Cybersecurity blijft de wereld beroeren, vooral alles wat van ver of nabij met it te maken heeft. Er worden allerlei pogingen ondernomen om alles zo veilig mogelijk te houden, en de jongste jaren is er veel te doen rond ‘crowdsourced security’ waarbij groepen van mensen ingezet worden om beveiliging te testen. Het Amerikaanse Bugcrowd is zo’n testbedrijf.
Crowdsourcing is intussen een algemeen ingeburgerd begrip: het gezamenlijk inspanningen leveren voor een goed of ander doel lijkt vandaag al heel gewoon. Hetzelfde principe toepassen op cybersecurity zal her en der echter nog wel wat wenkbrauwen doen fronsen. Toch zit er een duidelijke logica achter. We weten immers allemaal dat de meeste organisaties niet de middelen of de gespecialiseerde mankracht hebben om kwetsbaarheden in hun systemen op te sporen vooraleer hackers kunnen toeslaan. Het idee om een beroep te doen op een grote groep van ‘ethische hackers’ om die infrastructuur te testen op zwakheden is dus niet zo vergezocht.
Bad hacker
Een ethische hacker is iemand die op zoek gaat naar kwetsbaarheden in soft- of hardware met de bedoeling die zwakke punten te signaleren aan bedrijven of de overheid zodat er stappen kunnen ondernomen worden om het lek te dichten. Hij denkt daarbij als een cybercrimineel en gebruikt dezelfde technieken als een ‘bad hacker’, alleen zijn de doeleinden eervol. Over de jaren is ethisch hacken geëvolueerd tot een beroep met heuse opleidingen, onder meer Novi uit Utrecht biedt bootcamps voor ethische hackers aan. In België timmert Intigriti, specialist op het gebied van crowdsourced beveiliging, flink aan de weg. Een ervaren ethische hacker kan ook rekenen op een deftig salaris dat al snel tot vierduizend euro en meer kan oplopen.
‘Ethisch hacken heeft lang geflirt met de illegaliteit’
Ethisch hacken heeft lang geflirt met de illegaliteit maar in de meeste landen is het intussen erkend als een ‘eerbaar’ beroep. In Nederland is dat al langer zo maar in België, waar naar schatting zo’n drieduizend ethische hackers actief zijn, is het pas sedert februari van dit jaar oké.. Het contrast met de Verenigde Staten is dan wel groot waar het begrip crowdsourced security al veel langer ingeburgerd is en waar bedrijven als Bugcrowd een beroep kunnen doen op honderdduizenden dergelijke hackers.
‘Wij hebben een security management platform gebouwd waar we onze klanten crowdsourced security kunnen aanbieden’, legt Julian Brownlown Davies uit, manager advanced services bij Bugcrowd. ‘Iedereen kan een securityprobleem aan ons platform voorleggen en als een klant een bepaalde omgeving heeft waar hij onze onderzoekers op los wil laten, dan kunnen wij hem de geschikte profielen voor de job aanreiken. De vergoedingen voor onze hackers gaan van een paar honderd dollar tot tienduizenden of meer – in het eerste kwartaal van dit jaar hebben we bijvoorbeeld voor meer dan tien miljoen dollar aan ‘bounties’ uitbetaald.’
Ervaren testbedrijf
Bugcrowd kent het knallen van de zweep, het bedrijf beschikt al sedert 2012 over een netwerk van meer dan een half miljoen hackers met diverse expertises. Nadat het eerder dit jaar kapitaal (102 miljoen dollar) ophaalde, is het op de overnametoer om zijn aanbod te versterken. Zo nam het recente het Britse Informer over, een specialist in ‘external attack surface management’ (ASM) en ‘continuous penetration testing’.
De acquisitie brengt de kracht van machine learning en de expertise rond penetratietesten samen in één enkele software-as-a-service-oplossing. ‘Ons ASM-platform sluit perfect aan bij de diensten voor penetratietesten van Bugcrowd’, zegt Mairios Kyriacou, directeur van Informer. ‘Door de migratie van veel diensten, architectuur en data naar de cloud en de explosieve groei van werken op afstand hebben veel klanten problemen met de visibiliteit van hun security perimeter. Daar kan onze gezamenlijke oplossing een snel inzicht leveren en kwetsbaarheden blootleggen die het hackerslegioen van Bugcrowd vervolgens kan aanpakken. Het platform van Bugcrowd is daarom een ideale partner voor ons gebleken met de nodige synergieën op het vlak van aanpak en technologie.’
Wat zijn pentesten?
Pentesten of penetratietesten zijn geautoriseerde schijnaanvallen op een computersysteem om de beveiliging te testen. Penetratietesters, met hun klassieke naam ‘ethische hackers’, gebruiken dan dezelfde technieken en tools als echte aanvallers om de effecten van zwakten in een systeem aan te tonen. Daarbij wordt een heel gamma van aanvallen gebruikt om de robuustheid van een systeem te testen.
De testers verzamelen eerst alle mogelijke informatie over hun doelwit en beginnen dan het systeem langs alle kanten te scannen om zwakke punten te vinden. Vervolgens dringen zij binnen in het systeem en proberen op alle mogelijke manieren zoveel mogelijk informatie buit te maken om zo de eventuele impact van hun acties te kunnen bewijzen.
Pentesten gaan daarbij een stap verder dan automatische testen omdat pentesters gebruik maken van tools en hun kennis van de allernieuwste aanvalstechnieken om meer diepgaande testen uit te voeren.