Làm thế nào CSO ở Hồng Kông có thể bảo vệ các lỗ hổng thông qua các Ethical hacker



Rõ ràng là thông qua cuộc high-profile attack nhằm vào hãng vận tải quốc gia Cathay Pacific, các lỗ hổng dữ liệu đang trở nên phổ biến ở Hồng Kông khi mà các hacker tìm cách đánh cắp dữ liệu của doanh nghiệp.

Các cuộc tấn công đã đang gia tăng một cách đột biến gần đây – tăng 80% trong vòng 5 năm – các nhà lãnh đạo công nghệ trên toàn thành phố phải đối mặt với một dạng  bảo mật mới vào năm 2020 và  có thể hơn thế nữa.

Với việc hacker luôn chờ chực để lấy cắp dữ liệu thì  nhu cầu của các doanh nghiệp tăng cường phòng thủ an ninh, loại bỏ rủi ro và quản lý các lỗ hổng tiếp tục tăng cao.

Yêu cầu giúp đỡ từ ethical hackers, một cách tiếp cận chủ động để giảm thiểu các lo ngại về bảo mật ở cấp doanh nghiệp. Được giao nhiệm vụ xác định, khai thác và giải quyết các mối đe dọa bảo mật tiềm tàng, các ethical hackers làm việc cùng với các tổ chức để đóng các cyber loopholes thông qua các chương trình được gọi là  bug bounty programs do doanh nghiệp tài trợ.

Marten Mickos, Giám đốc điều hành của HackerOne cảnh báo: “Các công ty giả vờ rằng các lỗ hổng bảo mật trong hoạt động của họ không tồn tại thì họ không ngó lơ tình huống nguy cấp mà họ còn đang là người giám sát quá chủ quan đối với những dữ liệu quý giá. “Những công ty nhận ra rằng họ không hoàn hảo thường  là những công ty xuất sắc nhất.

“Điểm mấu chốt là  sự tồn tại các lỗ hổng  và tội phạm đang cố tìm kiếm và lấy cắp chúng bằng mọi cách. Tốt hơn hết là khai thác sức mạnh của những ethical hackers trước khi những kẻ xấu có thể khai thác các lỗ hổng cho mục đích bất chính ”.

Vào đầu năm 2018, Diễn đàn Kinh tế Thế giới đã kết luận rằng tội phạm mạng sẽ khiến các doanh nghiệp thiệt hại hơn 1 nghìn tỷ đô la trong khoảng thời gian 12 tháng, với những con số như vậy được dự báo sẽ có thể lên đến 3 nghìn tỷ đô la vào năm 2020. Nói tóm lại, có tới 74% doanh nghiệp trên toàn thế giới có thể bị tấn công bất cứ lúc nào , mặc dù các tổ chức trên toàn thế giới đã chi ít hơn 100 tỷ đô la để chống lại các cuộc cyber-attacks.

“Chi phí đầu tư 10:1 này sẽ chỉ tăng nếu chúng ta không tập trung vào việc ngăn chặn thực sự,” Mickos cảnh báo. “Chúng tôi nghe từ các tổ chức rằng bảo mật làm gián đoạn dòng chảy, cung cấp phản hồi tiêu cực và dường như không bao giờ học hỏi được.”

“Khi hầu hết chúng tôi bắt đầu phát triển trong phần mềm, các bản phát hành mới sẽ mất sáu tháng để phát triển và thử nghiệm. Ngày nay, phần mềm mới được phát hành mỗi giờ. Tốc độ đổi mới mới này có thể là  một vấn đề cho các nhóm bảo mật – nhưng bằng cách triển khai chiến lược hỗ trợ bảo mật liên tục, chúng ta có thể cảnh giác với các lỗ hổng phần mềm tiềm ẩn. Các lỗ hổng trong mã nguồn mở ra cánh cửa dẫn đến những hậu quả kinh hoàng cho chính các cá nhân, công ty và xã hội nếu chúng bị khai thác trước khi chúng có thể được bảo vệ. ”

Đối với Mickos, thách thức chung  đối với không gian mạng  cho các tổ chức là phải tập trung vào việc “tìm kiếm sự cân bằng” giữa thúc đẩy đổi mới và giữ an toàn cho dữ liệu.

“Điều quan trọng là đảm bảo an ninh không ngừng phát triển,” ông đưa ra lời  khuyên. “Nếu các vấn đề bảo mật được phát hiện sớm hơn trong vòng đời phát triển, chúng sẽ mất ít thời gian hơn để khắc phục. Đó là lúc các bug bounty programs xuất hiện.

“Theo thời gian, các nhóm bảo mật tìm hiểu những lỗi phổ biến mà nhóm của họ mắc phải thông qua các báo cáo các hacker thông qua bug bounty programs, họ có thể điều chỉnh chiến lược phát triển của mình để tránh mắc những lỗi tương tự hai lần và phát triển các chương trình bảo mật để đáp ứng nhu cầu thay đổi và các lĩnh vực chuyên môn của họ.”

Hacking for good.

Kể từ năm 2013, các tin tặc đã kiếm được 100 triệu đô la tiền thưởng với phương châm “Hacking for good” từ các bug bounty program trên nền tảng HackerOne.

Từ 30.000 đô la trả cho các hạcker trên toàn cầu vào tháng 10 năm 2013 – tháng đầu tiên thanh toán tiền thưởng trên HackerOne – đến 5,9 triệu đô la trả cho hackers vào tháng 4 năm 2020, Mickos cho biết làm việc với tin tặc đã chứng minh rằng đó là là một cách hiệu quả để xác định lỗ hổng trên các tài sản kỹ thuật số.

Ông nói thêm: “Chúng tôi đang xây dựng một cộng đồng có thể kiểm tra và xem xét kĩ càng các kế  nối kỹ thuật số của chúng tôi. “100 triệu đô la là con số thu hút những hacker giỏi nhất, cung cấp cho các công ty và chính phủ ROI vô song, giảm đáng kể nguy cơ về lỗ hổng dữ liệu.

“Chúng ta đã đến thời điểm trong lịch sử mà bạn thiếu hiểu biết và cẩu thả nếu bạn không có cách tiếp nhận được thông tin hữu ích từ các ethical hacker. Trong thế giới mới với những mối đe dọa không ngừng phát triển này, cách duy nhất để đi trước là minh bạch. Cởi mở chứ không phải bí mật mới là con đường phía trước ”.

Ví dụ, LINE được biết đến rộng rãi là một trong những ứng dụng nhắn tin phổ biến nhất ở Châu Á Thái Bình Dương, hàng triệu người dùng ở các quốc gia bao gồm Nhật Bản, Thái Lan, Indonesia, Đài Loan và Ấn Độ đang sử dụng nó. Bảo mật cho các tin nhắn cho phép doanh nghiệp đưa mọi người trên khắp thế giới đến gần nhau hơn, với thông tin và dịch vụ, giúp tăng mức độ tin cậy của người dùng vào nền tảng.

“Khi LINE lần đầu tiên bắt đầu  bug bounty program, mục tiêu của họ là tạo ra một đầu mối liên hệ cho các phóng viên,” Mickos giải thích. “Họ muốn các lsai sót được tìm ra và thông báo cho họ hơn là khai thác một với mục đích bất chính hoặc bán hoặc chia sẻ, và họ muốn  trao thưởng cho những cá nhân tìm thấy các điểm yếu. Họ biết rằng, với mọi lỗi được tìm ra, nhóm bảo mật nội bộ của họ sẽ tìm cách để cải thiện ngay lập tức ”.

Vào tháng 6 năm 2016, LINE đã tung bug bounty program ra công khai để tăng mức độ bảo mật. Kể từ đó, doanh nghiệp đã cảm ơn gần 300 hacker và trả hơn 300.000 đô la tiền thưởng. Sau ba năm thành công, LINE đã quyết định chuyển toàn bộ chương trình tự quản lý của mình sang nền tảng HackerOne để nâng cao nhận thức toàn cầu và khai thác cộng đồng hacker kĩ thuật cao nhất thế giới.

“Khi chuyển sang HackerOne cho phép tăng số lượng phóng viên tham gia cũng như các báo cáo hợp lệ,” Mickos nói thêm. “Nó cũng dẫn đến một loạt các dịch vụ được kiểm tra và thử nghiệm.”

Trong tám tháng kể từ khi thông báo về giải thưởng , các hacker của chương trình LINE trên HackerOne đã kiếm được hơn 100.000 đô la tiền thưởng khi phát hiện ra hơn 100 lỗ hổng.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật