Selama bertahun-tahun menemukan bug dalam perangkat lunak populer, aplikasi, dan layanan online telah menjadi usaha yang cukup menguntungkan bagi para peretas yang giat. Bahkan beberapa peretas dan peneliti keamanan ini bahkan menjadi jutawan berkat program hadiah bug (terbuka di tab baru). Selain mendapatkan bayaran untuk menemukan kerentanan, pekerjaan mereka membantu beberapa perusahaan terbesar di dunia meningkatkan keamanan produk mereka untuk melindungi pengguna mereka dengan lebih baik.
Platform hadiah bug HackerOne (terbuka di tab baru) membantu menghubungkan perusahaan-perusahaan ini dengan peretas etis di seluruh dunia. Untuk mempelajari lebih lanjut tentang bagaimana perusahaan memulai dan berbagai bug yang ditemukan oleh komunitasnya selama bertahun-tahun, TechRadar Pro berbicara dengan CTO HackerOne, Alex Rice.
Apa yang menyebabkan terciptanya HackerOne pada tahun 2012?
Organisasi dari segala bentuk dan ukuran sekarang menggunakan keamanan yang didukung peretas, tetapi tidak selalu seperti itu.
Sebelum HackerOne, saya adalah kepala keamanan produk di Facebook. Salah satu hal paling efektif yang kami lakukan adalah mengatakan kepada peretas di luar sana: “Kami membutuhkan bantuan Anda. Temukan bug, temukan kerentanan, beri tahu kami dan kami akan membalas Anda.” Program tersebut kemudian membayar lebih dari $10 juta dan meningkatkan keamanan produk lebih dari yang dapat dibayangkan siapa pun.
Maju cepat ke hari ini dan HackerOne adalah platform keamanan bertenaga peretas paling sukses di dunia. Lebih dari 2000 organisasi telah bermitra dengan komunitas peretas untuk mengungkap 181.000+ kerentanan terverifikasi. Peretas tersebut telah diberi hadiah lebih dari $100 juta karena menjadikan internet sebagai tempat yang lebih aman.
Bagaimana latar belakang Anda sebagai insinyur dan peneliti keamanan memengaruhi pekerjaan yang Anda lakukan hari ini sebagai CTO HackerOne?
Di HackerOne, saya bertanggung jawab untuk mengembangkan visi teknologi kami, mendorong upaya rekayasa, dan menasihati pelanggan saat mereka membangun program keamanan kelas dunia. Saya termotivasi pertama dan terutama oleh keyakinan bahwa teknologi dapat meningkatkan kehidupan kita menjadi lebih baik. Namun tantangan mendasar dengan keamanan dan privasi sering menghambat kami. Kami membutuhkan teknologi yang dapat dipercaya, dan pengalaman saya sebagai peneliti individu mengajari saya bahwa kami tidak akan pernah sampai di sana sendirian. Kita membutuhkan jutaan dari kita untuk bekerja sama, mengungkapkan pelajaran yang dipetik, dan mendorong kita masing-masing untuk berbuat lebih baik.
Menurut Anda, dampak apa yang dimiliki platform Anda terhadap cara kerentanan diidentifikasi dan dilaporkan?
Di HackerOne kami bermitra dengan komunitas peretas global, untuk memastikan organisasi mengetahui masalah keamanan apa pun sebelum ini dapat dimanfaatkan oleh penjahat. Kreativitas, keragaman, dan kegigihan luar biasa yang Anda temukan dalam komunitas unik ini memastikan organisasi jauh lebih aman daripada berdiri sendiri, dan orang-orang yang bergantung pada mereka menjadi lebih aman.
Kami juga memiliki berbagai program dan opsi yang tersedia untuk pelanggan, memastikan mereka mendapatkan dukungan terbaik, saat mereka membutuhkannya. Penting bahwa bisnis tidak hanya menyadari di mana risikonya, tetapi kerentanan dapat dikelola dan diperbaiki. Di HackerOne, pelanggan dapat memilih berbagai solusi yang tersedia dari pentesting (terbuka di tab baru)hingga hadiah bug publik dan pribadi, dan, yang paling penting, program pengungkapan kerentanan.
Bisakah Anda memberi tahu kami lebih banyak tentang database kerentanan perusahaan Anda dan bagaimana Anda melacak semua bug yang dikirimkan oleh peneliti keamanan?
Kami memelihara basis data kerentanan terbesar dan paling otoritatif di industri dan program penghargaan kami mendorong komunitas peretas kami untuk mengidentifikasi dan mengirimkan laporan kerentanan pada segala hal mulai dari situs web, API, aplikasi seluler, perangkat perangkat keras, dan permukaan serangan yang semakin beragam dan luas .
Dalam hal bagaimana kami melacak, ada proses yang jelas untuk diikuti oleh peretas kami. Setelah mendaftar ke akun HackerOne, mereka dapat mencari program yang berpartisipasi dan mulai meretas. Jika mereka menemukan kerentanan, mereka kemudian menggunakan Direktori HackerOne untuk menemukan cara terbaik menghubungi organisasi dan mengirimkan laporan. Perusahaan kemudian akan meninjau konten dan menghargai temuan yang valid.
Dari sepuluh jenis kerentanan yang paling berpengaruh dan dihargai dalam laporan baru HackerOne, mana yang menurut Anda merupakan ancaman terbesar bagi organisasi saat ini dan mengapa?
Pembuatan skrip lintas situs (XSS (terbuka di tab baru)) kerentanan. Ini adalah tahun kedua berturut-turut mereka menduduki puncak daftar kami karena mereka terus menjadi ancaman utama bagi aplikasi web dan menyumbang 18% dari semua kerentanan yang dilaporkan. Penyerang mengeksploitasi serangan XSS dan mendapatkan kendali atas akun pengguna untuk mencuri informasi pribadi seperti kata sandi, nomor rekening bank, detail kartu kredit, dan lainnya. Pelanggan kami memberikan penghargaan hadiah total lebih dari US$4,2 juta, naik 26% dari tahun 2019.
Kerentanan umum seperti XSS sering diabaikan oleh CISO yang suka mengejar “ancaman du jour”, tetapi peretas secara konsisten menunjukkan kepada kita bahwa praktik terbaik yang diabaikan ini terus menjadi salah satu cara paling efektif untuk mengkompromikan data pribadi.
Jenis kerentanan apa yang paling menarik minat Anda?
Saat ini saya tertarik untuk melihat apa yang terjadi dengan kerentanan SSRF (Server Side Request Forgery) yang prevalensinya meningkat saat migrasi cloud sedang berlangsung. Secara historis, bug SSRF cukup jinak, karena hanya mengizinkan pemindaian jaringan internal dan terkadang akses ke panel admin internal. Namun di era transformasi digital yang pesat ini (terbuka di tab baru)munculnya arsitektur cloud dan titik akhir metadata yang tidak terlindungi telah membuat kerentanan ini semakin kritis.
Saran apa yang akan Anda berikan kepada bisnis yang ingin menerapkan program bug bounty untuk pertama kalinya?
Merangkak, berjalan, berlari. Bisnis Anda tidak harus melompat di kepala terlebih dahulu. Bisnis dapat membatasi jumlah peretas yang terlibat dengan program pribadi. Gunakan kemampuan ini untuk meluncurkan dengan cara yang terkontrol untuk memastikan Anda memiliki kebijakan yang jelas, kemampuan untuk melakukan triase dan analisis akar penyebab secara efektif, dan Anda melanjutkan dengan kecepatan yang dapat dikelola untuk tim pengembangan Anda. Berlari terlalu cepat, sering kali menyebabkan pukulan telak dan penundaan investasi yang diperlukan dalam praktik keamanan inti Anda.
Bagaimana seharusnya bisnis menetapkan nilai uang untuk penemuan bug tertentu?
Sebagai permulaan, jangan membayar untuk bug tertentu. Mulailah dengan a program pengungkapan kerentanan (terbuka di tab baru) yang hanya menetapkan proses untuk menerima kerentanan dari pencari eksternal tanpa janji imbalan finansial.
Dari sana, mulailah dengan program pribadi kecil di beberapa permukaan serangan Anda yang lebih keras. Tim kami dapat bekerja sama dengan Anda untuk membandingkan permukaan serangan yang Anda pilih dengan data tolok ukur kami untuk organisasi serupa dengan tujuan untuk menarik perhatian dasar awal dari komunitas sebelum meningkatkan hadiah saat permukaan serangan Anda mengeras.
Nilai uang biasanya akan bergantung pada seberapa kritis bug tersebut, semakin parah kerentanannya, semakin banyak hadiahnya. Di tahun 2020 terbaru kami Laporan Keamanan yang Diberdayakan Peretas, (terbuka di tab baru) kami menemukan hadiah rata-rata untuk semua kerentanan dengan tingkat keparahan apa pun adalah $979.
