in

Cómo los piratas informáticos pueden fortalecer la seguridad de las aplicaciones en la nube


¿Qué significa el ascenso de la nube?

“Solía ​​ser fácil creer que sus sistemas eran seguros”, dice Bressers. Estabas detrás de un cortafuegos. Había defensas perimetrales claras. Incluso podría tener que estar en un edificio físico para tener acceso a su red «.

Con la llegada de la nube, las superficies de ataque aumentaron y los ciberataques aumentaron exponencialmente, lo que significó un mayor riesgo. ¿Bressers estuvo de acuerdo?

«Sí y no. Me pregunto si no nos hemos engañado de antemano», dijo Bressers, quien modera dos podcasts Podcast de seguridad de código abierto, y Historia de hacker.

“Está claro que los atacantes no recibieron la nota de que la información está protegida detrás del firewall. Creo que el único beneficio que te ofrece la nube en este momento es que no puedes fingir que tienes esas defensas. Su sistema está en Internet. La gente inicia sesión. La nube nos hace más honestos porque no puedes fingir que tienes algo de protección «.

Esta conversación de gran alcance y emocionante entre Bressers y el CMO de HackerOne, Tim Matthews, abordó varios temas en el mundo de la seguridad en la nube. Pero Bressers seguía volviendo a un tema. Los profesionales de la seguridad de la información siempre deben estar preparados para nuevas amenazas.

«Mi vida podría cambiar por una hazaña o un ataque inesperado», dijo. “Podría ser algo que nadie sepa hoy, pero todos lo sabremos mañana. Te despiertas por la mañana y dices: ‘No tengo idea de lo que sucede cuando abro la bandeja de entrada de mi correo electrónico’. Pero esa es nuestra vida todos los días «.

Cómo trabajar con piratas informáticos ayuda a Elastic a conocer extraños y mejorar la ciberseguridad

Entonces, cuando Matthews preguntó qué puntos débiles mantenían a Bressers despierto por la noche, luchó por responder con detalles. Lo que más le preocupa es lo que no sabe.

“Hay una cita de Donald Rumsfeld sobre el hecho de que hay conocidos conocidos, desconocidos conocidos y desconocidos desconocidos. Hay muchas cosas que no sabemos sobre nuestra infraestructura y los atacantes «.

Es decir, Bressers dijo que sabe una cosa. «Es de gran valor trabajar con organizaciones como HackerOne, que están a la vanguardia de la ciberseguridad y tienen una experiencia única en la lucha contra ataques maliciosos».

El software de código abierto elástico es el motor detrás de escena que impulsa la actividad de búsqueda en miles de sitios web corporativos. La empresa cuenta con una amplia gama de productos, lo que a su vez amplía la superficie de ataque potencial.

Programa privado de recompensas por errores HackerOne de Elastic

Hace unos años, Elastic comenzó a trabajar silenciosamente con HackerOne para construir lentamente un programa privado de recompensas por errores para poner en común el poder colectivo de los investigadores para identificar vulnerabilidades. ¿Los resultados?

«HackerOne me ayuda a dormir por la noche porque tengo la sensación de que algunos de estos extraños me ayudarán a encontrarlos», dijo Bressers. «Fue una experiencia increíble. HackerOne ha sido un gran socio para nosotros. Estábamos super, super felices «.

Esta asociación, de la que Elastic habló por primera vez públicamente en Security @ 2021, funciona bien por varias razones. Por un lado, los piratas informáticos del programa de recompensas por errores son muy buenos para detectar brechas de seguridad. Además, la cultura elástica se centra en solucionar problemas, no en culpar. No hay indicios de cuándo se encuentra una vulnerabilidad. Bressers dijo: “Por lo general, ni siquiera puedo decirte qué equipo está causando problemas. Pero todos son responsables de encontrar soluciones.

“Hay una verdadera emoción cuando surge un problema. Un ejemplo fue un error increíblemente sutil en un procesador YAML de nodo que fue expuesto por un cazarrecompensas de errores. Pensamos, ‘¿Cómo llegó ahí?’ ”, Recordó Bressers. “Pero nos encanta ese tipo de cosas. Enviamos estos errores a los desarrolladores y el 99% de las veces dicen: ‘Dios mío, ¿cómo encontraste esto?’ Estás fascinado «.

Elastic incluso alienta a los piratas informáticos a grabar videos que demuestren el error, una forma creativa de compartir información sobre vulnerabilidades y compartir momentos útiles para ayudar a los equipos a mejorar.

“Eso es realmente genial porque ahora tenemos la conexión del desarrollador con el hacker. Trabajan juntos. La cooperación con HackerOne lo hace aún más poderoso y valioso para nuestros desarrolladores «.

Cómo demostrar el valor de invertir en programas de seguridad

Un desafío para todos los equipos de seguridad informática es, por supuesto, mostrar a la dirección el valor de invertir en medidas de seguridad. Muchas organizaciones y departamentos ven la seguridad como un centro de costos. Las discusiones sobre la adición de programas de seguridad ejecutados por piratas informáticos pueden ser aún más delicadas. Bressers dijo: “La clave es poner el costo de los hacks en perspectiva. ¿Es más barato invertir dinero en una recompensa por errores ahora o arriesgarse a las consecuencias de un pirateo en toda regla más adelante? »

«Tienes que pensar en tu negocio», dijo. «¿Dónde gana su dinero? ¿Y si eres más o menos vulnerable? No creo necesariamente que haya una respuesta fácil. Pero creo que es una conversación más simple que probablemente hace cinco años cuando se habla de piratas informáticos, recompensas de errores y todo eso. Ahora surge con bastante regularidad en conversaciones amables «.

Cambio positivo en la seguridad de la nube en toda la industria

Cuando se trata de seguridad en la nube para toda la industria, Bressers cree que se avecinan cambios positivos. Él cree que hay una regulación gubernamental más fuerte en el horizonte, aunque eso podría ser una bendición mixta. Con la adición de mejores herramientas y programas de seguridad como HackerOne, dijo: «Parece que los buenos se están uniendo».

«Es fácil caer en esta industria», dijo Bressers. “Pero lo que me da esperanza es que miraré todo lo que está sucediendo en el planeta hoy. Cuando se trata de seguridad, veo que muchas organizaciones y gobiernos prestan atención. En el pasado, a menudo existía esta actitud de que no hay nada que podamos hacer. Vamos a lanzar nuestras manos al aire. Ya no veo eso, y eso es inspirador «.

Registrar aquí para ver toda esta discusión y todas las presentaciones de Security @.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La «queja del cliente» puede llamar su atención

Una quinta parte de los residentes del Reino Unido ha sufrido un ataque de «certificado de vacunación»