HackerOne lance OpenASM, une solution qui combine tests de sécurité et scans de données d’outils Attack Surface Management (ASM). Les scans de surface d’attaque peuvent être utilisés pour mieux délimiter le périmètre des bug bounty, des pentests et des programmes de divulgation de vulnérabilités. En outre, les hackers éthiques peuvent enrichir, classer les risques et hiérarchiser les actifs, aidant ainsi les organisations à réduire efficacement les risques.
L’offre de Hackerone découle d’un constat : « nous avons observé que les transformations numériques créent une surface d’attaque en expansion, laissant des lacunes dans les capacités et les processus de sécurité de la plupart des organisations », explique la plateforme. En effet, vaincre le cybercrime, ou du moins en minimiser les méfaits ne se fera pas sans une combinaison d’expertise humaine de la traque des angles morts et d’outils informatiques pour l’atténuation et la réponse. C’est pourquoi les entreprises ont besoin d’outils permettant de traquer les points vulnérables et l’expertise de spécialiste en sécurité, combinée avec l’automatisation pour leur permettre d’acquérir des informations plus qualifiées sur leur posture de sécurité.
Un tiers des organisations surveille moins de 75 % de son périmètre IT
Ainsi, d’après Hackerone, les organisations sont confrontées à des lacunes dans quatre domaines clés : la gestion de la surface d’attaque, les tests peu fréquents, les outils de test de sécurité inadéquats et la pénurie de talents en matière de sécurité. Une situation qui crée un écart important entre ce que les organisations doivent protéger et ce qu’elles sont réellement capables de protéger. Selon un récent rapport HackerOne, un tiers des organisations surveillent moins de 75 % de leur surface d’attaque et près de 20 % pensent que plus de la moitié de leur surface d’attaque est inconnue ou non observable.
OpenASM augmente la probabilité de détecter les problèmes critiques, tout en éliminant la nécessité d’un inventaire manuel des actifs, ainsi qu’en automatisant l’étendue et la profondeur des tests. Au cœur de cette initiative se trouve HackerOne Assets, un produit ASM intégré à la plateforme HackerOne. Les scans de données de produits ASM tiers peuvent également être intégrés dans la base de données de la plateforme. OpenASM supporte initialement AssetNote, Darktrace (Cybersprint), Hadrian, Palo Alto Cortex Xpanse, et Project Discovery. Il permet en outre l’importation des documents CSV et JSON pour ceux qui utilisent les outils de gestion de surface d’attaque développés en interne. En outre, HackerOne travaille avec son partenaire SecurityScorecard sur le traitement de la surface d’attaque étendue de la chaîne d’approvisionnement. OpenASM fera également partie des fonctions du nouveau produit Assets de HackerOne, disponible plus tard cette année.