Come può un’azienda difendersi dagli attacchi malevoli degli hacker?
Se ciò dovesse avere successo, le conseguenze avrebbero un impatto negativo rilevante, sia in termini di perdita di dati sia in termini di immagine dell’azienda stessa.
Nell’ambito della cyber security, si definisce bug o vulnerabilità, la presenza di un’anomalia nel funzionamento di un programma che può esporre ad un attacco malevolo esterno.
Per questo motivo, spesso l’individuazione delle vulnerabilità, attraverso l’uso di bug bounty programs (detti anche vulnerability reward programs), può aiutare le aziende a sconfiggere i cybercriminali prima che sia troppo tardi.
Con il termine bug bounty programs, dunque, ci si riferisce a tutti quei programmi che le aziende o gli enti globali mettono in atto per ricompensare chi segnala vulnerabilità nei software, prima che essi vengano individuati dai cybercriminali.
L’obiettivo di questi ultimi infatti è proprio quello di scovare e sfruttare i bug nei software aziendali, per poterli utilizzare a proprio vantaggio.
Così, per non farsi cogliere impreparate, le aziende investono parte del loro patrimonio economico in programmi che prevedono una ricompensa in denaro per la segnalazione di bug, exploit o vulnerabilità, impedendo così un uso improprio degli stessi.
Tali programmi sono ormai diffusi in tutto il mondo e le aziende li utilizzano per incrementare la propria sicurezza.
Ogni volta che si segnala una vulnerabilità in tempo, si riceve una ricompensa: maggiore sarà la difficoltà nel trovare dei bug, maggiore sarà la ricompensa.
Volendo individuare degli esempi significativi:
Seppure identificato come un esborso economico da parte dell’azienda l’investimento in bug hunting risulta necessario: se il bug venisse identificato prima dai criminal hacker, le perdite economiche sarebbero sicuramente più elevate.
Il bug bounty program si sta facendo strada all’interno delle principali aziende IT (Google, Microsoft, Apple, Intel, ecc.) come anche nel settore social network (Snapchat, Twitter, Linkedin, Meta, ecc.).
L’ammontare del premio può essere determinato da due principali variabili:
Per tali motivi la sempre maggiore diffusione dei bug bounty programs ha portato allo sviluppo di piattaforme che rappresentano dei veri e propri aggregatori per le aziende, finalizzate all’erogazione annuale di ingenti ricompense in denaro strettamente correlate alla gravità del bug rilevato. Queste somme vengono inoltre organizzate in una lista denominata Highest Reward Range.
In particolare, la piattaforma BugCrowd ha permesso la nascita di una vera e propria
nuova professione: il bug hunter.
Proprio come un cacciatore, il bug hunter va a caccia di bug all’interno di siti, domini, e applicazioni al fine di riscuotere la taglia messa in palio.
Le aziende, dunque, per migliorare il prodotto e per rafforzare la propria serietà, sempre più spesso decidono di affidarsi a questo tipo di piattaforme. In tal modo evitano violazioni dei dati aziendali che potrebbero causare una perdita economica notevole, senza tralasciare il danno reputazionale a cui l’azienda andrebbe incontro.
Il bug bounty hunter dunque è un hacker etico ossia un esperto della cyber security che ricerca per le aziende, in modo legalizzato, falle di sicurezza (web e mobile). Questo tipo di specializzazione come altre più conosciute (penetration test, monitoraggio, awareness) è pertanto riconosciuta per legge.
Ottenere questo tipo di qualifica professionale richiede pertanto:
In questo contesto si inserisce anche l’offerta formativa di ITS, che si mantiene aggiornata secondo le necessità del mercato del lavoro e per questo tra i suoi corsi dedicati alle ICT mette a disposizione quello per ICT Security Specialist, grazie al quale sarà possibile progettare, valutare e implementare infrastrutture di dati e gestirne gli impatti in ottica security.
Il corso inoltre, fornisce competenze dirette su:
Questo corso permetterà ai partecipanti di aspirare a professioni quali: cyber security manager, un system administrator, un network expert.
Al termine del conseguimento del diploma si otterrà la qualifica professionale di esperto ICT in ambito security.