Redactie - 09 juni 2022

Intigriti: Crowdsourced security: 50.000 hackers zoeken naar lekken

Elk bedrijf heeft kwetsbaarheden. Hoe ga je die opsporen? Je kunt één consultant op zoek laten gaan, maar hoe zou het zijn om tientallen hackers continu te laten zoeken? Dat heet crowdsourced security. Intigriti biedt een platform waar inmiddels 50.000 hackers zijn aangesloten die op basis van een bounty op zoek gaan naar kwetsbaarheden. ‘Wij bieden de kracht van velen’, vertelt Inti de Ceukelaire, head of hackers bij Intigriti.

‘Als organisaties een pen-test laten uitvoeren, dan voert een consultant een test uit op basis van een checklist en een methodologie die zich door de jaren heen heeft ontwikkeld. Is de pen-test succesvol, dan krijgen ze een certificaat. Maar dan ben je alleen op papier veilig. Als bedrijven bij ons komen met zo’n certificaat, dan hebben wij in 70 procent van de gevallen binnen 48 uur een hoge kwetsbaarheid gevonden.’

Kleine kans dat één persoon alles vindt
Aan het woord is Inti de Ceukelaire, head of hackers bij Intigriti. Hij heeft niets tegen pen-testers en hij heeft ook zelf zijn eigen methodologie ontwikkeld. Het probleem zit ‘m erin dat zo’n penetratietest een momentopname geeft en de veiligheid vanuit één perspectief heeft bevestigd, namelijk die vanuit de consultant. ‘Ik kan ook hacken, maar de kans is niet zo groot dat ik in mijn eentje alles vind.’

Hij gelooft meer in crowdsourced security; de kracht van velen. Ongeveer 50.000 hackers hebben zich aangesloten bij het platform van Intigriti om kwetsbaarheden te vinden bij klanten en daarvoor beloond worden. Het is overigens niet zo dat organisaties die zich aansluiten worden bezocht door 50.000 hackers. ‘Ik vergelijk ons weleens met Tinder: wij matchen de juiste hackers aan de juiste bedrijven.’

Geen mensen met een hoodie die werken vanuit mama’s kelder
‘Het leuke aan het platform is dat er elke week nieuwe mensen bijkomen en zo is een hele diverse groep ontstaan’, vertelt De Ceukelaire. Die diversiteit wordt visueel duidelijk als je de website bezoekt, waar hackers zichtbaar worden gemaakt. ‘We wilden met de persoonlijke tekeningen af van het idee dat hackers mensen met een hoodie zijn die werken vanuit de kelder van hun mama. Het laat ook goed zien met hoeveel en hoe divers we zijn.’

De aangesloten hackers werken op basis van een bug bounty. Dat betekent dat ze betaald krijgen op basis van de kwetsbaarheden die ze vinden. Ook krijgen sommigen van hen voor bepaalde betrekkeningen een basisinkomen voor hun inzet, maar in principe wordt een hacker niet afgerekend op het aantal uren dat ze werken. Dat heeft als voordeel dat hackers niet eenmalig een penetratietest doen, maar blijven zoeken naar kwetsbaarheden om meer bounties binnen te halen.

De kracht van velen én van continuïteit
De Ceukelaire: ‘Onze hackers bijten zich echt vast in hun werk en stoppen niet omdat een opdracht is afgerond zoals consultants dat doen. Als ze bijvoorbeeld een kwetsbaarheid vinden bij de ene klant en de situatie is vergelijkbaar met de andere klant, dan gaan ze daar ook kijken. Als je werkt met crowdsourced security dan heb je dus niet alleen de kracht van velen, maar wordt er ook continu gezocht naar kwetsbaarheden.’

Het is geen overbodige luxe om continu te zoeken naar kwetsbaarheden. De pandemie heeft maar weer eens laten zien hoe snel organisaties hebben moeten schakelen met als resultaat een groeiende attack surface. ‘Door COVID19 staan veel oplossingen ineens open op de cloud. Ik probeerde bijvoorbeeld om toegang te krijgen tot interne helpdesks en ik kon bij meerdere organisaties een ticket aanmaken voor een onkostenvergoeding.’

Geen negen tot vijf baan
Waarom kunnen organisaties zelf niet de experts vinden om deze kwetsbaarheden op te sporen? ‘Misschien is er te weinig talent, dat meer mensen moeten kiezen voor de opleiding. Maar ik geloof niet dat dat de enige reden is. Ik zie het zo: je hebt consultants die hacken, maar niet alle hackers willen met een das om naar het werk. Er is geen gebrek aan talent, maar gebrek aan zin om van negen tot vijf voor een baas te werken.’

De hackers die bij Intigriti werken, bepalen zelf voor wie en wanneer ze werken. ‘Dat past perfect bij de work-from-home-cultuur die door de pandemie is ontstaan. Ik denk ook dat de pandemie voor onze hackers goed is geweest. In onze jaarlijkse Ethical Hacker Report zegt 59 procent bijvoorbeeld dat ze meer tijd aan bug bounty hunting besteden dan voor de pandemie. En dat zie je ook terug in de aanmelding bij Intigriti die booming is geweest. Veel hackers willen niet meer terug naar een traditionele werkomgeving en 65 procent heeft zelfs besloten het fulltime te doen.’

Een frisse blik
Maar naast dat hackers misschien niet fulltime bij organisaties willen werken, is het juist een voordeel als hackers van buiten komen, vertelt De Ceukelaire. ‘Ze kijken met een frisse blik, zijn unbiased en zien kwetsbaarheden die interne specialisten niet zien. We hebben situaties gehad waarbij hackers binnen een paar minuten al een aantal simpele kwetsbaarheden vonden, waar de interne medewerkers al maanden overheen keken.’

Zelfs voor organisaties die geen budget hebben, kunnen ze hackers uitnodigen om kwetsbaarheden op te sporen, vertelt De Ceukelaire. ‘Je kan een Responsible Disclosure Policy opzetten, waarbij je aangeeft dat als hackers kwetsbaarheden vinden, ze die kunnen melden via een bepaald e-mailadres. Dat is dan onbetaald, want voor bedrijven is het vaak te veel werk om een bonussysteem te implementeren.’

Niets gedaan met bevindingen
Een Responsible Disclosure Policy is wel het minste dat je kunt doen voor ethische hackers die kwetsbaarheden bij je vinden, vindt De Ceukelaire: ‘De grootste frustratie van hackers is als er niets wordt gedaan met hun bevindingen. Als ze geen contact kunnen krijgen met de juiste persoon, dan proberen ze via de customer service contact te leggen en uit te leggen waar het lek zit. Maar customer service denkt dan juist dat ze gephished worden.’

Opvallend is dat bedrijven openlijk melden hoeveel kwetsbaarheden zijn opgelost door Intigriti. Daar is geen enkele schaamte over, vertelt De Ceukelaire. ‘Ik zie echt een shift. Organisaties schamen zich niet meer voor hun kwetsbaarheden, want iedereen heeft ze. De vraag is: hoe ga je ermee om? En dan kan je maar beter open en transparant zijn, zeker als je wilt laten zien wat je allemaal doet om een aanval te vermijden.’

Aan de slag voor het Pentagon
Ook traditionele organisaties zoals banken organiseren tegenwoordig live hacking events. ‘Communicatie is dan ook aanwezig om de resultaten organisatie-breed en daarbuiten te kunnen delen. Enkele jaren geleden was ik zelfs bij het Pentagon voor een hacking event. Ook waren er journalisten aanwezig. Die avond vonden we 177 kritieke kwetsbaarheden. Dat werd letterlijk toegejuicht: kijk ons eens ons land beschermen. Het is echt iets om fier op te zijn.’

Auteur: Anne van den Berg

Axians 12/11/2024 t/m 26/11/2024 BN+BW