Hackerate gli hacker prima che gli hacker hackerino voi
Nel contesto dei programmi di bug bounty, i cosiddetti hacker etici, che ricercano legalmente le vulnerabilità, sono chiamati a rilevare le falle di sicurezza nei sistemi informatici di un'organizzazione.
Oggi l'hacking è un'industria illegale che vale miliardi, paragonabile al traffico internazionale di droga. Difficili da capire, altamente pericolosi per l'economia e la società, i responsabili sono raramente assicurati alla giustizia. Il sistema giudiziario è in ritardo rispetto all'onnipresente criminalità informatica, ed è per questo che è meglio trovare da soli dei professionisti in grado di proteggervi da gravi attacchi informatici. Ma chi?
Coloro che capiscono meglio gli hacker sono gli hacker stessi. Ci sono anche quelli bravi, i cosiddetti cappelli bianchi. Si tratta di professionisti che si definiscono anche hacker etici. Eseguono una scansione dell'intera rete dal punto di vista di un hacker, individuando le falle che i "cappelli neri" (hacker criminali) potrebbero utilizzare come porta aperta per gli attacchi informatici.
Bug Bounty - Programma dei cappelli bianchi e dei cappelli neri da parte dei professionisti
Probabilmente non avrete la rete e sarà difficile valutare quali specialisti sono dalla vostra parte e cosa stanno facendo nei vostri sistemi. L'azienda gestita da Sandro Nafzger, Florian Badertscher e Lukas Heppler è specializzata nel fornire ai propri clienti "hacker etici" che esaminano tutti gli scenari possibili, mostrando loro le falle nella sicurezza prima che vengano utilizzate dai "cappelli neri" per sabotarli. In questo modo, beneficiano dell'intelligenza collettiva di una comunità globale di ricercatori di sicurezza altamente specializzati.
L'esperienza dimostra che le precedenti misure di sicurezza non sono più sufficienti a proteggere efficacemente dagli attacchi informatici. In effetti, ogni sistema IT che Bug Bounty Svizzera testato con i loro hacker etici, presenta ancora lacune di sicurezza che non è stato possibile individuare con strumenti precedenti, come scanner e test automatici, o con metodi collaudati, come test di penetrazione e audit, e che vengono scoperte solo in un programma di bug bounty. Nel processo, la protezione si espande, nel migliore dei casi sotto forma di uno scenario di vita reale. Uno si occupa direttamente del pensiero ostile e procede esattamente come farebbero i criminali informatici.
Hacker di tutti i tipi e di tutte le tendenze sono in grado di penetrare nelle infrastrutture aziendali grazie al pensiero combinatorio, analitico e tecnico. Tuttavia, il modo di arrivarci è spesso molto diverso. Ma di solito comporta una ricerca intensiva che fornisce informazioni sull'infrastruttura aziendale.
Queste informazioni possono essere confrontate con le vulnerabilità conosciute e si possono avviare i primi tentativi di penetrazione nell'azienda. Pensare come un hacker può anche significare passare giorni a leggere righe di codice da interfacce web per imbattersi finalmente in errori logici che aprono le porte. L'immaginazione di un hacker è addestrata a gestire contesti complessi e spesso può trarre ampie conclusioni da piccole informazioni.
Le vulnerabilità recentemente rese note nel Quadro Log4j ha fatto sì che le aziende di tutto il mondo diventassero vulnerabili agli attacchi. La velocità della corsa tra l'aggressore e la potenziale vittima è impressionante e spaventosa. Le aziende che in precedenza non disponevano di un sistema sistematico e continuo per gestire le vulnerabilità hanno dovuto affrontarle praticamente da un giorno all'altro. Sarebbe stato utile se le persone interessate avessero affrontato la questione in modo proattivo e avessero stabilito meglio i processi e le competenze corrispondenti. Conoscere le vulnerabilità e sapere se o come si applicano alla propria infrastruttura sono due cose diverse. La violazione di Log4j ha dimostrato in modo impressionante che la gestione delle vulnerabilità è un problema irrisolto di importanza centrale. Numerose aziende hanno risentito di tali omissioni.
Rendere note le vulnerabilità non solo una maggiore protezione, ma anche una sorta di "guida" per i "cattivi". I programmi di bug bounty, se ben impostati, possono portare a una rapida e ampia conoscenza attraverso la loro continua esecuzione. Inoltre, un programma di bug bounty apre alla creazione di una cultura aziendale aperta e trasparente: un fattore chiave per il successo della digitalizzazione e della trasformazione.
"Buono" e "cattivo" procedono allo stesso modo
Ma come facciamo a sapere chi sono i cosiddetti "buoni" e i "cattivi"?
La motivazione degli hacker etici oggi è spesso di tipo economico: vivono di questo. Gli hacker buoni fanno più o meno le stesse cose di quelli "cattivi". Unendo le forze attraverso il crowdsourcing, ottengono versatilità e approfondimenti migliori. Le organizzazioni clandestine fanno lo stesso. A seconda dell'hack, raccolgono le risorse e strutturano i loro progetti in base all'obiettivo. È proprio questa intelligenza collettiva, che risulta dalla combinazione dei background, delle competenze e delle esperienze individuali degli hacker etici, a rendere i programmi così efficaci.