Для большинства этических хакеров, включая меня, взлом не похож на работу. Мы — сообщество разработчиков головоломок — любопытно и охотно разделяем обнаруженные уязвимости, которые могут иметь последствия для вашей компании и ваших клиентов.
Многие крупные предприятия, в том числе Google, Facebook и автопроизводители GM, понимают ценность сообщества хакеров и уже используют программы бонусов, которые предлагают оплату в размере от небольших сумм или футболок до потенциальных выплат тысячами хакерам, которые обнаруживают уязвимости. Недавно Google расширил свою программу, включив в нее методы, предназначенные для своих программ злоупотребления и спама. Прошлой весной по следам скандала в Cambridge Analytica Facebook запустила щедрость за нарушение данных, чтобы вознаградить тех, кто предоставит информацию о неправильном использовании данных разработчиками приложений.
Поощряя сообщество хакеров и затрагивая их страсть, вы также можете значительно снизить портфель рисков своей компании. Ниже приведены советы, идеи и лучшие практики для общения с сообщество хакеров:
Почему нужно взаимодействовать с сообществом хакеров
Многие люди думают, что хакеры сидят в подвале, сгорбившись над компьютером пытаясь продать вещи на черном рынке. Это не сообщество хакеров. В глобальном масштабе существует разнообразная группа хакеров, все из которых сосредоточены на различных типах уязвимостей — от слабых мест на веб-сайтах до обеспечения безопасности сети и инфраструктуры. Это разнообразие может работать в вашу пользу. Разнообразный набор навыков повлияет на типы ошибок, которые вы найдете. Хорошая программа бонусов позволит узнать какие данные лучше защитить. Обладание широким охватом сообщества, поможет защитить эти данные.
Эффективное вовлечение: уважение
Вы можете создать эффективную программу взаимодействия с хакерами, если поймете, что хакеры хотят, чтобы с ними обращались с уважением и достоинством, и что они хотят получить оплату за свою выполненную работу, по крайней мере признать их вклад. Подтверждение может быть таким же простым, как благодарность или сувенир с логотипом вашей компании. Но если бдительный хакер избавляет вас от серьезного вреда, заплатите этому человеку, соизмеримо выявленной уязвимости.
Не игнорируйте кого-либо, кто сообщает вам об уязвимости или не угрожайте адвокатом, — это верный путь к тому, чтобы никогда не узнать об уязвимости вашей компании.
Эффективное взаимодействие: общение
[ads_block_articles]
Возможно, более того, хакеры хотят четкой линии связи и легкой контактной точки в вашей организации в любое время дня и ночи, будто-то директор по информационной безопасности, разработчик или собственный АйТи-специалист по безопасности. Когда хакеры находят уязвимость, мы просматриваем через Интернет, чтобы понять, какие организации могут быть затронуты. Однажды я разбудил кого-то в 3 часа ночи, чтобы сообщить об уязвимости, которая могла быть событием закрытия компании. Тем не менее, большинство компаний из списка Fortune500 не имеют четкого способа сообщить им об уязвимости, поэтому хакерам приходится отслеживать LinkeIn для возможных контактов или писать на адреса электронных почт, таких как info@xx.com или security@xx.com.
Общайтесь и после этого факта. После того, как вы исправили обнаруженную уязвимость, повторите проверку, чтобы убедиться, что она исправлена, и снова подключите того же хакера, чтобы убедиться, что он не может обойти текущие исправления.
Наконец, если вы никогда не общались с сообществом или не знаете, как начать работу, постарайтесь как можно больше использовать платформу bogy bounty — с хорошей репутацией среди исследователей безопасности, таки как HackerOne, BugCrowd или Sinack.
Технология движется быстрее, чем наша способность ее защищать. Использование коллективной мудрости сообщества хакеров является важным инструментом в любом арсенале безопасности.
Опубликовано: 06 Октября 2018
Автор: Джастин Кальмус — главный сотрудник службы безопасности OneLogin.
Добавить комментарий