Hacking for Good: La plataforma de seguretat Crowdsourced de Bugcrowd és una solució de nova generació per a la reducció del risc a demanda

TL; DR: Bugcrowd és una plataforma de seguretat multitudinària que aprofita el poder dels pirates informàtics ètics per reduir el risc dins de les organitzacions. Mitjançant un enfocament basat en humans per a la divulgació de les vulnerabilitats, els recomptes d’errors i les proves de ploma, la companyia està tancant la bretxa entre les motivacions dels atacants i les dels defensors de la seguretat tradicionals empresarials. En última instància, Bugcrowd capacita a les empreses per crear una bona reputació en termes de seguretat i alliberar el talent intern per a altres iniciatives pressionants.


Amb totes les armes fredes i de so tècnica desplegades en els atacs en línia d’avui en dia (malware, phishing, injeccions SQL, denegació de servei), pot ser difícil recordar que els éssers humans que viuen i respiren estan al darrere de cadascun d’ells..

Però la seguretat digital és fonamentalment un problema humà, no tècnic.

“Els humans creem tecnologia, però no són perfectes i, de vegades, els seus errors es converteixen en vulnerabilitats”, va dir Casey Ellis, fundador i CTO de Bugcrowd. “D’altra banda, tens adversaris creatius impulsats pel desig humà d’identificar aquests errors i explotar-los.”

Foto de Casey Ellis i un cartell de Bugcrowd en una paret de maó

El fundador i CTO Casey Ellis ens ha explicat com Bugcrowd aprofita el poder dels pirates informàtics ètics per reduir el risc dins de les organitzacions.

Moltes de les solucions de defensa de seguretat empresarials disponibles al mercat aprofiten avui dia solucions tècniques com l’automatització i l’aprenentatge automàtic per mitigar els riscos que presenten els adversaris. Però Bugcrowd adopta un enfocament basat en humans, aprofitant el poder col·lectiu dels pirates informàtics ètics per endurir les superfícies d’atac.

“Hem construït un exèrcit de gent bona que pot pensar com persones dolentes per ajudar a fer que Internet sigui un lloc més segur”, va dir Casey.

La plataforma de seguretat multitudinària de Bugcrowd ajuda les organitzacions a gestionar la seva recompensa d’errors, la divulgació de vulnerabilitats i els programes de prova de penetració combinant l’experiència del seu equip propi amb la de hackers ètics de confiança de tot el món..

A més de la ràpida reducció de riscos, els equips de seguretat multitudinaris poden reduir costos i disminuir les despeses operacionals alliberant el talent intern dins un negoci per centrar-se en tasques d’alt nivell. Al final del dia, Bugcrowd mesura el seu èxit en la mesura que els dos ajuden a les organitzacions a salvaguardar els seus actius digitals i els permet construir una bona reputació com a líders en seguretat en línia.

Un enfocament basat en humans en la gestió de les amenaces

Bugcrowd es va fundar el 2012 amb seu a San Francisco. En aquell moment, Casey, que s’havia aventurat a la seguretat i la creació de xarxes des de l’escola secundària i ha vist evolucionar la indústria al llarg dels anys, va observar una profunda escassetat de recursos de seguretat que les empreses podrien utilitzar per protegir els seus entorns digitals..

Prop del mateix temps, Google i Facebook van introduir programes de recompensa d’errors que van premiar els que podien identificar les vulnerabilitats de seguretat a les seves plataformes. “Tota la idea de la recompensa d’errors va començar el 1995 amb Netscape, però va passar fins al 2011 més o menys quan Google i Facebook van saltar per a que s’entengués millor a la comunitat de seguretat”, va dir Casey..

L’escassetat de recursos de ciberseguretat i l’augment de popularitat dels programes de recompensa d’errors van inspirar Casey a iniciar Bugcrowd. “Aquestes dues coses es van unir, així que vaig decidir crear un exèrcit d’aliats per combatre els nostres adversaris, i connectar aquest exèrcit per exigir”, va dir.

Collage fotogràfic de l'equip Bugcrowd

La solució de seguretat multitudinària de Bugcrowd està alimentada per un equip de hackers ètics de confiança d’arreu del món.

Avui en dia, Bugcrowd ajuda a redefinir la seguretat per a empreses de més de 50 indústries i 30 països. La base de clients de la companyia inclou startups, midmarket i clients de Fortune 500 per igual. Algunes de les companyies més importants del món, com Mastercard, Etsy, Jet, Tesla, NETGEAR, Sophos i Fiat Chrysler Automobiles, confien en Bugcrowd per protegir els seus actius digitals..

Quan es tracta de desenvolupament intern, Bugcrowd recorre tant els clients com la seva comunitat global d’investigadors per aportar informació per informar els plans futurs.

“Tot es tracta de poder escoltar aquests grups per entendre les característiques i la innovació que esperen basant-se en les seves pròpies valoracions sobre on estan les coses”, va dir Casey. “Integrem aquest feedback al nostre servei en funció de cap a on va el mercat. Aquesta és una part fonamental de la manera de funcionar. “

Divulgació de vulnerabilitats, recomptes d’errors i proves de bolígraf

La plataforma de reducció de riscos de Bugcrow es basa en tres àrees fonamentals: divulgació de vulnerabilitat, recompenses d’errors i programes de prova de ploma de nova generació.

Els programes de divulgació de les vulnerabilitats (VDP) de l’empresa proporcionen una solució totalment gestionada per acceptar, respondre i solucionar les vulnerabilitats reportades per la comunitat de seguretat global. Amb un VDP en marxa, una empresa és capaç de proporcionar un marc perquè les parts externes divulguin de forma responsable les vulnerabilitats alhora que demostren un compromís amb la seguretat. Segons Bugcrowd, un VDP ja no és una cosa agradable, sinó que és una necessitat.

“No es tracta només de donar un cop de puny al cul per un risc específic; es tracta dels aprenentatges que podeu treure de l’experiència per tal de fer que el vostre equip de desenvolupament sigui millor per evitar aquestes coses en primer lloc “, va dir Casey.

Per què funciona

El sistema ajuda a reduir les superfícies d’atac mitjançant un enfocament de tres punts.

El programa de recompensa de bugs completament gestionat per Bugcrowd, d’altra banda, ajuda les empreses a superar els adversaris combinant l’experiència humana, fluxos de treball automatitzats i anàlisis. La companyia proporciona suport end-to-end per a tots els aspectes del procés, des de l’abordatge del programa i el reclutament de multitud fins al triatge de vulnerabilitat i la integració SDLC.

El procés és fàcil: especifiqueu les àrees a provar i Bugcrowd es connectarà amb els hackers especialitzats en tecnologies web, mòbils i IoT per trobar el talent adequat. Els pirates informàtics buscaran les vulnerabilitats que els enginyers de seguretat de Bugcrow triaran, validaran i prioritzaran. La plataforma de crowdsourcing inclou fins i tot la integració amb eines de desenvolupament, com IRA, Slack, ServiceNow, Trello i Github, per lliurar la informació resultant a les persones adequades dins de cada empresa..

Finalment, el test de ploma de propera generació de Bugcrow combina la intel·ligència col·lectiva de la comunitat global de l’empresa amb informes basats en metodologies per garantir que les empreses compleixin els requisits de compliment. Un grup busca contínuament vulnerabilitats mentre que l’altre funciona amb una metodologia definida per l’empresa.

Quan tots els problemes es resolen, el sistema desencadena un informe net de compliment. Per assegurar la credibilitat, Bugcrowd ha tingut el procés de forma independent avaluat per la compatibilitat amb els requisits regulatoris de les proves de penetració, inclosa la Norma de seguretat de dades de la indústria de targetes de pagament (PCI DSS).

Reduir el risc mentre allibereu el talent intern

L’escassetat de talent en seguretat que Casey va observar fa anys encara persisteix. Segons l’estudi de Deloitte “Cyber ​​Risk in Consumer Business Business”, gairebé 350.000 llocs de treball en seguretat de seguretat en línia als Estats Units es van mantenir sense cobrir a juliol de 2017. I només empitjora; el mateix estudi projecta la manca global de la mà d’obra de seguretat de la informació per superar els 1,8 milions de treballadors. cap al 2022.

Segons Casey, Bugcrowd pot ajudar les empreses a reduir els recomptes i racionalitzar els processos de treball. Va citar una empresa Fortune 500 que utilitza Bugcrowd com a exemple: La companyia va trobar 90 vulnerabilitats als 30 dies posteriors a la implementació de la plataforma i se li va notificar set vegades més de vulnerabilitats crítiques en comparació amb el seu servei de proves de penetració anteriors. En última instància, la decisió de canviar a Bugcrowd va contribuir a impulsar el ROI de l’empresa.

“Crowdsource les tasques adequades per a la presa de multitud i reapropia les persones internes en zones que es troben en el propi negoci”, va dir Casey.

David Baker, ara vicepresident d’operacions de Bugcrowd, va aprendre aquesta lliçó de primera mà com a anterior client. Abans de ser nomenat per al seu paper actual, David va exercir de conseller delegat d’Okta, on va aprofitar la plataforma Bugcrowd per canviar la forma en què la seva operació s’aproximava a la seguretat..

“Va creure en la nostra idea i va veure el seu valor”, va dir Casey. “Va poder alliberar de tres a quatre efectius a la seva organització d’avaluació i defensa de seguretat a Okta. La multitud va poder venir a realitzar un treball millor i més escalable en les tasques anteriors dels empleats, mentre que els empleats gestionaven tasques més altes. Per a mi, aquest és el resultat perfecte. “

Ajudar les empreses a construir reputacions segures

Fins a cinc o sis anys enrere, Casey va dir que les poques persones que predicaven el valor de la seguretat digital eren vistes com a fanàtics de la indústria i que el públic no els escoltava. “Però llavors va canviar alguna cosa”, va dir Casey. “Tot d’una, la ciberseguretat s’ha convertit en una conversa sobre taula.”

En aquest nou món, les organitzacions poden utilitzar els seus actius de seguretat per informar estratègies comercials i de màrqueting efectives; i Bugcrowd espera ajudar-los en aquest esforç.

“Estem recopilant dades de diferents clients durant un període de set anys per crear una història més convincent per a OSC, VP de seguretat i líders de seguretat per mostrar per què val la pena el que feien i també per portar aquesta informació al mercat. “, Va dir Casey.

La iniciativa ajudarà les organitzacions a articular millor la seva proposta de valor. “És el millor dels dos mons: fem que els seus clients siguin més segurs, però també els ajudem a construir una reputació de marca més atractiva per als clients”, va dir Casey.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map