Согласно отчету, опубликованному во вторник ведущей платформой по борьбе с ошибками, за последний год этические хакеры предотвратили киберпреступность на сумму более 27 миллиардов долларов США.
В своем ежегодном отчете «Внутри разума хакера» Bugcrowd утверждал, что этичные хакеры, работающие над его платформой, смогли предотвратить эти киберпреступные потери организаций, обнаружив уязвимости, которые в противном случае остались бы незамеченными.
Отчет основан на опросе пользователей платформы и исследованиях безопасности, проведенных с мая 2020 года по август 2021 года, в дополнение к миллионам частных данных, собранных об уязвимостях из почти 3000 программ безопасности.
«Хакерство уже давно оклеветано стереотипными изображениями преступников в капюшонах, тогда как на самом деле этические хакеры пользуются большим доверием и являются трудолюбивыми экспертами, которые позволяют организациям быстрее выпускать безопасные продукты на рынок», — сказал в новостях президент и генеральный директор Bugcrowd Ашиш Гупта выпуск.
В отчете отмечается, что почти трое из четырех этичных хакеров (74 процента) согласились с тем, что с начала пандемии Covid-19 количество уязвимостей увеличилось.
«Из-за быстрых изменений, которые почти все претерпели из-за пандемии, появилось множество уязвимостей и недостатков», — заметил Джон Бамбенек, главный специалист по поиску угроз в Netenrich, компании, работающей в сфере информационных технологий и цифровой безопасности в Сан-Хосе, Калифорния. .
«Вы можете делать что-то быстро или делать что-то безопасно, и по необходимости мы делали все быстро», — сказал он TechNewsWorld.
Содержание статьи
Изменение ландшафта уязвимости
Нет никаких сомнений в том, что ландшафт уязвимости изменился с начала пандемии, — добавил Джейк Уильямс, соучредитель и технический директор BreachQuest, компании по реагированию на инциденты в Далласе.
«По мере того как большинство интеллектуальных работников перешло на удаленную работу, сетевая архитектура кардинально изменилась, — пояснил он TechNewsWorld.
«Мы рассматриваем безопасность как пересечение конфиденциальности, целостности и доступности», — продолжил он. «Переход к удаленной работе произошел так быстро, что большинство организаций работали только над обеспечением доступности, не беспокоясь о других аспектах безопасности».
«Уязвимости, вызванные быстрым переходом на удаленную работу, несомненно, будут обнаруживаться и дальше», Уильямс настаивал.
Пандемия также увеличила спрос на новые таланты в компаниях, занимающихся кибербезопасностью . Из множества сертификатов, которые могут получить кибер-новички, Certified Ethical Hacker считает наиболее важным Абхиджит Гош, технический директор и соучредитель Confluera, производителя платформы отслеживания киберугроз в Пало-Альто, Калифорния.
«Помимо демонстрации своего понимания инструментов и методов взлома, опыт проведения хакерских атак и соревнований по ловле флага мало чем отличается от реального сценария, в котором профессионалы в области кибербезопасности должны реагировать в режиме реального времени на атака в стадии разработки », — сказал он TechNewsWorld.
«Я также связываю эту сертификацию со страстью человека к этой отрасли, — добавил он, — что вам очень часто понадобится, когда кибератаки происходят в самое неподходящее время, например, в выходные и праздничные дни».
Необходим непрерывный мониторинг
В отчете Bugcrowd также отмечалось, что более девяти из 10 опрошенных этических хакеров (91 процент) признали, что тестирование на определенный момент времени — что они и делают — не может обеспечить организацию круглый год.
«Это отражение того, что профессионалы по доставке программного обеспечения знали на протяжении многих лет — более короткие и гибкие циклы улучшают качество», — сказал Тим Уэйд, технический директор группы технического директора Vectra AI, Сан-Хосе, Калифорния. поставщик автоматизированных решений для управления угрозами
«Быстрые, менее масштабные мероприятия с возможностью постепенного измерения возможностей с течением времени почти наверняка сдвинут иглу для организаций», — сказал он TechNewsWorld.
Награды за ошибки имеют свои достоинства в области кибербезопасности, но по-прежнему относятся к категории сосредоточения усилий на пост-развертывании и реагирования, добавил Арчи Агарвал, основатель и генеральный директор ThreatModeler, поставщика автоматизированного моделирования угроз в Джерси-Сити, штат Нью-Джерси.
«Я бы предпочел, чтобы исследователи в области безопасности всегда находили уязвимости раньше, чем преступники, однако отраслевой фокус должен сместиться в сторону проактивной, непрерывной безопасности на этапе проектирования и сборки», — сказал он TechNewsWorld.
«Только используя автоматическое моделирование угроз, которое органично пронизывает весь жизненный цикл разработки программного обеспечения, мы начнем по-настоящему бороться с масштабом обнаруживаемых уязвимостей», — сказал он.
Образ жизни хакеров
Отчет также содержит информацию об образе жизни, опыте и мотивах этических хакеров на платформе Bugcrowd, а также несколько «близких» статей о некоторых хакерах.
«Меня всегда вдохновляли изобретательность и предпринимательский склад ума тех, кого привлекают этические взломы», — заметил основатель и генеральный директор Bugcrowd Кейси Эллис.
«Наш последний отчет показывает, что 79 процентов этичных хакеров научились взламывать, используя онлайн-ресурсы», — сказал он TechNewsWorld.
«Отчет также показал, что это самое молодое и наиболее этнически разнообразное поколение этичных хакеров в истории», — добавил он. «Влияние этой группы на предотвращение кибератак и развитие отрасли колоссально, и оно обязательно будет продолжаться».
Крейг Янг, главный исследователь безопасности в Tripwire, компании по обнаружению и предотвращению угроз кибербезопасности в Портленде, Ор. Объяснил, что организации используют программы bug bounty как форму краудсорсингового тестирования безопасности.
«Ни одна группа безопасности, какой бы зрелой она ни была, не способна выявлять 100% проблем в 100% случаев, — сказал он TechNewsWorld, — но программы вознаграждения за ошибки помогают снизить риск того, что пропущенная проблема будет использована для вторжение ».
« Преимущество многих глаз
«Наличие большого количества глаз, особенно при необходимом таланте и обучении, — одно из лучших действий, которые вы можете сделать, чтобы найти и искоренить ошибки», — добавил Роджер Граймс, защитник в KnowBe4, учебном центре по вопросам безопасности в Клируотере, штат Флорида
«Независимо от того, насколько хороша ваша внутренняя команда по поиску ошибок, внешняя команда всегда найдет ошибки, которых не обнаружила внутренняя группа», — сказал он TechNewsWorld. «Программы Bug Bounty приглашают множество внешних людей и команд искать ошибки в вашем программном обеспечении — до того, как это сделают злонамеренные хакеры».
Несмотря на преимущества, которые этические хакеры могут принести организации, очаги недоверия остаются.
«Большинству отраслей неудобны вознаграждения за ошибки и этические хакеры, потому что они не понимают огромных преимуществ», — сказал Граймс. «Они думают, что приглашение хакеров взломать их программное обеспечение приведет к увеличению злоумышленников в целом, в то время как реальный результат будет прямо противоположным».
Тем не менее, он отметил, что с годами ситуация наладилась. «Десять лет назад большинство организаций никогда не разрешили бы программы по выявлению ошибок», — заметил он. «Теперь у вас есть множество конкурирующих консорциумов по борьбе с ошибками и людей, которые зарабатывают деньги на обнаружении ошибок раньше, чем это сделают злоумышленники».