Winkelmand

Geen producten in de winkelwagen.

Wat is een ethische hacker? En waarom willen bedrijven ermee in zee?

Laatst bijgewerkt: 17-11-2022 17:00:05

Persbericht - Hackers bestaan al tientallen jaren. Maar wat is nu juist het verschil tussen een malafide black hat hacker en een ethische hacker?

Vraag om het even wie wat zij denken dat een hacker doet en je krijgt gegarandeerd veel voer voor discussie. Hacken is nochtans niets nieuws. Het bestaat zelfs al tientallen jaren. In de jaren zestig doelde men met hacken vooral op het optimaliseren van systemen en machines om ze efficiënter te laten werken.

Maar de – weliswaar fascinerende – activiteiten van black hat hackers zaaiden angst, en corrumpeerden de algemene definitie. Net daarom moeten we een duidelijk onderscheid maken tussen kwaadwillige hackers en ethische hackers. In dit artikel richten we ons op de laatste groep.

Wat is een ethische hacker?

Net als kwaadwillige hackers willen ethische hackers de cybersecurity van een doelwit doorbreken. Maar zoals de naam al aangeeft, blijft een ethische hacker binnen de lijnen van de wet en zal deze het bedrijf vooraf waarschuwen zodra hij/zij kwetsbaarheden in het systeem vindt.

Sommige ethische hackers werken op zelfstandige basis, maar veel bedrijven nemen ze ook fulltime in loondienst aan of werken op een andere manier met ze samen.

Definitie van ethische hacker:

Een beveiligingsexpert die gespecialiseerd is in het testen van computer- en softwaresystemen of -processen om de beveiliging te evalueren, te versterken en te verbeteren.

THE ETHICAL HACKER INSIGHTS REPORT, INTIGRITI

Mainstream media associëren hacking vaak met criminele activiteiten – wat het stereotype versterkt van een donker geklede anarchist die zich achter een laptop verbergt. Maar ethisch hacken doet net het tegenovergestelde. In 2021 is ethisch hacken bovenal een welomlijnd streven van gelijkgestemde cybersecurityprofessionals over de hele wereld.

Waarom huren bedrijven ethische hackers in?

Er is meer dan één goede reden om ethische hackers in schakelen. Met de hulp van ethische hackers kunnen bedrijven een defensieve strategie op een offensieve manier uitvoeren.

Ethische hackers zijn zeer bekwame individuen die het gedrag van black hat hackers veilig nabootsen om zo de zwakke punten in de cybersecurity van een bedrijf aan het licht te brengen. Zo ontdekken bedrijven niet alleen hun kwetsbaarheden, maar kunnen ze deze actief verhelpen en voorkomen. Door hun cybersecurity verdedigingslinie te verbeteren en te verstevigen, kunnen ze cybercriminelen een stap voor blijven.

Een samenwerking met ethische hackers, laat bedrijven ook toe om hun aansprakelijkheid te beperken. In het geval van een echte cyberaanval kunnen bedrijven minutieus aantonen en bewijzen welke stappen ze hebben ondernomen om dit te voorkomen.

Met de steun en de expertise van ethische hackers kunnen bedrijven:

  • Hun beveiliging continue en consistent testen
  • Het risico op verliezen in geval van een cyberaanval verminderen
  • Hun reputatie en betrouwbaarheid als gegevensbeschermers versterken
  • Beter anticiperen op de nieuwste cyberbedreigingen
  • Het voltallige team continue updaten en bijscholen

Bedrijven kunnen daarvoor een beroep doen op verschillende ethische hacker profielen.

Types ethische hackers

Rood team/blauw team

Oorspronkelijk een begrip uit de marine, is dit een oefening waarbij een rood team aanvalt en een blauw team verdedigt. In de cybersecurity context moet het “red team vs blue team” model de preventieve, detectie- en responscontroles van de organisatie versterken. Cybersecurityprofessionals werken dan zeer nauw samen om de beveiliging te verbeteren door voortdurend feedback te geven en kennisoverdracht in beide  richtingen te verzekeren.

Bug bounty hunters

Bug bounty hunters zijn cybersecurityenthousiastelingen en -professionals die doorlopend beveiligingstests uitvoeren. Niet zelden gaat het hier om uiterst creatieve individuen die als geen ander zwakke plekken en kwetsbaarheden vinden zonder daarbij een vooraf gedefinieerde methodologie te volgen. In plaats van een vergoeding voor hun gespendeerde tijd, beloont een organisatie hen wanneer ze met succes een nieuw, uniek en in-scope kwetsbaar punt rapporteren.

Bug bounty platforms stellen organisaties in staat om een cybersecurityprogramma te publiceren en daarvoor bug bounty hunters uit te nodigen om potentiële gevaren op te sporen en te rapporteren. Programma’s kunnen openbaar worden gepubliceerd (iedereen kan bijdragen) of privé (enkel een selecte groep wordt uitgenodigd). Ze kunnen ook tijdsgebonden zijn of soms zelfs helemaal geen einddatum hebben. De meeste bedrijven kiezen meestal voor de laatste optie om er zeker van te zijn dat hun beveiliging voortdurend scherp staat.

Penetratietesters

Een penetratietester stelt de beveiliging van een computersysteem of netwerk op de proef door een cyberaanval van buitenaf te simuleren, meestal binnen een bepaalde tijdslimiet en/of een doelbereik dat de klant vooraf bepaalt. Het doel is om zo aanvalsvectoren, kwetsbaarheden en zwakke punten in de controle op te sporen en te rapporteren. Dat doen ze met manuele technieken, aangevuld met geautomatiseerde instrumenten, om zo kwetsbaarheden maximaal uit te buiten.

Binnen de Intigriti community van bug bounty hunters levert 43% ook penetratietest-diensten als onderdeel van hun dagtaak.

Is er vraag naar ethische hackers?

Zeker en vast. De wijdverbreide, kwalijke reputatie van cybercriminelen doet de vraag naar ethische hackers alleen maar stijgen. Let wel, er is nog werk aan de winkel om bedrijven te overtuigen van de goede bedoelingen van ethische hackers. De algemene perceptie is evenwel aan het verschuiven, en meer en meer mensen zien ethische hackers als de ruggengraat van IT-beveiligingstesten.

“We vertrouwen op ethische hackers om onze IT-beveiliging te versterken vooraleer niet-zo-ethische hackers een kwetsbaarheid vinden die ze natuurlijk niet aan ons zullen melden!”

– JEAN-FRANÇOIS  SIMONS, CISO BIJ BRUSSELS   AIRLINES

Ethische hackers, zoals bug bounty hunters, zijn ook in trek omdat zij het tekort aan cybersecurityvaardigheden helpen opvullen. Volgens een onderzoek van Robert Walters en Vacancysoft uit 2020 beweert 70% van de Europese bedrijven  niet over het juiste cybersecuritytalent te beschikken. Door beroep te doen op een netwerk van beveiligingsexperts hebben organisaties meer toegang tot extra vaardigheden, ervaringen en expertise. Zo kan elk beveiligingsteam schalen zonder extra personeel aan te nemen.

Uit een onderzoek van Intel uit 2021 blijkt ook dat 73% van de IT- beveiligingsprofessionals liever technologie en diensten koopt van leveranciers die proactief zijn op het gebied van beveiliging – inclusief ethisch hacken – en daarbij transparant communiceren over kwetsbaarheden.

Welke persoonlijkheidskenmerken typeren een ethische hacker?

Ethische hackers zijn zeer leergierige, nieuwsgierige en onderzoekende mensen. Niet-aflatend in de weer om elke verandering of koerswijziging in de cybersecuritywereld te verkennen. Uit het Ethical Hacker Insights Report 2021 blijkt dat 70% van de hackers op Intigriti’s platform zit om te leren en hun vaardigheden te ontwikkelen. Daarbij wordt 40% gedreven door de uitdaging.

Who do ethical hackers hack?

Om een succesvolle speurhond naar kwetsbaarheden te zijn, moet je hacken met een frisse blik benaderen, je creativiteit daarbij de vrije loop laten en vooral niet bang zijn om af en toe (flink) tegen de stroom in te gaan.

Ethische hackers moeten ook geduldig, volhardend en detail georiënteerd zijn.
Beveiligingsonderzoeker Pieter legt uit hoe hij te werk gaat:

“Ik werk aan een doelwit en vind meestal vier of vijf bugs. Dan verlies ik vaak mijn inspiratie, en werk ik op een volgend project. Pas na zes maanden kom ik terug op het eerste project. Dan wil ik vooral zien of en hoe ze de vorige bugs die ik rapporteerde, hebben opgelost en of die updates voor nieuwe bugs zorgden.

– @PIETER, SECURITY RESEARCHER

De legale route volgen om kwetsbaarheden bloot te leggen, legt deze professionals geen windeieren. Naast geld, krijgt de ethische hacker ook de erkenning, en best veel gratis swag. Maar de grootste voldoening halen ethische hackers uit het gevoel om deel uit te maken van een gemeenschap van mensen met een sterke wil om te helpen.

“Ik richt me graag op bedrijven in de medische sector omdat het veel mensen helpt. Zo deed ik onlangs een aantal pentests voor een ziekenhuis dat geen beloning kon geven. Ik scande hun site op een kwartiertje tijd en rapporteerde best veel kwetsbaarheden. Zij konden hun digitale activa beveiligen voor een schijntje van mijn tijd.”

@KUROMATAE666,  SECURITY RESEARCHER

21% van onze community zit vooral op het platform om iets goeds te doen en nog eens 21% wil anderen helpen zich te verdedigen tegen cybercriminaliteit.

Hoe vinden ethische hackers een baan?

Ethische hackers kunnen natuurlijk de traditionele methoden volgen om jobs in penetratietesten te scoren. Velen consulteren ook bug bounty platforms. Daar krijgt de onderzoeker alleen een beloning of een compensatie als men met succes een nog niet eerder ontdekte bug identificeert. Dat is natuurlijk een grote financiële stimulans om veiligheidslekken op te speuren en kwaliteitsrapporten in te dienen.

Wanneer beveiligingsonderzoekers aan een programma deelnemen en een bug vinden, doorloopt het rapport eerst een interne kwaliteitscontrole, bekend als triage. Indien OK, gaat het rapport naar de organisatie. Deze extra stap valideert het werk van de hacker en zorgt er ook voor dat bedrijven alleen gecertifieerde rapporten ontvangen.

Het bug bounty platform is heel duidelijk over wat er “veilig” is om te hacken, zo hoeven onderzoekers geen juridische stappen te vrezen voor meldingen die ze te goeder trouw deden. Ze weten ook dat  de bedrijven die intekenen op bug bounty platforms hoogstwaarschijnlijk vooruitstrevend zijn op het gebied van cybersecurity.

Net als ethische hackergemeenschappen, vinden bedrijven bug bounty platforms    een van de meest betrouwbare en stabiele manieren om programma’s op te zetten. Elke nieuwe Intigriti klant krijgt een persoonlijke customer success manager die niet alleen helpt om een duidelijke scope voor het programma te definiëren, maar ook toelicht hoe onderzoekers vergoed worden en hoe men het budget kan beheren.

Wat zijn de vereisten om een ethische hacker te worden?

Als het op kwalificaties aankomt, zijn er geen officiële vereisten voor ethische hackers. De meeste hackers combineren zelfstudie, online blogs en artikelen, en online cursussen om te leren hoe ze moeten hacken.

De meeste Intigriti onderzoekers willen continue groeien en blijven dan ook hun hoogste opleidingsniveau aanvullen. En hoewel certificering nuttig is, is het niet altijd voor iedereen even toegankelijk, en levert leren buiten  de traditionele paden vaker een zeer waarheidsgetrouw beeld van cybercriminele activiteiten en technieken.

Hoeveel verdienen ethische hackers per jaar?

Volgens PayScale verdienen Amerikaanse penetratietesters tussen $58.000 en $144.000 per jaar. In het Verenigd Koninkrijk bedraagt het gemiddelde salaris rond £39.000 per jaar. In Frankrijk ligt het gemiddelde basissalaris op €40.000 per jaar. Ethische hackers kunnen hun jaarinkomen wel opkrikken door extra werk, zoals bug bounty hunting, aan te nemen.

Toen we onze community vroegen wat hen motiveert om te hacken, zei 63% dat ze op kwetsbaarheden jagen om meer geld te verdienen. Voor 10% van onze gemeenschap vormen bounty-inkomsten hun enige inkomen. Meer dan de helft (52%) zegt dat hun inkomsten uit bug bounty’s minder dan 10% bedragen van hun totale inkomen – ze hacken dan vooral om wat extra levensluxe te financieren.

Kijk maar naar de mijlpaal van Intigriti hacker, @MattiBijnens. Begin 2020 daagde hij zichzelf uit om genoeg bug bounty’s te verdienen om zich een Tesla te kunnen veroorloven.  In augustus van datzelfde jaar bereikte hij zijn doel.

MattiBijnens Tweet

Andere leden van onze gemeenschap investeren dan weer in hun vaardigheden. Intigriti hacker, @ D3LT4 toonde op Twitter zijn nieuwe laptop, monitor en toetsenbord, volledig aangekocht met bug bounty beloningen. Waarom? Herinvesteren in nieuwe skills en tools om zo nog meer te verdienen.

Waar werken hackers?

Meer en meer bedrijven adopteren de ‘work-from-anywhere’-cultuur, en dat is voor ethische hackers niet anders. Werken op afstand laat bedrijven en onderzoekers toe om vanuit alle hoeken van de wereld samen te werken. In 2020 rapporteerden de Intigriti beveiligingsonderzoekers kwetsbaarheden vanuit meer dan 140 landen.

De trend om van huis uit te werken, neemt enkel toe. In een onderzoek van FlexJobs gaf 65% van de respondenten aan na de pandemie fulltime op afstand te willen werken, en 31% wilde hybride op afstand werken.

Bug bounty platforms maken het mogelijk voor cybersecurityprofessionals om van overal te werken. Deze flexibiliteit maakt het beroep vaak zeer aantrekkelijk voor kandidaten.

Wil je meer weten over ethische hackers?

Download jouw gratis exemplaar van The Ethical Hackers Insights Report 2021 en ontdek:

  • De belangrijkste demografische gegevens en statistieken over ethische hackers
  • Hun motivaties en ambities
  • Hoe ethische hackers te werk gaan
  • Wat men kan verwachten binnen 48 uur na de lancering van een bug bounty programma
  • Hoe bedrijven succesvolle relaties kunnen aangaan met ethische hacking communities.

Wil je zelf met een ethische hacker aan de slag gaan voor jouw beveiligingstesten? Spreek vandaag nog met iemand van het Intigriti team om een demo aan te vragen.