Coğrafi Odak: Asya, Coğrafi Özel, Yönetişim ve Risk Yönetimi
Güç durumdaki Etik Hackerlar Başarı Parıltıları Görüyor Ama Önümüzde Uzun Bir Savaş Var
Jayant Chakravarti (@JayJay_Tech) •
1 Kasım 2024
Hindistan’ın 200.000 kişilik güçlü etik hackleme topluluğu, siber güvenlik liderlerinin ilgisizliği de dahil olmak üzere başarıya giden birçok engelle karşılaştı, ancak en ileri beceriler ve tutkuyla donanmış yeni çağ hackleme toplulukları, yavaş ama emin adımlarla kuruluşlarla uzun süredir var olan güven açığını kapatıyor.
Ayrıca bakınız: Proaktif Maruz Kalma Yönetimiyle Siber Güvenliği Dönüştürün
2022 yazında, acemi bir siber güvenlik girişimi, birkaç melek yatırımcıdan 500.000 dolarlık bir başlangıç fonu aldıktan sonra Hindistan’ın ticari yayınlarında manşetlere çıktı. 20 yaşındaki iki siber güvenlik meraklısı tarafından yetiştirilen BugBase’in başarısı, daha önce çok az başarı öyküsü olan ülkenin çeşitli etik hacking iş gücü arasında önemli bir kültür değişimini temsil ediyordu.
Siber güvenlik tutkusunu sürdürmek için üniversiteyi bırakan firmanın kurucu ortağı Dhruva Goyal, firmanın “etik bilgisayar korsanları ve şirketler arasındaki verimli etkileşimleri kolaylaştırmayı” umduğunu söyledi. Bu alanda başarıya ulaşmak için çok çaba harcayan emektar etik hackerlara göre Goyal’in hedefi topluluğun hedefini yansıtıyor.
Siber suç danışmanı olarak işe başlayan ve etik hackleme ve siber adli tıp üzerine yüzlerce atölye çalışması yürüten deneyimli risk analisti Sunny Vaghela, “Etik hacklemenin var olmadığı bir dönemden geliyorum” dedi. “Ortam bir miktar iyileşti ancak topluluk, kendine ait bazı endişeleri olan kurumsal siber güvenlik liderlerinden daha fazla yanıt almakta zorlanıyor.”
Vaghela, Hindistan’daki pek çok baş bilgi güvenliği görevlisinin, güvenlik açığı değerlendirmeleri veya sızma testlerine kaynak ayırma konusunda zorluk yaşadığını belirtti. İşin en kritik yönlerine odaklanırlar ve bu, beyaz şapkalı toplulukla rutin etkileşimi etkiler. “VAPT programları için başvurduğumuz 50 kuruluştan muhtemelen bir veya ikisi yazılımlarını test etmeyi kabul ediyor.”
Kolaylık Evliliği
Çok yakın zamana kadar etik hack topluluğu, kuruluşlardan kayıtsız ve çoğu zaman düşmanca tepkiler alıyordu. Hintli bilgisayar korsanları, HackerOne ve BugCrowd gibi küresel platformlarda güvenlik açığı bildirimleri ve ödemelerinde zirveye ulaştı, ancak 2021 gibi yakın bir tarihte Hindistan’da 10’dan az şirket aktif hata ödül programları yürütüyordu (bkz: Hindistan’da Hata Avcıları için Ödül Yok).
Sayı önümüzdeki üç yılda önemli ölçüde arttı, ancak genel katılım eksikliği çeşitli nedenlerden dolayı devam ediyor. Etik bilgisayar korsanlığı topluluğu Breachpoint’in CEO’su Shifa Cyclewala, Information Security Media Group’a şunları söyledi: “Birçok Hintli kuruluş, etik bilgisayar korsanlarıyla bağlantı kurmak ve hata ödül programlarına katılmak konusunda, bu programların kendilerine nasıl fayda sağlayabileceğini anlamadıkları için hala tereddüt ediyor.”
Diğer bir neden ise CISO’ların gelen kutularını dolduran çok sayıda güvenlik açığı raporu karşısında şaşkına dönmeleridir. BugBase’den Goyal, ISMG’ye Hindistan etik hackleme topluluğunun yaklaşık 200.000 istekli, yetenekli ve motive güvenlik meraklısına sahip olduğunu ve ortalama CISO’nun her gün güvenlik açıklarıyla ilgili yaklaşık 20 ila 30 e-posta aldığını söyledi. “CISO’lar genel olarak hacker raporlarını görmezden geliyor” dedi.
Etik hack topluluğu için bu duygu karşılıklıdır. Bilgisayar korsanları, siber güvenlik sektörüne sunacakları çok şey olduğuna ve sektörün çeşitli şekillerdeki siber suçlarla mücadele etmek için ihtiyaç duyduğu becerilere sahip olduklarına inanıyor ancak sektörün işleyişinden memnun değiller.
Cyclewala, etik hackerların kuruluşlarla ilişkiler kurarken çeşitli engellerle karşılaştıklarını söyledi. Bunlar arasında kuruluşların iyileştirme sürecini geciktiren ve daha fazla katılımı engelleyen uzun yanıt süreleri; hataların nasıl raporlanacağı konusunda belirsizliğe yol açan yapılandırılmış güvenlik açığı açıklama politikalarının eksikliği; hukuki ve usuli engeller; ve bilgisayar korsanlarının motivasyonunu kıran düşük veya tutarsız hata ödülü ödülleri.
Vaghela’ya göre siber güvenlik karar vericileri, bir güvenlik açığından yararlanmanın işletme üzerinde yaratabileceği maksimum etki açısından riskleri ölçme becerilerini geliştirmeli. Risk ölçümü olmadığında güvenlik açığı raporlarını ciddiye almak zordur.
Şu anda önde gelen bir bilgisayar korsanlığı farkındalık forumunu yöneten ve hükümet yetkililerine, polis memurlarına ve üniversite öğrencilerine siber güvenlik konusunda eğitim veren deneyimli bir etik bilgisayar korsanı olan Sai Satish, ISMG’ye şirketlerin etik bilgisayar korsanlarıyla olan ilişkilerinde son zamanlarda yaşanan gelişmelerin GDPR gibi gizlilik odaklı düzenlemeler tarafından teşvik edildiğini söyledi. , veri koruma yasaları ve ilgili politikalar.
“Birçok kuruluş, kaynaklarına sızmak için bilgisayar korsanlarını işe almaya başladı, ancak bu hala nispeten küçük bir sayı” diyor. “Siber güvenlik uzmanları ve kuruluşları arasında daha fazla işbirliği için çok fazla potansiyel var ve bu, büyümeye devam etmesi gereken bir şey.”
Herkese Uygun Değil
Etik bilgisayar korsanlığı endüstrisindeki uzmanlar, CISO’ları ağların ve hassas iş bilgilerinin güvenliğini sağlama konusunda güvenilir ortaklar olabileceklerine ikna etmek için topluluğun gerçek dünyadaki becerileri, dürüstlüğü, dürüstlüğü ve başarı geçmişini sergilemesi gerektiğine inanıyor.
Kurucu ortak Kathan Desai ile birlikte BugBase’i dört yıl içinde 200 kişilik güçlü bir etik hacker topluluğuna dönüştüren Goyal, ISMG’ye topluluğun çeşitli zorluklarla karşılaştığını ancak sıkı çalışmanın, dürüstlüğün ve birikmiş deneyimin bu zorlukların üstesinden gelmesine yardımcı olacağına inandığını söyledi.
Goyal, “Bu, merakla ve ne öğrendiğinizle ilgili” dedi ve gerçek sertifikaların ve rekabetçi hackathonların, etik bir hacker’ı şekillendirmede üniversite diplomalarından çok daha büyük bir rol oynadığına inandığını ekledi. BugBase üyeleri rutin bayrak yakalama etkinliklerine, simüle edilmiş bilgisayar korsanlığı yarışmalarına katılır ve becerilerini geliştirmek için gerçek sertifikalar alırlar.
SecOps ve CISSP veya Certified Information Systems Security Professional gibi sertifikaların çoktan seçmeli soru bazlı değerlendirmeler olduğunu ve çok az değer taşıdığını düşünüyor. OffSec tarafından sunulan OSCE³ veya Offensive Security Certified Expert 3 gibi sertifikalar, bir bilgisayar korsanının yeteneğini ve azmini gerçek anlamda test edebilir.
OffSec’e göre, OSCE³ adayların geçmesi ve geçmesi gereken üç ileri düzey kurs içerir: Gelişmiş Web Saldırıları ve İstismar (WEB-300), Gelişmiş Kaçınma Teknikleri ve İhlal Savunmaları (PEN-300) ve Windows Kullanıcı Modu Exploit Geliştirme (EXP-301). Yeterliliklerini göstermek için her ders için 48 saatlik gözetmenlik sınavları. “OSCE3 kararlılığın, bilginin ve becerinin sembolüdür” diyor.
Goyal, “Teknik altyapıya sahip CISO’lar her hackathonun ve sertifikasyonun değerini anlıyor ve pratik değeri çok az olan sertifikalar taşıyorsanız, bir mil öteden geldiğinizi görecekler” diyor.
Goyal, topluluk üyelerinin beceri seviyelerini yükseltmenin yanı sıra, çeşitli topluluğu birleştirmenin, en iyi bilgisayar korsanlarına işbirliği yapma ve kurumsal platformlara sızmak için BugBase Sürekli Güvenlik Açığı Değerlendirme Platformunu kullanma şansı vermenin değerli olduğunu düşünüyor.
“Yeteneklerimizi sergiliyoruz ve CISO’lara yazılımlarını sürekli olarak nasıl izleyebileceğimizi ve güvenlik açıklarını gerçek zamanlı olarak nasıl raporlayabileceğimizi gösteriyoruz” diyor. “Teknik CISO’lar yeteneklerimize ikna olana kadar ödeme yapmazlar ve biz de katılımcı bilgisayar korsanları için onları teşvik eden ve motive eden minimum ödül eşiğini müzakere etmek için becerilerimizi ve performansımızı kullanırız.”
BugBase gibi toplulukların yolu gösterdiğine inanıyor ancak etik hackleme topluluğunun daha da güçlenmesi gerekiyor. “CISO’lar, hata ödül programlarını yürütmek için onay ve bütçe almakta zorlanıyor. Tek başına hareket edenlerin aksine, mükemmel becerilere ve dürüstlüğe sahip birleştirilmiş beyaz şapka hackleme grupları, CISO’lara etkili programları yürütme konusunda daha fazla güven ve esneklik sağlayacak” diye ekliyor .
Etik hackleme platformu artık işletmelere çeşitli güvenlik değerlendirme hizmetleri sunan Vaghela, hackerlar için sürekli eğitim ve gelişimin önemini de vurguladı. “Şirket içi hata ödül programları yürütüyoruz, güvenlik açığı değerlendirmesi ve sızma testi programları yürütmek için üniversiteler ve kuruluşlarla doğrudan bağlantı kuruyoruz ve üyelerimizin NullCon gibi eğitici konferanslara katılmasını sağlıyoruz. Bu alıştırmalar, etik bilgisayar korsanlarının deneyim geliştirmelerine, başarılarını listelemelerine ve puan kazanmalarına yardımcı oluyor şöhretlerden” dedi.
İşin Değerlendirilmesi
Vaghela, etik bir bilgisayar korsanının işinin yalnızca şirketlerle ortaklık kurmak ve gelir elde etmek olmadığını, aynı zamanda her güvenlik açığına dikkat etmek ve iş için para almasalar bile bunu düzeltmek için çaba göstermek olduğunu söyledi.
Pune’da popüler bir borsa aracılık uygulamasında bir kusur keşfeden ve bunu bildiren 19 yaşındaki bir bilgisayar korsanının örneğini verdi. Geliştirici yanıt vermediğinde, bilgisayar korsanı menkul kıymetler düzenleyicisi, Hindistan’ın bilgisayar acil müdahale ekibi veya CERT-In ve diğer kurumlarla temasa geçti ve geliştiricinin uygulamaya yama yapmasını sağladı.
Siber güvenlik topluluk platformlarını işleten ve çeşitli hükümet bakanlıklarıyla yakın işbirliği içinde çalışan kar amacı gütmeyen bir siber güvenlik kuruluşu olan ISAC Vakfı’nın yöneticisi Rajshekhar Pullabhatla, ISAC’ın özel hata ödül platformu Breachpoint’teki etik bir bilgisayar korsanının, istismar edilmesi halinde güvenlik açığını ortadan kaldırabilecek kritik bir yazılım güvenlik açığını nasıl bildirdiğini paylaştı. Lider bir sigorta şirketini ciddi şekilde riske atmak.
Rajshekhar, “Yazılım sağlayıcı yanıt vermediğinde, bilgisayar korsanı proaktif olarak CERT-In ile temasa geçti ve satıcıyı dahil etmek ve güvenlik açığını düzeltmek için yetkililerle birlikte çalıştı.” dedi. “Çalışmalarından etkilenen satıcı, gelecekteki siber güvenlik projelerini güvenlik açığı değerlendirmelerinden daha ayrıntılı bir şekilde yürütmesi için onu sözleşmeye dayalı olarak görevlendirdi.”
Hükümetin Yardım Eli
Sai Satish’e göre hükümet, her iki grubun da yararına, kuruluşlar ve etik hack topluluğu arasındaki etkileşimi artırmada önemli bir rol oynayabilir.
“Hindistan’daki hata ödül programları hala çok sınırlı. Hükümet, Smart India Hackathon gibi girişimlerden ilham alabilir ve kaynakları üzerinde daha fazla penetrasyon testini teşvik edebilir” dedi. “Çoğu özel kuruluş bu programlardan haberdar bile değil ve farkındalığı artırmak için çok fazla alan var. Hükümet, etik bilgisayar korsanlarına daha fazla fırsat yaratmak için güvenlik açığı açıklama programlarını düzenli olarak organize etmeli ve teşvik etmelidir.”
Rajshekhar, genel müdür Sanjay Bahl liderliğindeki CERT-In’in siber güvenlik olaylarını önlemek ve hafifletmek için şu ana kadar etkili bir rol oynadığını söyledi. “CERT-In tarafından atılan temel olmasaydı, araştırmacıların büyümesi, hata ödül platformları ve Hindistan’daki daha geniş siber güvenlik ortamı mevcut potansiyeline ulaşamazdı” diyor.
Hindistan hükümeti Şubat ayında Ulusal Kritik Bilgi Altyapısı Koruma Merkezi aracılığıyla, etik bilgisayar korsanlarının ülkenin kritik bilgi altyapısını kontrollü bir ortamda test etmesine olanak tanıyan bir girişim başlattı. Rajshekhar, siber güvenlik topluluğunun geniş katılımını içeren bu tür tatbikatların siber savunmaları güçlendirmeye ve güvenli bir dijital alan beslemeye yardımcı olabileceğini söyledi.