението на хакерите в момента е $ 288 000 и продължава да расте.
Apple въведе програма с награди за откриване на грешки през 2016 г., след като специалистите на компанията изпитваха все по-големи трудности да се справят с проблема със собствени сили. Оттогава програмата заплаща милиони долари на етични хакери – доста изгодна инвестиция в сравнение с потенциалната цена дори на единичен проблем с уязвимост.
За екипа на Къри участието в подобно начинание беше огромно предизвикателство. Apple.com и iCloud.com притежават над 25 000 уеб сървъра. Apple притежава и 7000 други уникални имена на домейни. Къри и неговите сътрудници бяха готови за задачата. Една от критичните уязвимости, които откриха, включваше платформата iCloud на Apple и работеща слабост, която може да се разпространи чрез имейл, кражба на снимки и друга ценна информация. Друг проблем бе открит чрез грубо нахлуване в администраторски акаунт на Apple Distinguished Educator. Оттам е възможно по-нататъшно проникване във вътрешната мрежа. След откриването етичните хакери незабавно съобщиха за уязвимостите на Apple. Компанията отстрани всеки проблем в рамките на дни, а понякога и часове – с изключителна бързина, което може да бъде трудно за една компания без стабилната инфраструктура и ресурси на Apple.
Експертите по киберсигурност са единодушни, че Apple е многостранно защитена, но при компания с толкова голям дигитален отпечатък, уязвимости непременно ще има. Тестовете за проникване се прилагат вътрешно. Това обаче не винаги е достатъчно. Програмата за награди на Apple за краудсорсинг на любители и професионални етични хакери са формат за икономия на пари и време, за да се открият и премахнат пропуските.
В края на краищата, дори предвиденият бюджет за изплащане на хакери на Apple от над 500 000 долара е дребна сума в сравнение с пробив в киберсигурността, особено, ако инцидентът включва рансъмуер, авария в комуникационните връзки, продължителен период на престой, спад на фондовия пазар или по-лошо.
Както се казва, „Всяка компания вече е технологична компания.“ Понастоящем повечето фирми имат онлайн присъствие. Те използват софтуер на трети страни и създават и / или купуват инфраструктура, която неизбежно включва слабости. Хакерите също стават все по-усъвършенствани. По този начин програмите с награди са все по-често срещан инструмент в микса за киберсигурност на компанията.
Програмите с награди за грешки не са само за Голямата петорка от фирми. Всъщност те са популярни сред бизнеса от всякакъв размер, включително стартиращи компании. Стартъпите работят усилено и бързо, за да пуснат продукта си на пазара с ограничени средства. Осигуряването на пълен кибер екип е трудно в началото. Експертите по киберсигурност са скъпи. А в момента има голям дефицит на експерти по киберсигурност – тенденция, която се влошава. Чрез задаване на параметрите на програма с награди за грешки и бюджетиране за намерени уязвимости, стартиращите компании имат достъп до експерти по киберсигурност бързо и лесно. За утвърден бизнес със солиден екип и стратегия за киберсигурност програмите с награди за грешки предлагат допълнителен слой сигурност. При големите компании в банковото дело и здравеопазването етичните хакери могат да покрият много повече терен, отколкото вътрешните екипи за киберсигурност.
Платформите с награди за грешки се предлагат от доверени доставчици като HackerOne и Bugcrowd. Тези предложения на SaaS помагат за стартирането на успешна програма за грешки, като осигуряват комуникационен път между етични хакери и предприятията. Техните хакери са проверени и способни. Ловците на бъгове получават възможността да увеличат своята креативност като мислят като хакери. В пейзаж, където хакерството непрекъснато се променя и еволюира, програмите за киберсигурност бързо стават архаични. Повечето хакери, които участват в програми с награди за грешки, излизат на разумна цена. Някои го правят, за да повишат уменията си като служител в киберсигурността или бъдещ такъв. Други го правят, за да се надяват да намерят Големия, който плаща големи пари. Трети – за да участват в сплотената общност от етични хакери, които споделят знания помежду си. Каквато и да е причината, с нарастването на киберпрестъпността етичното хакерство е преминало в нова фаза на развитие. Дори Министерството на отбраната на САЩ използва етични хакери.
Работата с етична хакерска организация обаче не е толкова проста, колкото изглежда. Важно е първо да се положи правилната основа.
Въпреки че етичното хакерство не е задължително решение, все пак – за екипите за киберзащита, които търсят следващата стъпка към повишена сигурност, може да е точно такова.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.