Non sappiamo che le violazioni dei dati e gli attacchi informatici si stanno moltiplicando, l'hacking sta diventando sempre più sofisticato. Le aziende stanno lottando per tenere il passo con le motivazioni, le tattiche e gli appetiti in rapida evoluzione dei criminali informatici. Il problema è aggravato dalle tecnologie emergenti come l'IoT, che offrono agli hacker nuovi meccanismi e veicoli di attacco. Inoltre, le aziende spesso migrano verso il cloud, trasferendo grandi volumi di dati di lavoro e applicazioni in varie configurazioni di implementazione, lasciando gli hacker privi di protezione. Quindi quali misure possono adottare le aziende per evitare interruzioni?
Prospettive nemiche.
Per comprendere e tenere il passo con la mentalità informatica in evoluzione, molte aziende stanno combattendo gli incendi, in altre parole, assumendo hacker per chiedere aiuto. In effetti, grandi aziende come Airbnb, PayPal e Spotify hanno recentemente rivelato di aver speso volontariamente più di 38 milioni di sterline in hacker etici per aumentare le loro difese informatiche e prevenire violazioni dei dati. Gli hacker etici possono svolgere un ruolo fondamentale nell'aiutare i team di sicurezza a considerare tutti i potenziali vettori di attacco durante la protezione delle applicazioni. Sebbene gli architetti della sicurezza abbiano una profonda conoscenza delle best practice del settore, spesso non hanno esperienza diretta con il modo in cui gli aggressori eseguono ricognizioni, attacchi a catena o accedono alle reti aziendali. Dotato, si spera, di tutte le abilità e l'astuzia dei suoi avversari, l'hacker etico è legalmente autorizzato a sfruttare le reti di sicurezza e migliorare i sistemi correggendo le vulnerabilità scoperte durante i test. Sono inoltre tenuti a divulgare tutte le vulnerabilità scoperte. Può sembrare controintuitivo utilizzare gli hacker per pianificare e testare la nostra difesa informatica, ma ciò che hanno in abbondanza è una preziosa esperienza pratica. Secondo l'Hacker Report 2019, la comunità degli hacker white hat è raddoppiata di anno in anno. L'anno scorso sono stati distribuiti 19 milioni di dollari come bonus, quasi l'importo totale pagato agli hacker negli ultimi sei anni messi insieme. Secondo il rapporto, il rapporto stima anche che gli hacker più pagati possano guadagnare fino a quaranta volte lo stipendio annuo medio di un ingegnere del software nel loro paese d'origine.
(Immagine: © Image Credit: Kevin Ku / Pexels)
Dove cacciare i pirati etici.
Il metodo più comune è un sistema "bount bug" che funziona in condizioni rigorose. In questo modo, qualsiasi membro del pubblico può cercare e inviare vulnerabilità scoperte per avere la possibilità di vincere un bonus. Questo può funzionare bene per servizi disponibili pubblicamente come siti Web o app mobili. I premi dipendono dal livello di rischio percepito una volta che l'organizzazione interessata conferma la validità della sua scoperta. L'utilizzo del crowdsourcing e della retribuzione incentivante presenta evidenti vantaggi. Gli hacker ricevono complimenti per la reputazione e/o valuta forte per presentare e dimostrare le loro abilità in un forum molto pubblico. In cambio, l'organizzazione appaltante acquisisce nuove dimensioni in termini di prospettive di sicurezza e protezione. Alcune aziende scelgono di assumere direttamente gli hacker. L'esperienza pratica è la chiave qui. Mentre l'uso di hacker di terze parti, alcuni dei quali hanno una storia di attività criminale, può sembrare controintuitivo, esiste solo un'esperienza concreta. Alla fine della giornata, un hacker è un hacker. L'unica differenza è ciò che fanno una volta trovato un bug o una vulnerabilità. Alla fine, assumere un ex criminale informatico è una decisione rischiosa che deve essere presa caso per caso. Va inoltre notato che i controlli sui precedenti penali aiutano solo a identificare i trasgressori passati, in quanto non hanno un contesto per come una persona è cambiata. Ad esempio, è improbabile che una persona accusata di negazione del servizio fin dalla tenera età sia riuscita a intraprendere una carriera criminale internazionale. In effetti, alcuni delinquenti minorenni spesso diventano consulenti per la sicurezza molto rispettati e leader di pensiero del settore. Un altro fertile terreno di caccia per i pirati potrebbe essere più vicino a casa. I migliori praticanti sono curiosi, con una forte passione per decostruire e rimontare. Le aziende devono comprendere meglio le competenze di coloro che creano le loro applicazioni, il loro codice e la loro infrastruttura di rete. Potrebbero già essere a conoscenza delle vulnerabilità, ma non le hanno ancora segnalate, poiché ciò non fa parte della loro descrizione del lavoro. È uno spreco I decisori hanno bisogno di tutte le informazioni e l'aiuto che possono ottenere, e c'è più di quanto si possa pensare. Nel corso degli anni, ho incontrato molte persone ai workshop sulla sicurezza o agli eventi di flag hacking che hanno creato prodotti, ma affermano di apprezzare ancora di più il processo di hacking migliorato e la raccolta di informazioni. Infine, anche l'hacking etico sta diventando sempre più formalizzato. I notabili di valutazione includono Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP) o Global Information Assurance Certifications (GIAC). Naturalmente, molti hacker esperti saranno diffidenti nei confronti di tali sviluppi educativi, ma fai attenzione a questo spazio.Tieni i tuoi amici vicini...
Sebbene sembri perverso assumere hacker ed ex criminali, è chiaro che possono apportare preziose conoscenze concrete a una serie di attività di sicurezza, tra cui la modellazione delle minacce e i test sui crimini informatici. penetrazione. Possono offrire una prospettiva che altri non hanno preso in considerazione e mostrare alle aziende come adattarsi alle minacce fornendo informazioni sulle loro tattiche e motivazioni. Con sempre più aziende che adottano questo approccio alla sicurezza informatica, è importante monitorare attentamente la tua attività per assicurarti che gli hacker non ricadano nei loro vecchi modi dannosi e mettano a rischio la tua attività. Tristan Liverpool, direttore dell'ingegneria dei sistemi presso F5 Networks- Proteggi i tuoi dispositivi dalle minacce informatiche più recenti con il miglior antivirus