Hogyan hackelte meg a Hackrate az IT biztonsági tesztelést? (x)

Mennyire biztonságosak az IT-rendszereim? Mennyire védem jól az adataimat? A válasz sokszor azért is bizonytalan, mert a rendszerek folyamatosan változnak: új funkciók érkeznek, konfigurációk módosulnak, külső integrációk épülnek be. Ami tegnap még rendben volt, egyetlen frissítés után már egészen új kockázatokat rejthet.

Ennek ellenére a gyakorlatban sok szervezet évente egyszer végeztet penetrációs tesztet, jellemzően egy-két szakértő bevonásával. Ez hasznos pillanatkép, de könnyen lemaradnak a változás üteméről. Erre kínál alternatívát a közösségi alapú, folyamatos biztonsági tesztelés, amelynek hazai szereplője a Hackrate etikus hacker platform.

A Hackrate alapítói, Pózner Balázs és Molnár Levente tapasztalt IT-biztonsági szakértők. Korábbi munkáik alapján pontosan tudták, hol vannak a hagyományos penetrációs tesztek határai: ha egy rendszert csak néhány tesztelő vizsgál, könnyen rejtve maradhatnak hibák, ami hamis biztonságérzetet adhat. A bug bounty modellben látták meg, hogy hogyan lehet sok, eltérő gondolkodású szakembert szigorú szabályok mentén, kontrollált keretek között egy közös célra szervezni: a sérülékenységek feltárására és javítására. A Hackrate ezért olyan platformot épített, amely összeköti a vállalatokat és az etikus hackereket. A cég szoftverek, API-k és mobilalkalmazások biztonsági tesztelésére fókuszál.

Folyamatos, kreatív és alapos tesztelés

A Hackrate lényege, hogy a biztonsági tesztelés ne egyszeri projekt legyen, hanem folyamatos. A platformon már több mint 5000 regisztrált etikus hacker érhető el világszerte. A sokféle nézőpont nagyobb eséllyel hoz felszínre olyan összetettebb vagy szokatlan sebezhetőségeket is, amelyek egy időben behatárolt vizsgálat során könnyebben kimaradhatnak. A bug bounty programok során a kijelölt rendszereket a hackerek előre rögzített szabályok mentén tesztelhetik, sőt a jelentett hibák után jutalmat is kaphatnak. Így a védelem képes lépést tartani a változásokkal és a hibák gyorsabban eljutnak a javításig.

A Hackrate már a világ számos országban szolgál ki ügyfeleket, többek között az USA-ban, Franciaországban, Észtországban és Németországban is. Csehországban például kormányzati környezetben is futottak bug bounty kezdeményezések a Hackrate közreműködésével, és minisztériumi rendszerek is kerültek már célzott tesztelés alá.

Kifejezetten jó volt látni, hogy örömmel fogadták, amikor újabb javítható hibát találtunk. A lényeg az, hogy ezeket a sebezhetőségeket most felelős keretek között tártuk fel és így javíthatók, nem pedig évekkel később veszi észre őket egy rosszindulatú támadó.”

– mondta Pózner Balázs, a Hackrate alapítója és ügyvezetője.

Innováció és átláthatóság: HackGATE

A közösségi tesztelés önmagában nem elég: vállalati környezetben kulcs az átláthatóság, a hozzáférések kontrollja és az auditálhatóság. Erre válaszul a Hackrate kifejlesztette a HackGATE-et, egy saját fejlesztésű, menedzselt proxy megoldást, amelyen keresztül a tesztelési forgalom és a hozzáférések szabályozottan kezelhetők. A megbízó számára így átlátható, ki, mikor és milyen keretek között végzett tesztelést, és a program megfeleltethető szigorú belső szabályozásoknak, illetve auditkövetelményeknek is. A HackGATE szabadalmi eljárás alatt áll az Egyesült Államokban.

Miért éri meg üzletileg is?

A modell üzleti oldalról is vonzó: a szervezetek a validáltan feltárt és jelentett sérülékenységek után fizetnek, így a ráfordítás közvetlenül kézzelfogható eredményekhez köthető. A Hackrate a kisebb cégektől a nagyvállalatokon át a közszféráig testreszabott programokat kínál, az egyszeri célzott tesztektől a folyamatos ellenőrzésekig.

A cél ugyanaz: a sérülékenységek feltárása még azelőtt, hogy rosszindulatú támadók kihasználnák őket.

(x)