Een ethische hacker probeert kwetsbaarheden in de beveiliging te vinden om het bedrijf te helpen zijn producten of infrastructuur te verbeteren en daarmee de strijd aan te gaan met de criminelen.
Zwarte hoodies, criminelen, in donkere kamers zonder daglicht…. Daar denken we vaak aan als we het hebben over hackers. Er zijn criminele hackers, natuurlijk, net zoals er in elk ander vakgebied criminelen rondlopen. Een hacker is niet crimineel of eng, en wij maken ook graag gebruik van ethische hackers. We hebben een aantal hackers in dienst maar maken ook graag gebruik van hackers buiten onze organisatie om ons nog beter te beschermen tegen cybercrime.
Om te kunnen begrijpen waar het eventueel mis kan gaan, heb je als softwareontwikkelaar een hacker-mindset nodig. Wat gebeurt er als je met je hoofd over het toetsenbord rolt? Soms zijn we te veel bezig met de happy-flow en vergeten we te bedenken waar het allemaal mis zou kunnen gaan en wat daarvan dan het gevolg is. Naast tooling, training voor softwareontwikkelaars, peer-reviews en dergelijk is het ook aan te raden om ethische hackers in te schakelen om je producten te testen. Hacken is een expertise en kan je op verschillende onderdelen ontwikkelen.
Responsible disclosure
Een hacker probeert kwetsbaarheden in de beveiliging te vinden om het bedrijf te helpen zijn producten of infrastructuur te verbeteren en daarmee de strijd aan te gaan met de criminelen. Deze hackers hoeven niet in dienst te zijn van dit bedrijf. Uiteraard wil je liever een kwetsbaarheid gemeld krijgen door een ethische hacker dan dat het misbruikt wordt door een crimineel. Daarom hebben veel bedrijven op hun website een responsible disclosure programma opgenomen. Hierbij kan een hacker op een veilige manier het bedrijf waarschuwen voor een gevonden kwetsbaarheid. De spelregels geven aan dat het bedrijf een vooraf vastgesteld tijdsbestek heeft om de kwetsbaarheid op te lossen, voordat het eventueel openbaar gemaakt wordt. Visma heeft ook een responsible disclosure programma. Als een kwetsbaarheid wordt gemeld dan wordt de hacker over het algemeen beloond met ‘swags’ en opgenomen in onze ‘Hall of Fame’.
Alsjeblieft, test ons
Maar je kan zelfs nog een stapje verder gaan. Wij hebben sinds 2019 een Bug Bounty programma. Hierin worden hackers uitgenodigd om onze producten te hacken. Wij doen dit door samenwerking met een externe partij. Wij zien deze service als een extra laag van informatiebeveiliging. De hackers zijn echt een aanvulling op onze beveiliging. Juist het menselijke aspect hierin is heel belangrijk. Naast alle tooling die we gebruiken is juist het menselijke brein in staat om het programma te doorgronden en op die manier kwetsbaarheden op te sporen die we niet met tooling kunnen vinden.
Het opsporen van kwetsbaarheden in de cybersecurity vraagt enorme expertise. Via bug bounty platforms zoals Intigriti, HackerOne, Bugcrowd en OpenBugBounty, kan je als bedrijf deze specialisten inschakelen. Deze platforms verbinden bedrijven met penetratietesters en cyberbeveiligingsonderzoekers. Bedrijven betalen voor aanwezigheid op bug bounty platforms terwijl de ethische hackers gratis toegang krijgen. Zij kunnen vervolgens meedoen met openbare bug bounty programma’s. Zie het dus als een freelanceplatform voor hackers.
De ethische hackers worden betaald (bounty) voor de gerapporteerde kwetsbaarheid (bug). Bij de start van een bug bounty programma geven bedrijven de spelregels op, zoals welk soort testen er uitgevoerd mogen worden, op welke onderdelen van het product, etc. De toe te kennen beloningen worden ook van tevoren vastgesteld per soort gevonden kwetsbaarheid. De ethische hacker legt in een rapport vast welke stappen er zijn genomen om de kwetsbaarheid te kunnen misbruiken. Dit is een onderdeel van de win-win situatie. De effectiviteit van de beveiliging wordt gemeten en de hacker krijgt erkenning voor de skills in de Hall of Fame en daarnaast natuurlijk ook met de financiële vergoeding.
Doelen en voordelen
Een bug bounty programma maakt continu testen mogelijk. Dit verloopt immers via het platform in plaats van traditioneel geplande penetratietests door het bedrijf. Het aantal hackers die zo de beveiliging kunnen testen is vele malen groter dan je als bedrijf zelf zou kunnen doen door mensen in dienst te nemen hiervoor. Een bug bounty programma en een responsible disclosure programma voegen een continue beveiligingslaag toe die een bedrijf zelf niet kan leveren. Een ander belangrijk voordeel is de kracht van de menigte. Meer onderzoekers leiden tot meer bevindingen en dus een betere beveiliging. Een bedrijf laat tenslotte zien dat het de beveiliging van IT-middelen serieus neemt.
Visma heeft sinds 2019 een bug bounty een responsible disclosure programma om de informatiebeveiliging te versterken. Hiermee krijgen we voortdurend waardevolle informatie over de effectiviteit van onze beveiliging. Meer dan 150 ethische hackers over de hele wereld werden reeds uitgenodigd voor onze privé bug bounty programma’s. En elke euro die we hieraan besteden, is dat meer dan waard. Als deze kwetsbaarheid door een crimineel zou worden ontdekt zijn de kosten vele malen hoger.
Dit is een ingezonden bijdrage geschreven door Cindy Wubben, Chief Information Security Officer van Visma Benelux. Klik hier voor meer informatie over de SaaS-oplossingen die het bedrijf aanbiedt.