Hva er det som styrker den usannsynlige økningen av millionærhacker?

Bilde: VladislavStarozhilov, Getty Images / iStockphoto

HackerOne administrerende direktør Mårten Mickos er på et oppdrag, men det er kanskje en han helst ikke ønsket. Selskapet hans fortsetter å mynte millionærer (seks og telle), og betaler utviklere store penger for å snuse ut store problemer innen programvare. "Så lenge det er programvaresårbarheter, vil det være millionær hackere!" Sa Mickos. Enda bedre var han rask med å legge til, "Og tenk på de hundrevis av millioner som er spart ved å fikse sårbarheter og forhindre brudd."

Faktisk. Jo mer verden er bygd med programvare, jo mer vil den bli hacket. Likevel tok denne hackeren-tilnærmede tilnærmingen til programvaresikkerhet mange år å få aksept, og kanskje ikke av de grunnene vi antar.

Du har blitt brutt: Åtte trinn du må ta i løpet av de neste 48 timene (gratis PDF) (TechRepublic)

I begynnelsen var sikkerhetsfeilen

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

For fem år siden møtte HackerOne-styret for å diskutere fremgang, som det ble fortalt av medgründer Jobert Abma. På den tiden vokste den nye virksomheten, men ikke så raskt. På et styremøte oppsummerte de resultatene: 100 hackere hadde sendt inn minst en gyldig sårbarhet i løpet av den siste måneden, noe som tilsvarte omtrent $ 100 000 i vederlag betalt av HackerOne. Ikke verst, men ingenting som tyder på hvor stort dette kan bli.

Bare noen få år senere møtte styret igjen for å gjennomgå virksomheten. Denne gangen hadde 100 000 dollar hoppet til 1 000 000 dollar i betalte beløp, med innkomne innleveringer av gyldige sikkerhetsproblemer som klatret til 20 per dag. Det er klart at ting beveget seg i riktig (eller feil, avhengig av perspektiv) retningen. Bedriftene begynte å føle at "hva hat" hackere kan hjelpe dem med å "svart hatte" kjeksere, men det gjensto noen problemer som HackerOne (og andre liker det) fortsatt trengte å overkomme, ifølge Abma:

I hjertet av HackerOne var tre grunnleggende grunnlegger som selskapet trodde ville gå i oppfyllelse:

  1. Å ignorere hackere vil bli sett på som uaktsomhet.

  2. Sikkerhet vil være samarbeid.

  3. Åpenhet vil avle tillit.

For å gjøre dette sant, satt det ut på kvasi-åpen kildekode for å bygge et fellesskap av hackere. Men i dette tilfellet sendte ikke samfunnet trekkforespørsler om å samarbeide om kode, men har heller jobbet sammen for å avdekke og foreslå rettelser for sikkerhetsfeil. Mye (og mange) feil.

Fremveksten av millionærhacker

Hittil har HackerOne samlet inn 110 millioner dollar, men det mer imponerende antallet vil komme neste år, når selskapet regner med å betale ut over 100 millioner dollar i bug-beløp (kumulativt) - hittil har HackerOne utbetalt 65 millioner dollar i dusører. Selskapets hackersamfunn har rapportert over 7000 sikkerhetsproblemer. Over 5000 hackere melder seg på for å squash enda flere feil hver uke.

Det er her sikkerheten er på vei, og raskt. Så imponerende som HackerOnes nåværende statistikk kan være, for alle sikkerhetssårbarheter som samfunnet finner, er det hundrevis (tusenvis?) Mer som blir uoppdaget. Som med åpen kildekode, er poenget for selskaper ikke å finne ut hvordan de skal skrive perfekt kode - det kommer aldri til å skje. I stedet må de finne ut hvordan de skal takle en verden fylt med programvarebugs. Som Mickos har sagt, "Selskaper skiller seg ikke ut ved å bli brudd eller ikke. De skiller seg ut etter hvor raskt de oppdager og hvor raskt de løser dem."

Når organisasjoner søker å differensiere seg gjennom programvareinnovasjon, vil hacker-samfunn som HackerOne være pålagt å sikre sikkerheten til den programvaren. Forvent flere millionær hackere. Mange, mange flere.

Hvis du vil gå dypere inn i bugtaksbeløp, kan du sjekke ut "Hvordan luftforsvaret brukte et bug-bounty-program for å hacke sin egen skyserver" og "Hjelper bug-dusører med åpen kildesikkerhet?" på TechRepublic.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com