Безопасники против этичных хакеров: Кто прав?

Нарушения в системе безопасности компании способны нанести ущерб ее финансовой, операционной и репутационной деятельности. Большинство компаний больше всего боятся последнего: удара по репутации. Согласно недавнему опросу HackerOne , 65% организаций хотят, чтобы их считали непогрешимыми. В то же время 64% поддерживают культуру безопасности через неизвестность, а 38% совсем не рассказывают о своей практике кибербезопасности.

В корпоративном мире отказ признать наличие уязвимости может быть патологическим. По данным исследования, только 12% опрошенных имеют отделы (не связанные с безопасностью и ИТ), которые уделяют основное внимание кибер-осведомленности и обучению. И лишь 29% из совета директоров "глубоко вовлечены" в стратегию кибербезопасности.

Этичный хакерский взлом подразумевает санкционированную попытку получить незаконный доступ к компьютерной системе, приложению или данным. Речь идет о копировании стратегий и действий злоумышленников. Этичный взлом помогает найти уязвимости в системе безопасности, которые команда может устранить до того, как злоумышленники смогут ими воспользоваться.

Однако многие компании не хотят работать с этичными хакерами . Даже если они входят в состав внутренней команды, руководство может заставить хакеров работать в условиях секретности. 67% респондентов заявили, что предпочитают смириться с уязвимостью программного обеспечения, чем работать с хакерами.

Компании сопротивляются подобной проверке, так как считают, что устранение недостатков безопасности препятствует инновациям или вредит операционной деятельности. Однако в действительности, из-за необходимости быстрее выпускать продукты 81% разработчиков в крупных организациях признают, что сознательно выпускают уязвимые приложения.

Так оправдывают ли себя программы bug bounty ? Все зависит от деталей. Если специалисты по поиску ошибок обнаружат и устранят серьезную уязвимость, это хорошо. Однако при разработке программы компания должна обратиться за советом к юристу. Слабый набор условий и положений программы, в которых нанятый тестировщик может "заблудиться" (по ошибке или специально), может привести к атаке запрещенной системы.

Каждая организация должна оценить степень риска с обеих сторон: между риском нарушения безопасности и риском этической хакерской помощи. По мнению HackerOne, риск необнаруженной уязвимости гораздо выше.

Некоторые из предложений HackerOne включают:

• Поощрять регулирующие органы к обеспечению защиты ответственности, способствующей раскрытию информации об инцидентах

• Предоставить сторонним исследователям безопасности четкие рекомендации по информированию о слабых местах

• Вознаграждать/стимулировать разработчиков за устранение проблем и вовлекать их в процессы обеспечения безопасности

• Требовать тщательной проверки безопасности от поставщиков.