Безопасники против этичных хакеров: Кто прав?

Безопасники против этичных хакеров: Кто прав?

Многие компании не хотят работать с этичными хакерами.

image

Нарушения в системе безопасности компании способны нанести ущерб ее финансовой, операционной и репутационной деятельности. Большинство компаний больше всего боятся последнего: удара по репутации. Согласно недавнему опросу HackerOne, 65% организаций хотят, чтобы их считали непогрешимыми. В то же время 64% поддерживают культуру безопасности через неизвестность, а 38% совсем не рассказывают о своей практике кибербезопасности.

В корпоративном мире отказ признать наличие уязвимости может быть патологическим. По данным исследования, только 12% опрошенных имеют отделы (не связанные с безопасностью и ИТ), которые уделяют основное внимание кибер-осведомленности и обучению. И лишь 29% из совета директоров "глубоко вовлечены" в стратегию кибербезопасности.

Этичный хакерский взлом подразумевает санкционированную попытку получить незаконный доступ к компьютерной системе, приложению или данным. Речь идет о копировании стратегий и действий злоумышленников. Этичный взлом помогает найти уязвимости в системе безопасности, которые команда может устранить до того, как злоумышленники смогут ими воспользоваться.

Однако многие компании не хотят работать с этичными хакерами. Даже если они входят в состав внутренней команды, руководство может заставить хакеров работать в условиях секретности. 67% респондентов заявили, что предпочитают смириться с уязвимостью программного обеспечения, чем работать с хакерами.

Компании сопротивляются подобной проверке, так как считают, что устранение недостатков безопасности препятствует инновациям или вредит операционной деятельности. Однако в действительности, из-за необходимости быстрее выпускать продукты 81% разработчиков в крупных организациях признают, что сознательно выпускают уязвимые приложения.

Так оправдывают ли себя программы bug bounty? Все зависит от деталей. Если специалисты по поиску ошибок обнаружат и устранят серьезную уязвимость, это хорошо. Однако при разработке программы компания должна обратиться за советом к юристу. Слабый набор условий и положений программы, в которых нанятый тестировщик может "заблудиться" (по ошибке или специально), может привести к атаке запрещенной системы.

Каждая организация должна оценить степень риска с обеих сторон: между риском нарушения безопасности и риском этической хакерской помощи. По мнению HackerOne, риск необнаруженной уязвимости гораздо выше.

Некоторые из предложений HackerOne включают:

  • Поощрять регулирующие органы к обеспечению защиты ответственности, способствующей раскрытию информации об инцидентах

  • Предоставить сторонним исследователям безопасности четкие рекомендации по информированию о слабых местах

  • Вознаграждать/стимулировать разработчиков за устранение проблем и вовлекать их в процессы обеспечения безопасности

  • Требовать тщательной проверки безопасности от поставщиков.

Худшее, что может сделать компания - это игнорировать проблему. Кроме того, все начинается с руководства. Организации, разработавшие комплексную стратегию безопасности с участием руководства, имеют больше шансов сохранить свою репутацию.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!