Bugcrowd berencana mengubah pasar pengujian penetrasi melalui AI dan peretas topi putih

Bugcrowd Inc. telah berkembang dari “momen serbet” yang digambarkan oleh pendirinya dalam penerbangan pesawat 11 tahun yang lalu hingga sekarang mencakup ekosistem program hadiah bug yang berkembang dan, yang terbaru, pengujian penetrasi sebagai layanan.

Pekan lalu, platform keamanan siber multi-solusi, crowdsourced mengumumkan kemampuan baru dalam Penetration Testing as a Service, atau PTaaS. Solusi ini memungkinkan pelanggan untuk membeli, menyiapkan, dan mengelola pentest langsung secara online tanpa proses penjualan yang panjang.

“Saat pelanggan datang dan mereka bergabung dengan kami, kami mencocokkan mereka dengan pentester yang tepat berdasarkan keahlian penguji dan berdasarkan lingkungan pelanggan,” kata Dave Gerry (kiri), CEO Bugcrowd. “Kami dapat segera menerapkan pengujian dalam hitungan jam versus minggu atau bulan pada model sebelumnya. Dari sana, hasilnya dibagikan kembali secara real time ke platform, dibandingkan hanya menunggu laporan dirilis di akhir pengujian.”

Gerry berbicara dengan analis industri CUBE John Furrier di RSA Conference, selama siaran eksklusif di CUBE, studio streaming langsung SiliconANGLE Media. Dia bergabung dengan Casey Ellis (kanan), pendiri, ketua dan chief technology officer Bugcrowd, dan mereka membahas pengumuman terbaru perusahaan dan strateginya untuk memanfaatkan bakat dalam komunitas keamanan global. (* Pengungkapan di bawah.)

Mengganggu model

Pentesting adalah serangan simulasi resmi pada sistem komputer yang dirancang untuk mengevaluasi keamanannya. Ekosistem penyedia pihak ketiga telah berkembang selama bertahun-tahun untuk menyediakan layanan ini di dunia keamanan siber, dan Bugcrowd melihat peluang untuk memanfaatkan komunitas peretas topi putihnya untuk mengganggu model pentesting yang ada.

“Itu salah satu hal di mana pentester bukanlah masalahnya. Ini adalah pentesting; begitulah cara melakukannya, ”kata Ellis, yang bekerja sebagai pentester sendiri pada satu titik dalam kariernya. “Ini sangat tidak efisien, dan belum ada alasan untuk mengubahnya. Mari buat semuanya lebih cepat dan lebih efektif untuk kedua belah pihak.”

April telah menjadi bulan yang sibuk bagi Bugcrowd dan siklus beritanya. Perusahaan juga baru-baru ini mengumumkan kolaborasi dengan OpenAI, perusahaan di belakang ChatGPT yang banyak digunakan, untuk mengatasi risiko keamanan dalam model AI.

Program hadiah bug Bugcrowd sekarang akan membayar $200 hingga $20.000 kepada peneliti keamanan yang mengidentifikasi kelemahan keamanan dalam sistem OpenAI. Ada pedoman seputar partisipasi dalam program ini. Analis keamanan yang berpartisipasi harus mengikuti aturan kebijakan, menghindari gangguan sistem, dan menjaga kerahasiaan kerentanan hingga diizinkan untuk dirilis oleh OpenAI.

“Kami pada dasarnya telah meluncurkan program bug bounty mereka di platform kami,” kata Ellis. “Mereka mendatangi seluruh audiens yang berpotensi menjadi pakar … dan berkata: ‘Bantu kami.’”

Data adalah saus rahasia

Kolaborasi Bugcrowd dengan OpenAI adalah elemen lain dari minat perusahaan dalam memanfaatkan alat intelijen untuk keamanan siber. Perusahaan menggunakan AI dan pembelajaran mesin untuk menyelaraskan pelanggan dengan peneliti keamanan, menurut Gerry. Pada akhirnya, semuanya bermuara pada data.

“Di lapisan pembelajaran mesin dan AI, kami dapat mencocokkan peneliti yang tepat pada waktu yang tepat,” kata Gerry. “Pelanggan menemukan 2x jumlah kerentanan kritis; peneliti menghasilkan lebih banyak uang. Anggap ini sebagai semua data telemetri dari informasi kerentanan, informasi peneliti. Datanya benar-benar rahasia bagi kami.”

Bugcrowd memulai dengan membangun bisnis dengan konsep sederhana: membuat platform yang menghubungkan komunitas global peretas dengan itikad baik dengan masalah keamanan yang mengganggu institusi di seluruh dunia. Ellis, pendiri firma yang berbasis di Australia, pindah ke Silicon Valley pada tahun 2013 untuk mengembangkan Bugcrowd dan segera menjadi penerima keuntungan besar. Edward Snowden merilis ribuan dokumen rahasia dari Badan Keamanan Nasional tahun itu, dan pelanggaran tersebut meningkatkan minat global terhadap keamanan.

Bugcrowd mempromosikan Gerry pada tahun 2022 menjadi chief executive officer barunya. Gerry membawa lebih dari satu dekade pengalaman di pasar keamanan, dengan peran sebelumnya di Veracode Inc. dan Sumo Logic Inc. Dia saat ini adalah anggota grup kemitraan sektor swasta FBI, InfraGard, yang menyediakan kendaraan untuk pertukaran informasi secara tepat waktu kepada melindungi infrastruktur kritis.

Gerry dan Ellis mengindikasikan adanya rencana untuk berita tambahan karena perusahaan terus bertaruh pada jaringan peneliti keamanannya dan peluang untuk meningkatkan perlindungan jaringan di dunia maya.

“Kami memanfaatkan semua kreativitas laten yang ada di komunitas pakar keamanan,” kata Gerry. “Itulah yang menjadi dasar bisnis Casey. Bagaimana kita menghubungkan peneliti yang tepat pada waktu yang tepat dengan masalah yang tepat? Pada akhirnya, apa pun yang diinginkan pelanggan kami dari sudut pandang peneliti keamanan dapat dilakukan dengan memanfaatkan platform ini.”

Inilah wawancara video lengkap, bagian dari SiliconANGLE dan liputan theCUBE tentang Konferensi RSA:

Lihat sorotan ini di segmen Gerry dan Ellis:

• 1:52 – Bugcrowd telah mengumumkan layanan untuk menjual pentesting sepenuhnya secara online.
• 2:47 – Masalah dengan industri pentesting membuat Bugcrowd menemukan pendekatan baru.
• 6:33 – Bugcrowd telah mengumumkan kesepakatan dengan OpenAI.
• 8:58 – Data adalah saus rahasia, dan AI membantu menggerakkan mesin Bugcrowd.
• 11:23 – Peretas dapat memainkan peran penting dalam memperkuat keamanan siber.

(* Pengungkapan: Bugcrowd Inc. mensponsori segmen CUBE ini. Baik Bugcrowd maupun sponsor lain tidak memiliki kendali editorial atas konten di CUBE atau SiliconANGLE.)

Foto: SiliconANGLE