We hebben onlangs gesproken met Wendy Ng, Principal Cloud Security Architect bij OneWeb, om te praten over hun ervaring met hun privé HackerOne bug bounty-programma. Wendy deelde de aanpak van OneWeb voor het versterken van hun cloud- en applicatiebeveiliging en waarom de organisatie gelooft dat de expertise van hackers de waardevolle activa onder hun bevoegdheid het beste kan beschermen. Lees deze Q&A om te horen waarom OneWeb de hackercommunity als sleutel beschouwt voor het beschermen van de systemen die LEO-satellieten ondersteunen.
Vertel ons wie je bent.
Hallo, ik ben Wendy Ng, OneWeb’s Principal Cloud Security Architect en onderdeel van het Shared Services-team dat elk onderdeel van onze organisatie, haar infrastructuur, bedrijfsmiddelen, partners en klanten ondersteunt en beschermt. Met een achtergrond in infrastructuur en cloudbeveiliging ben ik een getrainde wetenschapper met een doctoraat in medische genetica van de Universiteit van Oxford. Die training en focus op samenwerking hebben mijn wens beïnvloed om kennis en ervaring te delen met de gemeenschap als onderdeel van mijn carrière in cybersecurity.
Ik heb meer dan 70 blogs geschreven, waaronder een artikel voor de Cloud Security Alliance, en heb ook het voorrecht gehad om ervaringen en observaties uit de branche te delen op conferenties, waaronder keynotes op Blackhat en de Financial Times Live-webinarserie. Ik ben een echte technofiel: ik geloof dat wetenschap en technologie zullen helpen om vooruitgang en ontwikkeling te stimuleren.
Waarom is cyberweerbaarheid zo cruciaal voor OneWeb?
Wij zijn een satelliettelecommunicatiebedrijf dat gespecialiseerd is in het gebruik van satellieten met een lage baan om de aarde (LEO) voor egalitaire breedbandconnectiviteit op de moeilijkst bereikbare plaatsen op aarde. Ondanks het kritieke belang van internet voor onze gedigitaliseerde manier van leven, kan de toegang in grote delen van de wereld fragmentarisch of helemaal niet bestaan. En zelfs in ontwikkelde landen zoals de VS en het VK zijn er gebieden waar betrouwbare, snelle en betaalbare breedbandverbindingen niet beschikbaar zijn.
Gezien het belang van internet als infrastructuur die enkele van onze meest gevoelige informatie en kritieke activiteiten afhandelt, is het voor OneWeb van cruciaal belang om de systemen te beschermen die onze oplossing ondersteunen. Met de tientallen jaren praktische ervaring van het Shared Services-team in het beschermen van organisaties tegen cyberbeveiligingsaanvallen, zijn we ook pragmatici en begrijpen we dat controles in verhouding moeten staan tot de eisen van belanghebbenden.
We geloven sterk in “Security through Transparency” in plaats van de traditionele “Security through Obscurity”-benadering. Om deze reden zijn we in juli 2021 met HackerOne een Vulnerability Disclosure Program (VDP) gestart, en in maart 2022 zijn we overgegaan naar een privaat bountyprogramma voor bugs. We streven ernaar om ons programma in de nabije toekomst volledig openbaar te maken.
Vertel ons over uw digitale online diensten.
Naast een technologiegericht satellietcommunicatiebedrijf, zijn we ook een moderne gedigitaliseerde organisatie met geavanceerde zakelijke en operationele systemen. In overeenstemming met de ‘Cloud First’-benadering van OneWeb en om het bedrijf beter te ondersteunen, zijn deze services en systemen online beschikbaar, wat de bruikbaarheid ondersteunt, maar het aanvalsoppervlak voor de organisatie en onze belanghebbenden aanzienlijk vergroot.
Als bedrijf houden we ons aan het principe van Secure by Design. Geen enkele praktijk, patroon, norm of principe is echter perfect. De gemeenschap van gespecialiseerde hackers via het HackerOne-programma is van onschatbare waarde geweest bij het veiligstellen van onze activa en het stimuleren van gedragsverandering bij ontwikkelings- en leveringsteams bij OneWeb.
Vertel ons over een keer dat een hacker u hielp een kwetsbaarheidstrend te ontdekken en op te lossen.
OneWeb is een cloud-first organisatie en waar mogelijk geven we er de voorkeur aan om gebruik te maken van SaaS-aanbiedingen voor gebruiksgemak en minimale beheeroverhead. Een nadeel van SaaS-aanbiedingen is dat het uitvoeren van specifieke pentesting meestal niet mogelijk is. Met het HackerOne-programma hebben we dankzij specialisten in de community echter een zekere mate van zekerheid kunnen bieden, zelfs op systemen van derden.
Een voorbeeld van uitstekend werk van een communitylid is het identificeren van een cruciale weerspiegelde XSS-kwetsbaarheid in een SaaS-product onder het oneweb.net-productiesysteem. Het interne ontwikkelingsteam van OneWeb heeft een rapport ingediend bij de SaaS-leverancier, die een patch heeft uitgebracht voor allemaal van hun klanten (een kwetsbaarheid toegewezen aan een CVE met een 6,3 CVSS-score voor het mogelijk vrijgeven van klantinformatie). Als gevolg hiervan verbeterde ons bug bounty-programma direct de beveiliging van het SaaS-product van een grote leverancier.
Hoe hebben hackers u geholpen uw aanvalsoppervlak te versterken?
De HackerOne-community is grondig, professioneel, responsief en enthousiast om diep te duiken en ons te helpen problemen te onderzoeken! Rapporten van hen zijn gedetailleerd, vaak met stapsgewijze handleidingen en video’s die de door hen geïdentificeerde kwetsbaarheden demonstreren.
Een belangrijke bevinding identificeerde informatie die toegankelijk was op een manier die wij niet goedkeurden. Deze bevinding hielp ons bij het verbeteren van geselecteerde informatiebeheer- en bestuursprocessen, het introduceren van nieuwe bewakings- en detectiemogelijkheden en als resultaat het aanvalsoppervlak te verharden.
Hoe raad je aan om inzichten in kwetsbaarheden te gebruiken om interne teams te trainen?
Er moeten drie belangrijke activiteiten plaatsvinden zodra een HackerOne-rapport is ingediend:
- Triage en begrijp de bevinding volledig, bevestig de geldigheid ervan en wijs (indien risico rechtvaardigt) corrigerende maatregelen toe aan het juiste team;
- Werk samen met het betrokken team en het lid van de HackerOne-community om het probleem op te lossen (en daarna opnieuw te testen); en
- Probeer processen, procedures, patronen of controles te introduceren die de kans op soortgelijke kwetsbaarheden in de toekomst verkleinen.
Helaas slagen veel organisaties er niet in om de derde stap aan te pakken, wat misschien wel de belangrijkste is!
Hoe rapporteer je over de waarde van het werken met hackers?
Waar mogelijk benadrukken we in uitvoerende rapportages de financiële, reputatie- of zakelijke schade die kan voortvloeien uit het actief blijven van een geïdentificeerde kwetsbaarheid. In sommige gevallen is de zakelijke waarde van de bevindingen van de HackerOne-community veel groter dan ons volledige jaarlijkse bugbounty-budget! We groeperen deze besparingen in drie categorieën:
- Resourcebesparing voor ons interne team dat geen tijd hoeft te besteden aan het opsporen van bedreigingen.
- Financiële besparingen, in termen van het verminderen van dure penetratietesten door derden.
- Het vermijden van boetes of reparaties aan klanten vanwege kwetsbaarheden die mogelijk te laat worden ontdekt.
Over het algemeen vermindert elk geldig rapport dat door de HackerOne-gemeenschap wordt ingediend ons aanvalsoppervlak en informeert en traint het interne teams in veilige ontwikkeling en informatieverwerking.
Verder zijn we bezig met het opzetten van een intern Red Team. Toch stelt de krachtvermenigvuldiger die via het HackerOne-programma voor ons beschikbaar is, dat team in staat om zich meer te concentreren op interne systemen en bedrijfsmiddelen die niet zijn blootgesteld aan internet, wat uiteindelijk leidt tot een besparing van middelen voor dat team.
Welk advies zou je geven aan anderen die van plan zijn een bug bounty-programma te starten?
Ons sterkste advies is “niet haasten”. Het is gemakkelijk om enthousiast te worden over de enorme waarde die de HackerOne-gemeenschap biedt en te veel uitnodigingen voor een privéprogramma te sturen of het programma voor het publiek open te stellen voordat u klaar bent om de toename van de werklast aan te kunnen.
Onze aanpak heeft goed gewerkt. We begonnen met een Vulnerability Disclosure Program (geen premies, maar een kans om het laaghangende fruit aan te pakken), en gingen toen verder met een privaat bug bounty zodra we dachten dat onze interne teams klaar waren om triage en herstel uit te voeren.
Maakt niet uit hoe veilig u denkt dat u bent, wees voorbereid op enkele verrassingen. Ga er niet vanuit dat de werklast van HackerOne-rapporten licht zal zijn, en onthoud dat het werken aan valse positieven en geldige bevindingen tijd en moeite kost.
Ons laatste advies: zorg ervoor dat uw juridische team dat doet ten volle aan boord met je programma voordat je begint – je zult dagelijks interactie hebben met een community van hackers, een concept waar je even aan moet wennen 😊.
Wat is de grootste les die je van hackers hebt geleerd?
De belangrijkste les die OneWeb heeft geleerd, is dat kwetsbaarheden en informatieblootstellingen worden gevonden snel. Het is niet meer zo dat je wegkomt door iets kwetsbaars een paar uur bloot te leggen en te hopen dat niemand het merkt! Dit versterkt onze drang om ervoor te zorgen dat beveiligingstests, kwetsbaarheidsanalyse en beveiligings-QA zijn ingebed elk levering pijplijn.
Wil je nog iets anders delen?
Om de meeste waarde uit uw bug bounty-programma te halen, is het van cruciaal belang om open, communicatief en vriendelijk te zijn met de hackergemeenschap. Door transparantie, vrijgevigheid en goede communicatie hebben we een groep betrouwbare, deskundige hackers opgebouwd die hun tijd investeren om ons bedrijf en de waarde van specifieke activa voor onze organisatie te begrijpen. Deze inspanningen hebben geresulteerd in meer gerichte rapporten en een eerste triage voor ons!
Vergeet niet dat de HackerOne-community hier niet alleen voor het geld is; ze willen het internet en de wereld graag veiliger maken.
–
Klik hier voor meer informatie over bug bounty-programma’s.
Klik hier als u een hacker bent die geïnteresseerd is om deel te nemen aan het bug bounty-programma van OneWeb.