Vijftigduizend testers op zoek naar kwetsbaarheden in het it-platform bij organisaties. Daarover beschikt het Belgische Intigriti. ‘Met ons bug bounty-programma kunnen we pas echt aan de beveiliging van bedrijven werken’, zegt oprichter en directeur Stijn Jans. ‘Bovendien helpen wij inwoners van arme landen aan een inkomen die hun leven verandert.’
Jans, die voor de oprichting van Intigriti in 2016 directeur was van het penetratietest-adviesbureau The Security Factory, is een van de sprekers tijdens Sphere22, de conferentie van security-specialist WithSecure in Helsinki. Na afloop spreekt Computable met hem. ‘Mijn klanten bij The Security Factory waardeerden het werk dat wij deden’, legt Computable’s IT-persoon van het Jaar 2021 toe. ‘Maar ja, de testresultaten stamden bijvoorbeeld uit een onderzoek dat wij in januari hadden uitgevoerd. Hoe stond het er dan een halfjaar later voor? Een inventarisatie van kwetsbaarheden is een momentopname, maar de aanvallen gebeuren voortdurend en veranderen met de tijd. Niemand kan zich echter veroorloven om continu pentesters in te huren. Zo kwam ik op het idee van Intigriti, gebruik maken van de wijsheid van een menigte.’ Inmiddels heeft het bedrijf kantoren in de EU, het Verenigd Koninkrijk en Singapore.
Legertje testers
Jans werkt samen met The Cofoundry en KU Leuven. Hij leidt het bedrijf en maakt dankbaar gebruik van de expertise van het DistriNet-labo van professor Wouter Joosen.
Initigriti is eigenlijk een platform voor vraag en aanbod: bedrijven die hun netwerkgrenzen onderzocht willen zien en ethische hackers die zich daar wel aan willen wagen. Het aantal klanten, evenals het aantal pentesters, heeft zich in de loop der jaren flink uitgebreid. Je kunt wel stellen dat Intigriti een legertje testers beschikbaar heeft. Zij krijgen betaald naar gelang hun bevindingen. De premies variëren van vijfhonderd euro, maar kunnen oplopen tot een ton. ‘We hebben een saas-platform dat meer dan vijftigduizend ethische hackers koppelt aan bedrijven. Daarmee zijn we de grootste in Europa. Wereldwijd gezien zitten we zelfs in de top drie. Alleen twee vergelijkbare platforms in de VS zijn groter’, licht Jans toe.
Passie
Het kan zijn dat iemand de grenzen verkent en niets vindt. Dan is er geen premie. ‘Wij merken dan ook dat bij onze deelnemers de passie een drijfveer is. Tegelijk zien we ook dat de beloning wordt gewaardeerd. Wij hebben testers die dankzij dit werk uit de armoede komen, dat ze een normaal leven kunnen opbouwen. Ze zijn onafhankelijk en krijgen betaald voor resultaat, niet voor de tijd dat ze werken. Sommigen werken ad-hoc, anderen zijn fulltime bezig.’
Hij beschikt over testers verspreid over twaalf vaardigheden, waaronder web, mobiel, open source, iot, netwerk en hardware. En er zijn inmiddels meer dan driehonderd bug bounty-programma’s. Chipfabrikant Intel bijvoorbeeld heeft zelf een bug bounty-programma, maar heeft sinds december 2021 Intigriti ingeschakeld om dit programma te beheren.
Uit het onderzoek naar het werk van het platform, dat Intigriti jaarlijks uitvoert, blijkt dat ‘zijn’ testers haantje-de-voorste zijn. ‘Vierenzestig procent van onze onderzoekers heeft sinds mei 2021 een kwetsbaarheid ontdekt die niet eerder is gemeld.’ Intigriti heeft een halfjaar geleden een fast lane-programma in het leven geroepen. ‘Het zoeken naar kwetsbare patronen, configuratie- en implementatiefouten is moeilijker dan het vinden van een zero-day exploit. Ook de oplossingen zijn lastiger te formuleren. Met de fast lane bieden wij gekwalificeerde onderzoekers de mogelijkheid om gebruik te maken van ons netwerk van private bug bounty-programma’s van meer dan driehonderd bedrijven wereldwijd die anders ontoegankelijk zouden zijn voor deze onderzoekers. In tegenstelling tot eerdere initiatieven van andere leveranciers, gaan alle verzamelde bug bounty’s rechtstreeks naar de onderzoeker, en blijft het onderzoek hun intellectueel eigendom’, aldus Jans.
Hij ziet dat dit innovatieve toepassingen in de hand werkt. De fast lane stimuleert de ontdekking van unieke en vernieuwende aanpakken binnen de gemeenschap van ethische hackers. ‘Bovendien biedt het bedrijven de mogelijkheid beveiligingsrisico’s te ontdekken voordat ze bekend worden gemaakt’, voegt hij eraan toe.
Nieuwe generatie
Uit het jaarlijkse onderzoek, gepubliceerd op 1 juni, blijkt dat bijna driekwart van de respondenten jonger is dan dertig jaar. ‘We werken met een nieuwe generatie pentesters. Slechts zeven procent is veertig jaar of ouder’, stelt Jans tevreden vast. Nog een paar cijfers: in de eerste week nadat een programma is gestart worden er gemiddeld 53 kwetsbaarheden gevonden; 23 procent van de geregistreerde hackers produceert minstens één rapport per maand; en 71 procent van de bedrijven krijgt binnen de eerste 48 uur na de lancering van hun programma op Intigriti een hoge tot kritische inzending.
De meeste hackers komen uit India, gevolgd door de VS en België. De overige landen van de top tien in volgorde zijn Brazilië, Verenigd Koninkrijk, Duitsland, Nederland, Frankrijk, Turkije en Pakistan. Nederland neemt de tweede plaats in (na België) met de best presterende onderzoekers. De rest van die top tien: Frankrijk, India, Verenigde Staten, Duitsland, Turkije, Finland, Verenigd Koninkrijk en Vietnam.
Effect
De pandemie heeft effect gehad op het werk dat de test-gemeenschap doet. Driekwart meldt dat zijn vaardigheden in die periode is toegenomen, 35 procent zegt er beter in te zijn geworden, 23 procent meldt dat de bug bounty-programma’s interessanter zijn geworden, 53 procent zegt meer verdiend te hebben, en 32 procent ten slotte heeft meer tijd besteed aan het jagen op bugs.
Gevraagd naar bug bounty als een carrièrestap zegt 96 procent in de nabije toekomst meer tijd hieraan te willen besteden, 66 procent overweegt er een fulltimebaan van te maken, en 95 procent heeft minstens één vriend overtuigd ook te gaan werken als ethisch hacker.
Tot slot valt op dat meer dan een kwart aangeeft geen pentesten uit te voeren buiten het bug bounty-programma om. Dat heeft te maken, blijkt uit de antwoorden, met de legale status. Hacking is immers bij wet verboden, maar Intigriti heeft hiervoor een legaal kader geschapen.