HackerOne booste sa plateforme
septembre 2021 par Marc Jacob
HackerOne dévoile à l’occasion de sa conférence annuelle Security@ de nouvelles fonctionnalités de sécurité pour ses clients et sa communauté de hackers. Parmi les nouveautés, la création d’un Top 10 mondial des vulnérabilités signalées par sa communauté de hackers. En complément du Top 10 de l’OWASP, ce classement donne de précieuses indications sur les menaces les plus sévères à l’échelle de la planète. De nouvelles sources d’informations font également leur apparition sur la plateforme comme l’indice d’exploitation CVE (Common Vulnerabilities and Exposures). Pour sa communauté de hackers, et après avoir dévoilé la toute première API pour hacker en juillet dernier, HackerOne offre davantage de transparence avec des classements et un simulateur de primes. Enfin, de nombreuses fonctionnalités ont été améliorées sur la plateforme, comme la gestion des accès ou la connectivité avec les applications externes.
Une intelligence de sécurité renforcée
Le Top 10 de l’Open Web Application Security Project (OWASP) est largement utilisé comme référence pour permettre aux équipes de sécurité de mieux prioriser leurs efforts de gestion des vulnérabilités. Le Top 10 de l’OWASP 2021 introduit trois nouvelles catégories : Conception non sécurisée, Défauts d’intégrité des logiciels et des données, et un groupe pour les attaques de type SSRF ("Server-Side Request Forgery"). HackerOne contribue non seulement au renseignement de données, mais participe aussi dans une démarche collaborative au contenu. Le nouveau Top 10 mondial de HackerOne va plus loin en proposant des mises à jour plus régulières et en fournissant des données spécifiques par secteur, pour offrir une visibilité accrue sur les vulnérabilités les plus critiques selon les hackers, et potentiellement non détectées par l’OWASP.
L’indice d’exploitation des CVE (Common Vulnerabilities and Exposures) de HackerOne permet de franchir un cap dans le niveau d’intelligence fourni. Tandis qu’un scanner ne fournit que des informations basées sur un algorithme défini ou sur les estimations d’un analyste, cette fonctionnalité offre une vue des CVE les plus exploitables, sur la base de données réelles. Les données récoltées permettent de visualiser les CVE que les hackers signalent le plus. Les clients peuvent ainsi recourir à l’index en le reliant à la liste du CISA des 30 CVE les plus exploitées afin d’isoler les CVE les plus critiques. Ces nouvelles fonctionnalités de renseignement sur les vulnérabilités seront disponibles sur la plateforme HackerOne d’ici la fin de l’année.
Montée en puissance de l’efficacité des hackers éthiques
Lorsque les hackers gagnent en efficacité et en transparence à la fois sur leurs flux de travail et sur le paiement des primes, il devient plus facile pour eux de se concentrer sur la recherche de vulnérabilités et de devenir actifs dans le développement de leurs clients.
Les nouvelles classifications des bug bounty et le simulateur de primes permettent aux clients de définir des fourchettes de primes, ce qui apporte de la cohérence dans l’attribution des récompenses. Cela offre en effet plus de transparence aux hackers, et leur permet également de nouer une vraie relation de confiance avec les entreprises clientes. C’est aussi un très bon moyen pour stimuler la motivation des hackers.
L’API Hacker permet aux hackers de consacrer plus de temps à la recherche de vulnérabilités. L’API automatise le flux de travail des hackers en leur donnant un accès immédiat aux informations sur le programme de bug bounty. L’API Hacker permet également d’avoir un aperçu global de toutes les vulnérabilités tout en gardant un œil sur les mises à jour des rapports, et en leur donnant un moyen de contrôler leurs gains et leurs paiements pour les déclarations fiscales.
Des flux de sécurité optimisés
Les flux de sécurité de HackerOne centralisent la gestion et le contrôle des accès, ainsi que la connectivité aux applications externes dans la plateforme HackerOne. Les nouvelles mises à jour permettent notamment de :
• Bénéficier d’une vue unifiée et d’un accès aux différentes sections du programme, telles que la page de sécurité, les paramètres, les rapports et la priorisation de la boîte de réception pour visualiser les rapports les plus importants en premier.
• Ajouter des utilisateurs au sein de l’interface HackerOne et gérer de manière centralisée leur accès à plusieurs programmes et rapports.
• Accéder aux rapports et les relayer tout en conservant un accès aux métadonnées nécessaires pour soutenir les actions de sécurité.
• Obtenir une connectivité à un nombre illimité d’instances Jira, permettant une prise en charge configurable de différentes équipes et de différents projets, éliminant ainsi le besoin de solutions de contournement manuelles.
HackerOne a par ailleurs annoncé plus tôt ce trimestre l’extension des capacités pour les clients d’Amazon Web Services (AWS). La sécurité du cloud sera d’ailleurs l’un des principaux thèmes de la conférence Security@ de cette année.