Quello della sicurezza informatica è uno dei campi fondamentali per la buona riuscita di un’azienda. È innegabile che gli attacchi informatici siano in costante aumento e stiano diventando sempre più sofisticati. Un modo per difendersi da queste minacce, è quello di fare affidamento agli hacker etici.
Gli architetti della sicurezza hanno solitamente una vasta conoscenza del settore ma manca loro un’esperienza diretta di come gli hacker riescano ad eseguire una ricognizione e avere accesso alle reti aziendali. Ed è qui che entra in gioco l’hacker etico detto anche “white hat“. Costui è legalmente autorizzato a “violare” le reti di sicurezza e migliorare i sistemi, correggendo le vulnerabilità riscontrate durante i test. In questo modo può comunicare tutte le falle scoperte nel sistema.
Secondo l’Hacker Report 2019, la comunità degli hacker etici è raddoppiata rispetto allo scorso anno. Nel 2018, infatti, sono stati erogati 19 milioni di dollari in compensi per gli white hat. Ma come si può entrare in contatto con questi individui?
Paolo Arcagni, System Engineer Manager di F5 Network, ce ne parla.
Bug Bounty e Crowdsearching
Il metodo utilizzato più comunemente è la realizzazione di un programma “bug bounty” che operi in base a termini e condizioni rigorosi. Qualsiasi individuo sarà così in grado di segnalare bug e vulnerabilità del sistema all’azienda per ottenere in cambio una ricompensa in denaro. Questo metodo può avere buoni risultati per servizi come siti web o app mobile.
Sfruttare il crowdsourcing e gli incentivi in denaro presenta numerosi ed evidenti benefici. Gli hacker ricevono infatti un riconoscimento, sia in senso stretto sia dal punto di vista reputazionale. Possono poi certificare le proprie capacità all’interno di forum che offrono loro grande visibilità. In cambio, l’azienda che li assume migliora e amplia la propria intelligence di sicurezza e la propria visione.
Assumere un ex criminale informatico è chiaramente una decisione rischiosa che dovrebbe essere valutata caso per caso. È anche vero però che basare le proprie decisioni solo sul controllo dei precedenti penali di un individuo è riduttivo. Spesso sono proprio i giovani ex-criminali a diventare consulenti di sicurezza di tutto rispetto e visionari in questo settore.
Arcagni ha dichiarato: “Nel corso degli anni ho avuto la possibilità di incontrare molti responsabili della security che hanno realizzato nuovi prodotti e soluzioni innovative. La maggior parte di essi mi ha confermato che uno degli aspetti più entusiasmanti oggi è proprio il processo di hacking migliorativo e la raccolta di dati di intelligence. Anche dal punto di vista del riconoscimento ufficiale, l’hacking etico guadagna progressivamente un suo spazio: tra le qualifiche di rilievo oggi figurano la certificazione Ethical Hacker (CEH), l’Offensive Security Certified Professional (OSCP) e la Global Information Assurance Certification (GIAC).”