Il progetto realizzato da Unguess dal titolo Caso Milkman Technologies: cybersecurity made in the crowd (risultato finalista ai Digital Awards 2022 per la categoria Information e Cyber Security) aveva l’obiettivo di analizzare il livello di sicurezza dell’ecosistema digitale dell’azienda cliente per individuare eventuali punti deboli e criticità.
Sistemi di protezione, quali rischi
Per proteggere le loro infrastrutture e informazioni, le aziende scelgono di affidarsi a elementi quali antivirus e firewall, all’uso dei proxy, oltre che all’aggiornamento continuo dei sistemi operativi, per non esporsi a rischi in caso di vulnerabilità. Si tratta di soluzioni che, però come noto, hanno una funzione di difesa perimetrale e che non sempre bastano a ostacolare l’accesso dei cybercriminali alle informazioni aziendali.
Molte aziende sottovalutano il fatto che gli stessi dipendenti possono rappresentare un pericolo per i sistemi informativi aziendali. Per esempio, inconsapevoli dei rischi che corrono essi aprono mail potenzialmente contenenti virus, navigano in siti web non affidabili, gestiscono male o, semplicemente, salvano le proprie credenziali in modo inadeguato, per esempio, su dei post-it.
Per non parlare di eventuali dipendenti “infedeli” che, volontariamente, possono operare indisturbati compromettendo o trasmettendo dati, creando vie di accesso agli hacker eccetera.
Come reagire
Per contrastare i rischi connessi alla digital transformation e migliorare la sicurezza dei sistemi informatici, è utile adottare un modello logico e operativo che sfrutti la creatività e le competenze di singoli professionisti, per riconoscere un numero sempre maggiore di vulnerabilità.
Affidare la ricerca di tali vulnerabilità a una community, attraverso una campagna di Bug Bounty (ossia finalizzata a ottenere segnalazioni da numerosi siti internet e sviluppatori), significa adottare un approccio sfidante e innovativo, basato sulla stessa logica con cui evolve l’ecosistema digitale.
Il Crowd è più di un’arma efficace contro il crimine informatico: è una risorsa flessibile, che permette di ampliare la portata degli incarichi di testing, andando oltre la semplice valutazione tecnica del singolo problema, a vantaggio di un’analisi più ampia dei rischi dell’intero sistema.
Il progetto sviluppato da Unguess per Milkman Technologies è consistito nell’avviare una strategia di Remediation, basata sulla condivisione dell’intelligenza e degli skill, che permette agli Ethical Hacker (con certificazioni CEH, GXPN, OSCP, GWAPT) di intercettare malware e ransomware condividendo, poi, le informazioni all’interno della piattaforma di testing.
Nello specifico, gli hacker etici di WhiteJar, il servizio di cybersecurity di Unguess, rappresentano un supporto ai sistemi di protezione già attivati dall’azienda, e hanno l’obiettivo di conoscere in profondità la Security Posture dei sistemi stessi, aumentarne i livelli di protezione ed eliminare eventuali vulnerabilità.
In pratica, secondo quanto indicato da Unguess, adottando un simile approccio qualsiasi azienda può ricevere avvisi di vulnerabilità in tempo reale sfruttando le competenze illimitate e diversificate degli hacker etici e i frutti della collaborazione all’interno della loro community. Inoltre, sono resi disponibili risultati misurabili in tempo reale mediante dashboard apposite e integrazione dei dati.