„Ak sa vo vašej aplikácii či na vašom webe vyskytuje bezpečnostná diera, boli by ste radšej, aby ju objavili etickí hackeri, ktorých za to odmeníte, alebo kriminálnici, ktorí ju zneužijú na vydieranie či na krádež citlivých dát?“ kladie si rečnícku otázku Peter Katrinec, výkonný riaditeľ platformy pre spájanie etických hackerov s firmami Hacktrophy a obchodný manažér spoločnosti Flowmon Networks.
V súčasnosti majú vlastný program vyplácania odmien za nájdené chyby vo svojich produktoch či systémoch prakticky všetky veľké technologické firmy ako Google, Facebook či Microsoft, ale taktiež konzervatívne verejné inštitúcie, napríklad Ministerstvo obrany Spojených štátov amerických. Vytvoriť a udržiavať takýto program však nie je jednoduché, zvlášť pre firmy, ako sú banky či napríklad e-shopy. „Vlastné mobilné a webové aplikácie majú dnes prakticky všetky spoločnosti, ale nie je v ich silách nadizajnovať a udržiavať bug bounty program a zháňať preň etických hackerov,“ vysvetľuje P. Katrinec.
Pomoc zdieľanej ekonomiky
Riziká úniku dát, nedostupnosti zákazníckych služieb či narušenia prevádzky, ku ktorým pre zneužitie zraniteľností dochádza, preto zvyknú uvedomelé organizácie eliminovať využívaním špecializovaných bug bounty platforiem, ako je na Slovensku pôsobiaca Hacktrophy.
Platformy vychádzajú z myšlienky zdieľanej ekonomiky, čiže efektívnejšieho využitia dostupných zdrojov – v tomto prípade kapacity etických hackerov. Organizácie bez potrebných kapacít a know-how vďaka nim vedia jednoducho zapájať do kontinuálneho testovania svojich systémov veľké množstvá šikovných ľudí z rôznych kútov sveta.
Prínosom sú okrem zviditeľnenia bug bounty projektu zadávateľa pred veľkou skupinou etických hackerov aj služby moderátora. Ten poskytuje zadávateľovi podporu od prvotného nastavenia podmienok programu až po vyhodnocovanie nahlásených reportov od hackerov a preverovanie oprávnenosti nároku na odmenu.
IT systémy nie sú statické
Využívanie kontinuálneho testovania systémov po uvedení do prevádzky je mimoriadne dôležité, keďže väčšina softvéru vrátane webových aplikácií dnes nie je statická, ale dynamická. „To znamená, že pri ich používaní a prevádzke dochádza zvyčajne k vzniku nových zraniteľností,“ podotýka P. Katrinec.
Samozrejme, vždy sa nájdu organizácie, ktoré sa spoliehajú na to, že ak aj nejaké diery či zraniteľnosti vedúce k cenným dátam v systémoch majú, nemusia byť predsa objavené. Na to sa však podľa P. Katrinca neradno spoliehať, lebo kriminálnici v online svete dnes používajú automatické nástroje, ktoré neustále prehľadávajú internet a potenciálne zraniteľnosti im priebežne nahlasujú. „Kto dnes bug bounty program nevyužíva, pripravuje sa o znalosti a kapacity hackerov s dobrými úmyslami, ale zároveň neunikne pozornosti kybernetických útočníkov a podvodníkov,“ dodáva.
Pri minimalizovaní rizík súvisiacich so zraniteľnosťami systémov si taktiež treba uvedomiť, že až 84 percent organizácií má podľa štúdie firmy Positive Technologies vysokorizikové zraniteľnosti v zariadeniach na perimetri siete. „Preto je nevyhnutné využívať špecializované systémy na monitoring sieťovej prevádzky schopné automatizovane odhaľovať a eliminovať škodlivé aktivity zneužívajúce zraniteľnosti v reálnom čase za týmto perimetrom,“ uzatvára P. Katrinec.
Infobox:
Vlastné mobilné a webové aplikácie majú dnes prakticky všetky spoločnosti, ale nie je v ich silách nadizajnovať a udržiavať bug bounty program a zháňať preň etických hekerov.