Llegamos a ustedes gracias a:



Reportajes y análisis

El crowdsourcing y los servicios de seguridad de TI

Por qué debería considerar esta alternativa

[21/09/2018] Una parte crucial de asegurar la infraestructura, las aplicaciones y los servicios de TI es pedir a los hackers de sombrero blanco -o también llamados consultores de seguridad independientes- que lo hackeen. Los hackers intentarán entrar a toda costa, por lo que también podría ser parte del proceso para maximizar los beneficios. Desafortunadamente, no todas las empresas tienen los recursos para contratar un equipo de pruebas de penetración.

Muchas firmas profesionales bien establecidas con mucho gusto lo ayudarán a realizar pruebas de vulnerabilidad o penetración. Puede ser difícil encontrar una para su "proyecto de emergencia" a último minuto, justo antes de la puesta en marcha. Afortunadamente, tiene una alternativa.

El crowdsourcing puede ayudar a su empresa a obtener ayuda inmediata cuando la necesite, a un precio que pueda pagar. Este se puede comparar con una subasta de talento de "e-Bay". Puede obtener el talento adecuado, al precio correcto, en el momento adecuado.

Hackers de crowdsourcing a través de un intermediario

Hay intercambios obvios con el crowdsourcing del talento de seguridad de TI, así como la manera de investigar a las personas que hackearán su entorno; determinar un precio y alcance justo; e iniciar, rastrear y controlar el proceso. Si no tiene un programa establecido, lo que ahorre en dinero directo, podría ser fácilmente compensado por su tiempo, participación y riesgo. Cuando no conoce a los jugadores involucrados, siempre existe el riesgo de que no tengan la experiencia que afirman tener; o peor, no hacer lo que dijeron que harían cuando los contrató. El mayor temor con los hackers de outsourcing es que guardan y usan lo que aprendieron en el trabajo más adelante. Después de todo, son hackers ¿verdad?

Afortunadamente, muchas empresas actúan como intermediarios de confianza y utilizan sus procesos establecidos para conectar hackers independientes e investigados con sus necesidades. A cambio de un pago, investigarán a los hackers, se asegurarán de que sean confiables y habilidosos, proporcionarán el programa y el marco general, y harán todo el trabajo duro para el que usted no tiene tiempo.

Me encantan tanto la idea de crowdsourcing como las empresas que lo están haciendo. Tres de las más grandes y conocidas son Synack, Bugcrowd y HackerOne. Cada una, de diferentes maneras, reúne a los hackers y sus servicios en un mercado relativamente abierto, con compañías que buscan servicios de hackeo de sombrero blanco (consultoría de seguridad). La mayor parte de las empresas de seguridad de crowdsourcing ofrecen al menos tres servicios principales:

  • Divulgación de vulnerabilidad
  • Pruebas de penetración
  • Programas de recompensa de errores

Divulgación de vulnerabilidad

La divulgación de vulnerabilidad implica ayudar al cliente a desarrollar y publicar un programa de divulgación de vulnerabilidad responsable que defina dónde y cómo terceros (hackers) pueden contactar al cliente o al intermediario (el proveedor de crowdsource) con errores recién descubiertos. Este incluye responsabilidades y expectativas para el cliente, el intermediario y el hacker. Muchos de estos últimos, que han divulgado de forma "irresponsable" al público, sin darle al proveedor la oportunidad de rectificar el error encontrado primero, lo hicieron solo debido a su frustración por la falta de una respuesta razonable por parte de la compañía a la que intentaban reportar el error.

Pruebas de penetración

Las pruebas de penetración son, a menudo, el servicio clave de generación de dinero para las empresas de crowdsourcing. Estas reúnen a un conjunto de hackers experimentados con el cliente a un precio acordado para un alcance de trabajo acordado.

La gran mayoría de hackers que participan en estas empresas realizan pruebas de penetración crowd-sourced a tiempo parcial. Una minoría lo hace a tiempo completo, y algunos de ellos tienen una vida decente haciéndolo. La cantidad que un hacker crowd-sourced puede ganar en cada trabajo depende de los tipos de habilidades que tengan, la experiencia y la clase de trabajos que seleccionen. Bugcrowd señaló que tiene hackers que donan su tiempo para causas particulares (como asegurar los recursos del gobierno de su país), o entregan el dinero que reciben a obras de caridad.

Recompensas de errores

Hacer que una empresa de recompensas de errores se involucre, puede ahorrarle toneladas de tiempo y dinero. Muchas veces, un error reportado por un hacker en realidad no es un error en absoluto, ya que no afecta la seguridad o no es fácilmente reproducible. La mayoría de los vendedores de programas de recompensas de errores le dirán que debe corregir solo una pequeña parte de los errores informados, y que pasan la mayor parte de su tiempo averiguando los errores reales de todos los problemas informados.

Un proveedor de recompensas de errores hará el trabajo inicial que consume mucho tiempo, tomando los informes de los hackers, verificando fallas de seguridad reales, determinando la criticidad, asegurándose de que sean fácilmente reproducibles, y luego creando documentación detallada de la vulnerabilidad de seguridad. Cualquier solucionador de errores mataría para que esta parte del proceso se realice.

Sin importar qué tan bueno sea su equipo interno de seguridad de TI, ni si tiene un equipo interno o externo de pruebas de penetración, necesitará un programa de recompensa de errores y uno de divulgación de vulnerabilidades responsable, como parte clave de su seguridad de TI. He estado con empresas que decidieron, erróneamente, que no necesitaban un programa de recompensa de errores, y después de años de lecciones negativas, comenzaron uno. Podrían haberse ahorrado un poco de dolor si comenzaban uno más temprano.

Toda empresa debe considerar e implementar estos tres tipos de programas. Conocí a muchos hackers de buen corazón que se sentían frustrados, e incluso resentidos, porque una empresa no tenía una manera fácil de reportar los errores que encontraban, no respondía eficazmente al compromiso, o le decía incorrectamente al hacker que su gran hallazgo no era un gran problema. Si dificulta que las buenas personas reporten cosas serias, solo está buscando problemas.

Si todavía no tiene estas funciones, solo podrá beneficiarse al involucrarse con una empresa, de crowdsourcing o no, que pueda ayudarlo a configurarlas. La mayor parte de las compañías ofrecen estos servicios como proyectos puntuales o ad-hoc. Algunas ofrecen servicios relacionados adicionales tales como la revisión y remediación de código, y el aumento de personal; y se diferencian por su plataforma en torno a los hackers y los servicios, los modelos de fijación de precios y qué tan bien pueden evaluar la experiencia, las habilidades y la ubicación de los hackers involucrados.

¿Cuánto cuesta el hackeo crowd-sourced?

Ninguna de las firmas que entrevisté quería darme números duros para un escenario hipotético, pero acordaron que el crowdsourcing de un equipo rojo de hackers durante unas semanas de trabajo podría costar de unos pocos miles a decenas de miles de dólares por un compromiso limitado y relativamente pequeño. Los compromisos más grandes, con más personas con habilidades especializadas que duran de varias semanas a algunos meses, fácilmente podrían costar decenas de miles de dólares. Independientemente de lo que termine pagando, es mucho más económico que tener su propio equipo interno y, a menudo, más barato que trabajar con una empresa establecida que no utilice el crowdsourcing.

En el último Black Hat USA 2018 en Las Vegas la semana pasada, entrevisté a ejecutivos de Synack y Bugcrowd.

Perfil de Synack

Synack tiene la reputación de ser un proveedor de outsourcing de primer nivel con un enfoque en empresas más grandes. Tienen una lista de quiénes son las principales compañías y entidades como clientes y, les gusta centrarse en el éxito y la calidad de sus procesos y programas de investigación, así como en una amplia gama de servicios. Hablé con Aisling MacRunnels, directora de marketing de Synack.

Cuando se le preguntó si la inteligencia artificial (AI) alguna vez reemplazaría a los hackers humanos en el proceso de evaluación de la seguridad de una empresa, MacRunnels dijo: "No. Creo que verás automóviles sin conductor mucho antes de ver la seguridad sin conductor. No se puede construir una tecnología que supere a la mente humana. Simplemente no se puede. Un ser humano puede ver las cosas contextualmente, cosa que no se puede construir fácilmente en un programa automatizado. Comenzamos con un escaneo de evaluación de vulnerabilidad para encontrar lo más sencillo, y luego alimentar a nuestros hackers con todo lo que aprendió. Estos encuentran mucho más de lo que solo el escaneo encuentra, por lo que este último es simplemente un punto de partida y no uno final.

MacRunnels está orgullosa del programa de investigación de hackers de Synack. "Tenemos más de mil hackers investigados en más de 55 países, pero lleva meses convertirse en uno en nuestra plataforma. No tenemos hackers 'promedio'.

En el lado del proceso, Synack tiene un portal de clientes donde pueden monitorear cada paso y ver cada vulnerabilidad encontrada. "Un cliente puede saltear problemas particulares que ya conoce o incluso detener un proyecto", anota MacRunnels. "Enviamos detalles y capturas de pantalla. Los clientes pueden contactar fácilmente al investigador para obtener respuestas a sus preguntas. Los clientes que inicialmente eran un poco escépticos del proceso, a medida que aprenden que pueden confiar en nosotros, en nuestros investigadores y en nuestra plataforma, terminan confiando cada vez más en él, y en que nuestros investigadores pueden ir más lejos y hacer más.

MacRunnels cree que el modelo de fijación de precios de Synack -costo fijo en lugar de por error- es un diferenciador. "Usted sabe lo que está pagando y lo que va a obtener", señala.

Según MacRunnels, Synack también se ocupa de sus investigadores examinados. "Les pagamos dentro de las 24 horas de su hallazgo. Queremos que confíen en nosotros y que sepan que son apreciados por lo que hacen. El pago dentro de las 24 horas es una rareza en el mundo independiente de las pruebas de penetración, por lo que es un gran motivador. Normalmente, me llevaría un mes o más para que me paguen.

Perfil de Bugcrowd

Bugcrowd es otra empresa de crowdsourcing de seguridad de TI de primer nivel, que se centra en empresas de todos los tamaños en más de 50 mercados verticales. Hablé con varios empleados de Bugcrowd, incluido Ashish Gupta, CEO; Justin Beachler, ingeniero de confianza y seguridad; y Michelle Dailey, directora principal de marketing.

Gupta estuvo de acuerdo con la idea de que la inteligencia artificial no iba a hacerse cargo de las responsabilidades de los hackers humanos en el corto plazo. "Todavía existe una gran necesidad de creatividad humana, no solo para encontrar problemas, sino también para comprender el riesgo de seguridad", comenta.

Cuando un hacker encuentra un error al usar la plataforma de Bugcrowd, ésta no se lleva nada del dinero que el cliente paga al investigador. "No ganamos dinero por la recompensa de errores, sino por los beneficios de la plataforma", indica Gupta.

"Se necesitan diferentes tipos de hackers con diferentes 'ojos' buscando los errores. Muchas empresas tienen una política en la que deben cambiar sus equipos externos de pruebas de penetración cada pocos años por ese mismo motivo. Crowdsourcing y Bugcrowd hacen que eso sea realmente fácil de hacer, agrega Beachler.

"Cada uno de nuestros programas tiene una administración profesional incorporada", señala Dailey. "Por ejemplo, tratamos de responder a cada vulnerabilidad reportada dentro de las 24 horas. En realidad, es alrededor de 12 horas o menos en este momento. Hacemos todo el trabajo para verificar que la vulnerabilidad reportada sea realmente una vulnerabilidad y para determinar qué clasificación de debería tener".

Una parte clave del proceso de Bugcrowd es el programa de Vulnerability Taxonomy Rating de código abierto, un marco que ayudaron a desarrollar sobre cómo calificar y clasificar diferentes tipos de errores. Los errores más críticos se llaman "P1", mientras que los menos graves son clasificados de P2 a P5. Cada programa de búsqueda de errores tiene clasificaciones de criticidad, pero el marco de código abierto de Bugcrowd se desarrolló con el aporte de muchos clientes e investigadores, para ayudar a estandarizar las calificaciones. Sin un marco estandarizado objetivo, un investigador podría tener un mayor incentivo para reportar los hallazgos como la falla de mayor criticidad y mayor pago, la P1.

Bugcrowd ha establecido la Universidad de Bugcrowd de código abierto, donde los probadores de penetración de todos los niveles de experiencia pueden obtener más información sobre las pruebas de seguridad profesionales. Bugcrowd también habló, para comenzar, de ayudar a sus clientes a utilizar prácticas de ciclo de vida de desarrollo seguro (SDL) para reducir el número de vulnerabilidades. La capacitación de SDL es muy necesaria, porque la mayoría de las universidades no incluyen mucha, o ninguna, capacitación de concientización sobre seguridad en sus programas de desarrollo. Es una gran laguna que Bugcrowd está tratando de llenar.

Elegir un socio de pruebas de penetración crowd-sourced

Primero, decida qué tipo de servicios necesita, con qué frecuencia los necesita y cuánto debe gastar. Decida si el crowdsourcing se ajusta a su modelo de riesgo. Si lo hace, considere una empresa de crowdsourcing que pueda administrar el proceso y eliminar gran parte del riesgo. Luego comuníquese con una o más de estas compañías para obtener más detalles sobre cada una de sus ofertas, sus plataformas, tarifas y el proceso de administración profesional. Gran parte del valor de cada una de las organizaciones se encuentra en sus plataformas, procesos y en la forma en que investigan y colocan a los hackers que realizarán los servicios.

Desea poder confiar en que tiene profesionales que hacen el trabajo con la máxima profesionalidad y confidencialidad. Creo que cualquiera de las principales empresas de crowdsourcing le dará más de lo que podría obtener tratando de ponerse en contacto con algún hacker o grupo de hackers de forma independiente.