in

Cómo los piratas informáticos ayudan a las empresas a enfrentarse a nuevos vectores de ataque y a desarrollar programas de seguridad más sólidos


Los temas que examinaron incluyeron el éxito de sus programas de recompensas de errores de larga data para descubrir vulnerabilidades de seguridad, cómo explicar el valor del programa a los ejecutivos de C-suite y por qué los esfuerzos de piratería externos complementan las iniciativas de seguridad interna.

Sri Shivananda comenzó mencionando a los dedicados profesionales que harán todo lo que esté a su alcance para desarrollar productos y servicios seguros en sus negocios. Por otro lado, hay personas con intenciones malintencionadas que quieren explotar incluso las vulnerabilidades más pequeñas.

«Cualquier persona lógica dirá que probablemente necesitamos algo en el medio», dijo Shivananda. «Aquí la cooperación con la comunidad de cazadores y hackers crea un valor agregado para organizaciones como la nuestra».

Shivananda y Phil Venables, que lideran los equipos de riesgo, seguridad, cumplimiento y privacidad de Google Cloud, tuvieron una discusión en profundidad en HackerOne sobre los desafíos que enfrentan las empresas hoy en día para combatir las amenazas cibernéticas. Son dos de las principales autoridades mundiales en lo que respecta a la cibervigilancia. En su sesión «Mapeo de su viaje de seguridad impulsado por piratas informáticos», volvieron a un tema.

La construcción de una estrategia de seguridad sólida es una responsabilidad de equipo. Y eso explica el poder de agregar una capa de defensa dirigida por piratas informáticos para complementar los esfuerzos de seguridad interna de su empresa.

«Durante mucho tiempo he creído que no importa qué tan bueno sea su programa de seguridad, siempre existe la posibilidad de que surjan vulnerabilidades de seguridad», dijo Venables. “Las organizaciones deberían querer que las personas con buenas intenciones encuentren e informen estos problemas más rápido de lo que los actores malintencionados pueden descubrirlos. La clave del éxito es formar una comunidad de buenas personas para ayudar a identificar estos problemas «.

Por qué las empresas deberían considerar la ciberseguridad en todas las decisiones comerciales

La seguridad cibernética debe y en muchos casos es una prioridad para todas las empresas. A Encuesta Global Digital Trust Insights de PwC 2021 descubrió que el 50% de los ejecutivos dice que la seguridad y la privacidad serán parte de cada decisión o plan comercial. Mientras tanto, crece el número de incidentes de ransomware y ciberataques que generan titulares. Uno Informe del FBI descubrió que el delito cibernético resultó en pérdidas totales de más de $ 4.1 mil millones solo en los EE. UU. en 2020.

A pesar de los mejores y bien intencionados esfuerzos de las empresas, las debilidades son inevitables, enfatizaron Venables y Shivananda. Únase a la comunidad de piratas informáticos que puede desempeñar un papel esencial en la gestión del riesgo cibernético. Shivananda describió a los piratas informáticos como el sistema inmunológico de Internet y citó a la conocida analista Karen Elazari. Charla ted sobre el tema.

Cómo el programa Bug Bounty de PayPal mejora la seguridad, elimina riesgos y genera confianza

PayPal trabaja con más de 400 millones de consumidores y comerciantes en todo el mundo. Nada es más importante que la seguridad y la confianza, dijo Shivananada. Por esta razón, PayPal ha estado ejecutando un exitoso programa de recompensas por errores durante años, en el que investigadores externos revisan la amplia superficie digital de la compañía, donde los villanos también buscan lagunas. Dijo que la recompensa por errores de PayPal es extraordinariamente hábil para identificar problemas que pueden resolverse rápidamente antes de que se conviertan en problemas importantes.

«Al principio nos sorprendió lo que encontraron los piratas informáticos», agregó Shivananda. “Hoy todavía estamos sorprendidos. Identifican cosas que son cada vez más difíciles de encontrar. Nuestra colaboración con los investigadores ha dado lugar a consideraciones que nos permiten compartir nuestra estrategia de seguridad con el desarrollo de la programación. La comunidad de piratería nos ayuda a convertirnos en una mejor empresa de seguridad a través de sus contribuciones «.

Ese es el «boleto de oro» para trabajar con piratas informáticos, agregó Amanda Berger, Jefe de Éxito del Cliente de HackerOne, quien actuó como moderador.

Cómo ayuda HackerOne a las empresas a planificar sus rutas de seguridad

Venables, el ex CISO de Goldman Sachs antes de unirse a Google, dijo que veía los programas de piratería informática como un ejercicio de fuerza en números. Mucha gente trabaja junta, pero no solo como defensa de una empresa. En cambio, es beneficioso para todos cuando los conocimientos se comparten en toda la comunidad. Cree tan firmemente en el modelo que recientemente se unió a la junta directiva de HackerOne. Venables dijo que empresas como HackerOne se destacan en el desarrollo de programas de recompensa por vulnerabilidades que cumplen con los requisitos legales y de cumplimiento.

Reconoció que existe resistencia a las iniciativas que utilizan piratas informáticos externos. Pero, por lo general, las actitudes cambian rápidamente cuando este tipo de proyectos demuestran su valor. Eso se aplica tanto a los tomadores de decisiones como a los desarrolladores de primera línea, agregó.

«En mi experiencia, las empresas comienzan con un programa como este con cierto grado de nerviosismo», dijo Venables. “Pero los equipos de desarrollo generalmente se emocionan cuando se les informa de un problema, pueden solucionarlo y aprender de él. Después de eso, la confianza crece y la vacilación desaparece porque hay una oportunidad de mejora. Creo que funciona muy bien, y tener una empresa como HackerOne que se especializa en ello es útil para muchas empresas «.

La realidad, coincidieron Venables y Shivananda, es que debido al cambio constante en la tecnología y la naturaleza de las amenazas, la seguridad es un viaje continuo. Pero, lo que es más importante, es un viaje que ninguna empresa emprende por sí sola. A medida que las empresas se enredan cada vez más en nuestro mundo cada vez más conectado, las debilidades de otras empresas se convierten rápidamente en sus debilidades, especialmente cuando se trata de cadenas de suministro. Las organizaciones están expuestas individualmente y por sus relaciones con terceros. Para los ciberdelincuentes, el vector de ataque de la cadena de suministro de software representa una gran oportunidad.

Cómo la comunidad de piratería HackerOne complementa los esfuerzos de seguridad

La comunidad de piratas informáticos, la más grande y diversa del mundo, puede desempeñar un papel vital en complementar los esfuerzos de seguridad que mantienen a todos a salvo, dijeron.

«Puede utilizar cualquier filosofía, método, arquitectura, etc. modernos», añadió Shivananda. “Pero la ciberseguridad es un problema global. Es mejor reunir a todos los cerebros que pueden contribuir a trabajar juntos y ayudar a largo plazo. Nunca se viajan, y eso es especialmente cierto cuando se trata de seguridad «.

Mira toda la discusión y el resto Security @ On-Demand aquí.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

La actualización de Firefox trae un nuevo tipo de entorno de pruebas de seguridad: Naked Security

El ransomware ataca a los supermercados y gasolineras Spar • Graham Cluley