Proč společnost Salesforce spojila síly se 100 nejlepšími světovými hackery?
Díky online přezdívkám, jako je @82af5ddffbb795, a možnosti pracovat kdekoli, kde je k dispozici připojení Wi-Fi, mohou hackeři pracovat v naprostém utajení.
Součástí toho, jak společnost Salesforce buduje důvěryhodné vztahy se svou sítí etických hackerů, je však potřeba poznání, kdo se skrývá na druhé straně klávesnice. Z tohoto důvodu proběhl minulý měsíc Salesforce Bug Bounty, který pomohl tento virtuální svět spojit v tváří tvář a zúčastnit se živé hackerské akce, kterou pořádala společnost HackerOne. Společnosti Salesforce a HackerOne na toto setkání pozvaly více než 100 nejlepších světových etických hackerů, aby se v londýnském CodeNode „nabourali“ do vybraných produktů Salesforce a odhalili potenciální bezpečnostní problémy. Hackeři soutěžili v řadě hackerských soutěží, včetně „Vigilante“, „Exterminator“ a „Best Collaboration“.
Během akce společnost Salesforce udělila odměny ve výši více než 480 000 dolarů – s jednotlivými výplatami až 32 000 dolarů – výměnou za více než 220 hlášení podezřelých zranitelností.
Přiřazení tváře jménu na obrazovce
Etičtí hackeři jsou oprávněni nabourat se do služeb a systémů, aby odhalili programové chyby nebo bezpečnostní problémy dříve, než je najdou a využijí záškodníci s cílem firmu poškodit.
Joe je jedním z takových hackerů – muž, který se skrývá za přezdívkou @82af5ddffbb795. V síti etických hackerů Salesforce se objevil jako jeden z nejlepších účastníků akce a získal tak prestižní titul „Vigilante“ neboli nejcennější hacker. Ačkoli dává přednost zachování své anonymity online, pravidelně se účastní živých hackerských akcí, protože mu osobní spojení přináší hodnotu.
„Hackingu za který získáváte odměny za dohledání chyby se věnuji už 11 let a na osobních akcích se vždycky dozvím něco nového,“ řekl. „Inženýři společnosti Salesforce byli neocenitelní při objasňování složitých detailů, které mi pomohly při hledání zranitelností. Společně jsme tak Salesforce zabezpečili a navíc jsme se naučil spoustu nových technik a triků!“
„Komunita etických hackerů, na rozdíl od škodlivých hackerů, těží ze sdílení znalostí a budování vzájemné důvěry,“ řekl Joe. „Jistě, všichni soutěžíme o peněžní odměny, ale konečným cílem je zmařit potenciální hrozby a na tom pracujeme všichni společně.“
Další hacker, Elamaran Vengatraman alias @egrep, byl jedním z nejlépe odměněných účastníků akce a předložil zprávy, které byly oceněny jako „Nejvlivnější“ a „Nejunikátnější“.
„Uznání a ocenění v nás podněcují oheň a inspirují nás k překonávání hranic a dosahování větších úspěchů,“ řekl. „Činy týmu Salesforce dokazují, že si etických hackerů hluboce váží a že se snaží podporovat inovace. Vždycky se mi líbil citát: „Nechte jednu chybu naživu a vaše systémy nebudou nikdy v bezpečí,“ protože znamená, že tento typ trvalé spolupráce je pro ochranu lidí a jejich dat zásadní.“
Výhody nad rámec odměn
Budování vztahů s etickými hackery Salesforce a rozšiřování jejich sítě bylo jen jedním z přínosů osobní spolupráce. Dalším klíčovým prvkem byla identifikace a řešení velkého množství potenciálních zranitelností v tak krátkém čase.
„Měli jsme všechny ruce na palubě, takže náš technický tým mohl začít řešit problém ihned po jeho nahlášení,“ řekla Lindsey Swartzová, manažerka bezpečnostních programů ve společnosti Salesforce. „To byl jeden z nejcennějších aspektů osobní přítomnosti – nalezení, oprava a následné interní i externí ověření opravy, to vše v reálném čase.“
Virtuální aspekt programu Bug Bounty z něj činí jedno z nejlépe škálovatelných a nejefektivnějších bezpečnostních opatření společnosti, které umožňuje současně zapojit etické hackery z celého světa do nepřetržitého testování. To však někdy může vést ke zpožděné komunikaci mezi časovými pásmy.
„Když se účastním virtuálně z Japonska, často dostávám odpovědi na zprávy, které posílám, až po jedné hodině ráno mého času, což ztěžuje hloubkové rozhovory,“ řekl @RyotaK, který na akci získal titul „Exterminator“ neboli nejvlivnější hacker. „Díky osobnímu setkání s týmem Salesforce jsme mohli diskutovat o obtížných problémech a poskytovat důkazy konceptu v reálném čase.“
Ačkoli bezpečnostní tým Salesforce pořádá každý měsíc porady s etickými hackery, kde probírají svá zjištění, tato úroveň přístupu k jejich myšlení byla jedinečná.
„Měli jsme možnost nahlédnout jim přes rameno a vidět, jak hackeři pracují v reálném čase,“ řekl Swartz. „S mnoha z těchto výzkumníků spolupracujeme už léta, ale poprvé od roku 2019 jsme měli možnost setkat se s nimi tváří v tvář, sedět s nimi v místnosti a vidět, jak spolupracují a doplňují své dovednosti, aby objevili ještě závažnější chyby, než by mohli objevit jednotlivě.“
„Mohli jsme vidět obrazovky několika hackerů v místnosti najednou a bylo pro nás zajímavé sledovat každý z jejich odlišných přístupů,“ řekl Andrew Leeth, ředitel produktové bezpečnosti ve společnosti Salesforce. „Vzhledem k neustále se vyvíjejícímu prostředí hrozeb jsou tyto poznatky z první ruky zásadní pro proniknutí do mysli hackerů – zejména pro to, jak využívají umělou inteligenci – a pomáhají tak posílit naše interní bezpečnostní úsilí.“.
Odměny za chyby v číslech
Společnost Salesforce spustila svůj program odměn za chyby v roce 2015 – jako jedna z prvních podnikových organizací – a tato iniciativa je i nadále jedním z jejích nejvlivnějších bezpečnostních programů. V roce 2022 bylo v rámci programů odměn za chyby Salesforce a Slack vyplaceno více než 2,9 milionu dolarů, přičemž jednotlivé odměny dosahovaly výše až 48 000 dolarů. Od založení programu udělila společnost Salesforce odměny v celkové výši 15,1 milionu dolarů.
Společnost Salesforce neustále rozvíjí svůj program odměn za chyby a spolupracuje s větším počtem etických hackerů, aby ochránila téměř 100 % rostoucího portfolia produktů společnosti a usnadnila hackerské testování mnoha produktů na počátku jejich vývojového cyklu.
Chcete-li se informovat o účasti v programu odměn za chyby společnosti Salesforce, který je určen pouze pro zvané, kontaktujte security@salesforce.com.
Prozkoumejte dále
- Další informace o programu Bug Bounty společnosti Salesforce
- Poslechněte si jednoho z nejlepších etických hackerů společnosti Salesforce o jeho zkušenostech s odměnami za chyby.
- Zde si můžete prohlédnout tipy a zdroje společnosti Salesforce týkající se kybernetické bezpečnosti.