Hacking for Good: Bugcrowds Crowdsourced-sikkerhedsplatform er en næste generations løsning til on-demand risikoreduktion

TL; DR: Bugcrowd er en menneskemæssig sikkerhedsplatform, der udnytter kraften hos etiske hackere til at reducere risikoen i organisationer. Ved at udnytte en menneskebaseret tilgang til videregivelse af sårbarheder, bugbelønninger og test af penne, lukker virksomheden kløften mellem angrebernes og de traditionelle virksomhedssikkerhedsforsvarers motiver. I sidste ende giver Bugcrowd virksomheder mulighed for at opbygge et stærkt omdømme med hensyn til sikkerhed og samtidig frigøre internt talent til andre presserende initiativer.


Med alle de kolde, teknisk-klingende våben, der er implementeret i dagens onlineangreb – malware, phishing, SQL-injektioner, benægtelse af tjeneste – kan det være vanskeligt at huske, at levende, åndedrager mennesker står bag hver af dem.

Men digital sikkerhed er grundlæggende et menneskeligt problem, ikke et teknisk.

”Mennesker skaber teknologi, men de er ikke perfekte, og nogle gange bliver deres fejl til sårbarheder,” sagde Casey Ellis, grundlægger og CTO for Bugcrowd. “På den anden side har du kreative modstandere drevet af et menneskeligt ønske om at identificere disse fejl og udnytte dem.”

Foto af Casey Ellis og en Bugcrowd-plakat på en mur

Grundlægger og CTO Casey Ellis fortalte os, hvordan Bugcrowd udnytter kraften hos etiske hackere til at reducere risikoen i organisationer.

Mange af de virksomhedssikkerhedsforsvarsløsninger, der findes på markedet i dag, udnytter tekniske løsninger såsom automatisering og maskinlæring for at mindske de risici, disse modstandere udgør. Men Bugcrowd tager en menneskebaseret tilgang og udnytter den kollektive magt af etiske hackere til at hærde angreboverflader.

“Vi har opført en hær af gode mennesker, der kan tænke som dårlige mennesker for at hjælpe med at gøre internettet til et mere sikkert sted,” sagde Casey.

Bugcrowds folkemassourcerede sikkerhedsplatform hjælper organisationer med at administrere deres bugbounty, afsløring af sårbarhed og penetrationstestningsprogrammer ved at kombinere ekspertise i dets interne team med det af pålidelige etiske hackere over hele kloden.

Ud over hurtig risikoreduktion kan crowddsourced sikkerhedsteam reducere omkostninger og sænke driftsomkostningerne ved at frigøre det interne talent inden for en virksomhed til at fokusere på opgaver på højt niveau. I slutningen af ​​dagen måler Bugcrowd sin succes med, hvor godt det både hjælper organisationer med at beskytte deres digitale aktiver og giver dem mulighed for at opbygge et stærkt omdømme som førende inden for online sikkerhed.

En menneskelig-baseret tilgang til trusselstyring

Bugcrowd blev grundlagt i 2012 med hovedkvarter i San Francisco. Dengang observerede Casey – der havde turdet sig ind i sikkerhed og netværk lige ud af gymnasiet og set branchen udvikle sig i årenes løb – en markant mangel på sikkerhedsressourcer, som virksomheder kunne bruge til at beskytte deres digitale miljøer.

Omkring den samme tid introducerede Google og Facebook bug-bounty-programmer, der belønner dem, der kunne identificere sikkerhedssårbarheder inden for deres platforme. ”Hele ideen om en fejlfinding begyndte i 1995 med Netscape, men det tog indtil 2011 eller deromkring, da Google og Facebook sprang ind for at blive bedre forstået i sikkerhedssamfundet,” sagde Casey.

Manglen på cybersikkerhedsressourcer og den øgede popularitet af bug-bounty-programmer inspirerede Casey til at starte Bugcrowd. ”Disse to ting kom sammen, så jeg besluttede at oprette en hær af allierede for at bekæmpe vores modstandere – og forbinde denne hær til at kræve,” sagde han.

Fotokollage af Bugcrowd-teamet

Bugcrowds folkemæssige sikkerhedsløsning drives af et team af pålidelige etiske hackere fra hele verden.

I dag hjælper Bugcrowd med at omdefinere sikkerhed for virksomheder i mere end 50 industrier og 30 lande. Virksomhedens kundegrundlag inkluderer både startups, mellemmarked og Fortune 500-kunder. Nogle af verdens største virksomheder, herunder Mastercard, Etsy, Jet, Tesla, NETGEAR, Sophos og Fiat Chrysler Automobiles, stoler på Bugcrowd for at beskytte deres digitale aktiver.

Når det kommer til intern udvikling, henvender Bugcrowd sig til både kunder og dets globale samfunds forskere for at få input til at informere fremtidige planer.

”Det hele kommer ned på at være i stand til at lytte til disse grupper for at forstå de funktioner og innovation, de forventer, baseret på deres egne vurderinger af, hvor tingene er,” sagde Casey. ”Vi integrerer denne feedback i vores service baseret på, hvor markedet går. Det er en kerne del af, hvordan vi opererer. ”

Sårbarhedsoplysning, bugbeløb og test af penne

Bugcrowds risikoreduktionsplatform er bygget op omkring tre grundlæggende områder: afsløring af sårbarhed, fejl i bounties og næste gen-pen-testprogrammer.

Virksomhedens programmer for offentliggørelse af sårbarhed (VDP’er) leverer en fuldt styret løsning til at acceptere, reagere på og reparere sårbarheder rapporteret af det globale sikkerhedsfællesskab. Med en VDP på ​​plads er et firma i stand til at skabe en ramme for eksterne parter til ansvarligt at videregive sårbarheder, samtidig med at de demonstrerer en forpligtelse til sikkerhed. Ifølge Bugcrowd er en VDP ikke længere noget rart at have – det er en nødvendighed.

”Det er ikke bare at få din røv sparket med specifik risiko; det handler om de erfaringer, du kan tage fra erfaringen for at gøre dit udviklingsteam desto bedre til at undgå de ting i første omgang, ”sagde Casey.

Hvorfor det fungerer

Systemet hjælper med at reducere angreboverflader ved hjælp af en tredobbelt tilgang.

Bugcrowds fuldt styrede bug-bounty-program hjælper på den anden side virksomheder med at overliste modstandere ved at kombinere menneskelig ekspertise, automatiserede sikkerhedsarbejdsgange og analyse. Virksomheden leverer ende-til-ende support til alle aspekter af processen, fra program scoping og crowd rekruttering til sårbarhed triage og SDLC integration.

Processen er let: Angiv de områder, der skal testes, og Bugcrowd vil oprette forbindelse til hackere, der er specialiserede i web-, mobil- og IoT-teknologier for at finde det rigtige talent. Hackerne søger derefter efter sårbarheder, som Bugcrowds sikkerhedsingeniører vil triage, validere og prioritere. Crowdsourcing-platformen har endda integration med udviklingsværktøjer, såsom IRA, Slack, ServiceNow, Trello og Github, for at levere de resulterende oplysninger til de rigtige personer inden for hver virksomhed.

Endelig kombinerer Bugcrowds næste generation af pen-test den kollektive intelligens i virksomhedens globale samfund med metodedrevne rapporter for at sikre, at virksomheder opfylder kravene til overholdelse. Den ene gruppe søger kontinuerligt efter sårbarheder, mens den anden arbejder mod en metode defineret af virksomheden.

Når alle problemer er løst, udløser systemet en ren overholdelsesrapport. For at sikre troværdighed har Bugcrowd vurderet processen uafhængigt af kompatibilitet med lovgivningsmæssige krav til penetrationstest, herunder betalingskortindustriens datasikkerhedsstandard (PCI DSS).

Reducer risikoen, mens du frigiver internt talent

Manglen på sikkerhedstalent, som Casey observerede for mange år siden, fortsætter i dag. I henhold til Deloittes “Cyber ​​Risk in Consumer Business Study” forblev næsten 350.000 online-sikkerhedspladser i USA fra juli 2017. Og det bliver kun værre – de samme undersøgelser projicerer den globale underskud i arbejdsstyrken til informationssikkerhed for at overgå 1,8 millioner arbejdstagere i 2022.

Ifølge Casey kan Bugcrowd hjælpe virksomheder med at reducere personale og strømline arbejdsprocesser. Han citerede et Fortune 500-firma, der bruger Bugcrowd som et eksempel: Virksomheden fandt 90 sårbarheder inden for 30 dage efter installationen af ​​platformen og blev underrettet om syv gange så mange kritiske sårbarheder sammenlignet med deres tidligere penetrationstesttjeneste. I sidste ende hjalp beslutningen om at skifte til Bugcrowd med at øge virksomhedens ROI.

“Crowdsource de opgaver, der er passende til crowddsourcing, og derefter genanvendes dine interne mennesker i områder, der er dybt inde i virksomheden,” sagde Casey.

David Baker, nu vicepræsident for operationer hos Bugcrowd, lærte denne lektion førstehånds som en tidligere kunde. Før han blev udnævnt til sin nuværende rolle, fungerede David som CSO for Okta, hvor han gearede Bugcrowd-platformen for at ændre den måde, hans operation nærmet sig sikkerhed på.

”Han troede på vores idé og så dens værdi,” sagde Casey. ”Han var i stand til at frigøre tre til fire ansatte inden for sin sikkerhedsvurderings- og forsvarsorganisation i Okta. Publikum var i stand til at komme ind og udføre et bedre og mere skalerbart job ved den medarbejders tidligere opgaver, mens medarbejderne håndterede mere højordreopgaver. For mig er det det perfekte resultat. ”

Hjælp virksomheder med at opbygge sikre omdømme

Indtil for fem eller seks år siden sagde Casey, at de få mennesker, der forkyndte værdien af ​​digital sikkerhed, blev betragtet som fanatiske industri-iver – og offentligheden lytter ikke til dem. ”Men så ændrede sig noget,” sagde Casey. ”Pludselig er cybersikkerhed blevet en spisebordssamtale.”

I denne nye verden kan organisationer bruge deres sikkerhedsaktiver til at informere om effektive forretnings- og marketingstrategier – og Bugcrowd håber at hjælpe dem i denne indsats.

”Vi samler data fra forskellige kunder over en periode på syv år for at skabe en mere overbevisende historie for CSO’er, VPs af sikkerhed og sikkerhedsledere for at vise, hvorfor det, de gjorde, var det værd, og også for at bringe denne information til markedet , ”Sagde Casey.

Initiativet vil hjælpe organisationer med at formulere deres værdiproposition bedre. “Det er det bedste fra begge verdener: Vi gør deres kunder mere sikre, men hjælper dem også med at opbygge et brand-omdømme, der er mere attraktivt for kunderne,” sagde Casey.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me