По мере роста количества онлайн-устройств и развертывания сверхбыстрых соединений 5G рекордное количество компаний предлагает щедрые награды этичным хакерам, успешно атакующим их системы кибербезопасности. Рассказываем, как устроена эта индустрия, сколько зарабатывают хакеры на санкционированном взломе и что их мотивирует, кроме денег.
Почему выросла потребность в безопасности?
Интернет вещей (internet of things, IoT) — концепция вычислительной сети физических предметов («вещей»), оснащённых встроенными технологиями для взаимодействия друг с другом или с внешней средой. Концепция IoT рассматривает организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее необходимость участия человека во множестве процессов и операций.
Концепция сформулирована в 1999 году как осмысление перспектив широкого применения средств радиочастотной идентификации для взаимодействия физических предметов между собой и с внешним окружением.
Именно быстро расширяющаяся сфера устройств, подключенных к интернету (IoT), которая включает в себя интеллектуальные телевизоры и бытовую технику, станет еще более распространенной, когда сети 5G станет более доступным. Это представляет собой одну из самых серьезных угроз для цифровая безопасность будущего. Чтобы противостоять этому, все больше компаний нанимают «этичных хакеров».
Кто и почему нанимает хакеров?
Этичный хакер или белый хакер, а также на сетевом сленге «белая шляпа» (от англ. White hat) — специалист по компьютерной безопасности, который специализируется на тестировании систем защиты от киберугроз. В отличие от чёрных шляп (чёрных хакеров), белые хакеры ищут уязвимости на добровольной основе или за плату с целью помочь разработчикам сделать их продукт более защищённым.
На конференции по безопасности, недавно организованной Nokia, этичный хакер Керен Элазари сказала, что привлечение хакеров, многие из которых являются любителями, для поиска уязвимостей «шесть-восемь лет назад считалось модным лишь для Кремниевой долины».
Но «программы вознаграждения за поиска ошибок» теперь предлагают самые разные организации — от Пентагона и банков, таких как Goldman Sachs, до авиакомпаний, технологических гигантов и тысяч предприятий малого и среднего бизнеса.
Рост кибератак
Представители крупнейшей платформы для поиска уязвимостей в компьютерных системах, HackerOne (насчитывает 800 000 хакеров) сообщили, что ее организации выплатили в этом году рекордные $44 млн (более 3 млрд рублей). Это на 87% больше, чем за предыдущие 12 месяцев.
«Работа всего одного штатного инженера по безопасности в Лондоне может стоить компании $106 000 в год, в то время как мы даем компаниям шанс поработать с глобальным сообществом, в котором состоит сотни тысяч хакеров с огромным разнообразием навыков, — заявил Праш Сомайя, архитектор решений безопасности в HackerOne в интервью AFP. — Преступники находят все новые и очень умные способы обхода защиты цифровых устройств».
Сомайя добавил что теперь HackerOne регулярно отправляет своим хакерам подключенные к интернету игрушки, термостаты, скутеры и автомобили, чтобы они попытались взломать их.
Отрезвляющим примером стала кибератака «Mirai» 2016 года, в ходе которой злоумышленники взяли под контроль 300 000 незащищенных устройств, включая принтеры, веб-камеры и телевизионные рекордеры. В итоге это привело к отключению сайтов СМИ, компаний и правительств по всему миру.
«В будущем 5G мы говорим обо всех возможных устройствах, имеющих соединения с высокой пропускной способностью, а не только о вашем компьютере или телефоне», — предупреждает этичный хакер Элазари.
В октябре Nokia объявила, что число заражений вредоносными программами на устройствах IoT выросло на 100% в предыдущем году. В своем отчете компания подчеркивает, что каждое новое приложение 5G предлагает преступникам «больше возможностей для нанесения ущерба и получения выкупа».
Затраты на безопасность
Награды для хакеров могут быть высокими: 200 пользователей HackerOne уже требуют за свою работу более $100 000, а девять хакеров получают больше миллиона долларов прибыли.
Apple, которая рекламирует свою собственную программу поощрения поиска ошибок, увеличила максимальное вознаграждение до более чем 1 миллиона долларов в конце прошлого года для хакера. От него требуется найти «уязвимость нулевого дня», которая позволит кому-либо получить доступ к устройству без участия пользователя.
«Важным стимулом, конечно, является денежное вознаграждение. Однако зачастую хакерам интересно понять, как что-то построено, чтобы сломать защиту и просто разорвать ее на части», — заявил Сомайя. — Быть тем самым человеком, который способен взламывать многомиллиардные компании, — это и есть настоящий кайф».
По словам HackerOne, наплыв компаний, переходящих на удаленную работу во время пандемии, также привел к «всплеску хакерских атак», в результате чего число зарегистрированных хакеров увеличилось на 59%, а выплачиваемое вознаграждение увеличилось на треть.
Сомайя добавил, что правительства Франции и Великобритании являются одними из тех, кто открыл приложения для отслеживания коронавируса дружественным хакерам.
Новые требования к кибербезопасности для организаций
В то время как интернет-системы 5G будут иметь новые функции безопасности, встроенные в сетевую инфраструктуру — чего раньше не было, — новая технология, кроме всего прочего, намного сложнее своих предшественников. Это оставляет больше возможностей для проблем с безопасностью из-за человеческого фактора.
«Большой риск неправильной конфигурации и неправильного контроля доступа: именно эти сбои представляют наибольшую проблему», —объясняет Силке Холтманнс, женщина-руководитель отдела исследований сетей 5G в компании AdaptiveMobile, занимающейся кибербезопасностью.
Но, по мнению Холтманнс, компании готовы решать проблемы — вопросы безопасности активно поднимаются на повестку дня во всем мире.
ЕС вместе с правительствами всего мира начал ужесточать требования к кибербезопасности для организаций, и штрафы за утечку данных растут.
«Раньше компаниям было трудно оправдать пере инвесторами растущее финансирование безопасности, — заключает Холтманнс, член консультативной группы ЕС по кибербезопасности. — Но это время в прошлом. Все понимают, что поставлено на карту».
Источник: роботы с сайта hightech.fm