การรักษาความปลอดภัยองค์กรระหว่างการควบรวมและซื้อกิจการ

การรักษาความปลอดภัยองค์กรระหว่างการควบรวมและซื้อกิจการ

ในโลกดิจิทัลทุกวันนี้ ธุรกิจต่างๆ ไม่สามารถมองข้ามความปลอดภัยทางไซเบอร์ได้อีกต่อไป และนี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งในช่วงการควบรวมกิจการหรือการซื้อกิจการ ในความเป็นจริง ตามผลสำรวจ Future of M&A Trends ของ Deloitte ผู้บริหารระดับสูงด้านการควบรวมและเข้าซื้อกิจการขององค์กรต่างๆ ในสหรัฐอเมริกาถึง 51% ระบุว่าภัยคุกคามทางไซเบอร์เป็นข้อกังวลอันดับต้นๆ เมื่อต้องจัดการธุรกรรมในรูปแบบเสมือนจริง ในเวลาเดียวกัน ทีมงานด้านความปลอดภัยมักจะได้รับข้อมูลไม่เพียงพอเกี่ยวกับเหตุการณ์การควบรวมและเข้าซื้อกิจการ (M&A) และจำเป็นต้องทำการประเมินความปลอดภัยให้ครบถ้วนภายในเวลาที่น้อยกว่าที่ใช้จริง

เพื่อช่วยให้องค์กรต่างๆ ประเมินมาตรการด้านความปลอดภัยของเป้าหมายการควบรวมและเข้าซื้อกิจการ Bugcrowd จึงได้เปิดตัวโซลูชั่นใหม่ที่เรียกว่า Bugcrowd M&A Assessment เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับโซลูชันใหม่ของบริษัท TechRadar Pro ได้พูดคุยกับ Ashish Gupta ซีอีโอและประธานของ Bugcrowd

โดยทั่วไปบริษัทต่างๆ ใช้เวลาเท่าไรในการประเมินความปลอดภัยในการควบรวมกิจการ?

มันไม่นานพอ โดยทั่วไปผู้จัดการด้านความปลอดภัยจะมีเวลาน้อยกว่า 4 ถึง 5 สัปดาห์ในการประเมินความปลอดภัยที่ครอบคลุมของเป้าหมายการเข้าซื้อกิจการ ซึ่งรวมถึงกิจกรรมต่างๆ เช่น การทดสอบการเจาะระบบ รายการสินทรัพย์ และการตรวจสอบโค้ดของส่วนประกอบโอเพ่นซอร์สทั้งหมด

Incautación de piratas informáticos

(เครดิตรูปภาพ: Shutterstock)

อาชญากรไซเบอร์มักจะโจมตีบริษัทต่างๆ เมื่อมีข่าวการควบรวมกิจการเปิดเผยต่อสาธารณะหรือไม่?

ผู้ก่ออาชญากรรมทางไซเบอร์มักตกเป็นเหยื่อของบริษัทต่างๆ ในระหว่างกิจกรรมการควบรวมและซื้อกิจการ (M&A) โดยประเมินโอกาสที่ดีที่สุดที่จะใช้ประโยชน์จากช่องโหว่สำคัญให้ได้มากที่สุด

เมื่อมีการประกาศเกี่ยวกับการควบรวมและซื้อกิจการ (M&A) เผยแพร่ต่อสาธารณะ ผู้โจมตีอาจเพิ่มกิจกรรมการล่าที่เป็นอันตรายโดยการค้นหาทรัพย์สินที่ไม่ได้รับการตรวจสอบในบริษัทที่ถูกเข้าซื้อกิจการ ซึ่งอาจเป็นจุดเข้าขององค์กรที่ใหญ่กว่าหลังจากการเข้าซื้อกิจการและการบูรณาการ ตัวอย่างกรณีที่การเข้าซื้อกิจการถูกเล็งเป้าคือเมื่อ Marriott เข้าซื้อ Starwood ในปี 2016 Marriott ไม่ได้ดำเนินการตรวจสอบความปลอดภัยทางไซเบอร์อย่างครบถ้วนระหว่างกระบวนการควบรวมและซื้อกิจการ และส่งผลให้ Marriott ค้นพบในปี 2018 ว่าระบบ Starwood ของตนถูกบุกรุกตั้งแต่ปี 2014 ส่งผลให้ข้อมูลผู้บริโภคหลายร้อยล้านรายการถูกเปิดเผย เกิดความเสียหายต่อชื่อเสียงที่ไม่สามารถประเมินค่าได้ และสำนักงานคณะกรรมการข้อมูล (ICO) ของสหราชอาณาจักรต้องจ่ายค่าปรับ 120 ล้านดอลลาร์สหรัฐฯ ให้กับ Marriott และมีแนวโน้มว่าจะมีบทลงโทษเพิ่มเติมตามมา

คุณช่วยเล่าให้เราฟังเพิ่มเติมอีกหน่อยเกี่ยวกับแพ็คเกจ Bugcrowd M&A Assessment และอะไรเป็นแรงบันดาลใจให้องค์กรของคุณเปิดตัวโซลูชันใหม่นี้

การประเมิน M&A ของ Bugcrowd เป็นชุดการทดสอบความปลอดภัยที่จัดเตรียมไว้ล่วงหน้า ซึ่งรวมการทดสอบการเจาะระบบจากระยะไกลเข้ากับการค้นพบขั้นสูง การแจ้งเตือน การกำหนดคุณลักษณะ การกำหนดลำดับความสำคัญ และความสามารถในการจัดการทรัพย์สินของโซลูชันการจัดการพื้นผิวการโจมตีของเรา :การตรวจสอบบัญชีสินทรัพย์ ด้วยโซลูชั่นของเรา ลูกค้าสามารถเริ่มการประเมินก่อนการเข้าซื้อกิจการได้ภายใน 72 ชั่วโมงหรือเร็วกว่านั้น (ซึ่งถือเป็นเวลาชั้นนำของอุตสาหกรรม) และเข้าถึงผลลัพธ์แบบเรียลไทม์ผ่านแพลตฟอร์ม Bugcrowd จึงช่วยเร่งการประเมินข้อเท็จจริงเกี่ยวกับสถานะความปลอดภัยทางไซเบอร์ให้เร็วขึ้น เป้าหมายการฟิวชั่น ส่งผลให้องค์กรสามารถตัดสินใจเกี่ยวกับเป้าหมายการเข้าซื้อกิจการและความร่วมมือที่เป็นไปได้ได้อย่างมีข้อมูลมากขึ้น

เราได้พัฒนา M&A Assessment Suite เพื่อตอบสนองต่อลูกค้ารายเก่าของโซลูชันการทดสอบ Bug Bounty และ Pen ของเราที่ต้องการปรับเปลี่ยนผลิตภัณฑ์เหล่านี้เพื่อดำเนินการประเมินความปลอดภัยระหว่างช่วงระยะเวลาการตรวจสอบอย่างรอบคอบในกระบวนการ M&A ซึ่งหมายความว่าเราจำเป็นต้องลดระยะเวลาในการนำผลิตภัณฑ์ออกสู่ตลาดสำหรับการประเมินการทดสอบเจาะระบบเหล่านี้ลงอีก พร้อมทั้งเพิ่มฟังก์ชันการทำงานเพื่อวิเคราะห์และติดตามการเปลี่ยนแปลงบนพื้นผิวการโจมตีของเป้าหมายในการซื้ออย่างรวดเร็ว และเชื่อมโยงโซลูชันเหล่านี้เข้ากับชั้นใหม่ของการรายงานสำหรับผู้บริหาร

Dos personas trabajando en una computadora portátil

(เครดิตรูปภาพ: Pexels)

โซลูชันใหม่ของคุณแตกต่างจากการประเมินที่ดำเนินการโดยร้านทดสอบการเจาะแบบดั้งเดิมอย่างไร และคุณประโยชน์หลักคืออะไร

ความท้าทายสามประการที่เราได้ยินจากลูกค้าคือความปรารถนาที่จะเข้าถึงแหล่งข้อมูลที่มีทักษะที่ถูกต้องสำหรับกรณีการใช้งานเฉพาะของตน มากกว่าการค้นหาสิ่งที่มีอยู่เพียงอย่างเดียว หรือความจำเป็นในการใช้เวลาในการเปิดตัว อย่างรวดเร็วและหลีกเลี่ยงการตกลงกับขอบเขตที่แคบเกินไป เนื่องจากไม่มีทรัพยากรที่มีคุณสมบัติเหมาะสมสำหรับทดสอบสภาพแวดล้อมทั้งหมดของคุณ

น่าเสียดายที่องค์กรจำนวนมากที่พยายามใช้ผู้ให้บริการทดสอบปากกาแบบดั้งเดิมต้องตัดสินใจว่าควรเปิดตัวเมื่อใดและจะเลือกคุณภาพของผลลัพธ์อย่างไร สิ่งนี้อาจส่งผลให้เกิดความไม่ตรงกันอย่างมากระหว่างทักษะของผู้ประเมินและเป้าหมาย องค์กรต่างๆ มักจะไม่เห็นผลกระทบที่แท้จริงของสถานการณ์นี้จนกว่าจะผ่านไปหลายสัปดาห์ เมื่อรายงานขั้นสุดท้ายถูกส่งไปแล้ว และสายเกินไปที่จะรันรายงานอีกฉบับ ตัวเลือกอื่นที่บริษัทต่างๆ ใช้คือเครื่องสแกนที่สามารถประเมินระดับสูงอย่างรวดเร็วโดยการตรวจหาช่องโหว่ทั่วไป (CVE) ตัวเลือกนี้ได้รับความนิยมอย่างมากเนื่องจากความเร็ว แต่ก็ทำให้ลูกค้าต้องเผชิญกับผลลัพธ์บวกปลอมจำนวนมากซึ่งพวกเขาไม่มีเวลาตรวจสอบ หากองค์กรเลือกเส้นทางนี้ พวกเขาควรมีแผนในการเปิดใช้งานทรัพยากรที่จำเป็นอย่างรวดเร็วเพื่อวิเคราะห์ผลลัพธ์และให้คำแนะนำขั้นสุดท้าย

โซลูชั่นใหม่ของ Bugcrowd แตกต่างจากตัวเลือกเหล่านี้โดยสิ้นเชิงด้วยการให้การเข้าถึงแหล่งข้อมูลที่ถูกต้องได้ทันที ร่วมกับทักษะและประสบการณ์ของกลุ่มผู้เชี่ยวชาญด้านความปลอดภัยที่ได้รับการคัดสรรมาอย่างดีจำนวนหลายแสนคน ไม่ใช่แค่เรื่องเวลาการทำงานเท่านั้น - นอกจากนี้ การประเมิน M&A ของ Bugcrowd สามารถเริ่มต้นได้ภายในเวลาเพียง 72 ชั่วโมง และจะสตรีมผลลัพธ์ทันทีเพื่อคาดการณ์ผลลัพธ์ก่อนที่จะสร้างรายงานขั้นสุดท้าย ดังนั้นจึงไม่มีความประหลาดใจ XNUMX หรือ XNUMX ครั้ง สัปดาห์ต่อมา ในที่สุด ด้วย Bugcrowd องค์กรต่างๆ สามารถใช้แนวทางที่มีการบริหารจัดการอย่างเต็มรูปแบบเพื่อให้แน่ใจว่าข้อมูลสำคัญได้รับการตรวจสอบ กลั่นกรอง และจัดลำดับความสำคัญสำหรับการดำเนินการทันที

คุณช่วยบอกเราเกี่ยวกับเทคโนโลยีการจับคู่ทักษะ CrowdMatch ของคุณ และวิธีพิจารณาว่าผู้ทดสอบคนใดเหมาะสมที่สุดสำหรับการประเมิน

เทคโนโลยี CrowdMatch ของเราผสานข้อมูลหลายปีจากโปรแกรมที่มีจริยธรรมและแฮกเกอร์ลงในแพลตฟอร์มของเราเพื่อช่วยค้นหาทีมงานที่เหมาะสมสำหรับการมีส่วนร่วมเฉพาะของลูกค้าแต่ละรายโดยอัตโนมัติ ด้วยแฮกเกอร์ที่ใช้งานอยู่จำนวนหลายแสนราย ลูกค้าจึงมีนักวิจัยจำนวนมากที่จะทำงานร่วมกับโปรแกรมของตน

สำหรับการประเมิน M&A โดยเฉพาะ CrowdMatch จ้างนักวิจัยที่มีประสบการณ์ในส่วนการตรวจสอบความครบถ้วนด้านความปลอดภัยทางไซเบอร์ของกระบวนการ M&A รวมไปถึงนักวิจัยในอุตสาหกรรมด้วย เฉพาะกับเป้าหมายการเข้าซื้อและสินทรัพย์ดิจิทัลที่ต้องได้รับการทดสอบ

Investigador de seguridad

(เครดิตรูปภาพ: Shutterstock / Roman Samborskyi)

Bugcrowd ใช้โมเดลการระดมทุนจากระยะไกลเต็มรูปแบบในการทดสอบมานานเท่าใดแล้ว และแนวทางนี้มีประโยชน์อย่างไร

นับตั้งแต่ Bugcrowd ก่อตั้งในปี 2012 เราได้ควบคุมพลังและความเฉลียวฉลาดของชุมชนการวิจัยทั่วโลก เพื่อช่วยระบุ จัดลำดับความสำคัญ และแก้ไขช่องโหว่ด้านความปลอดภัย ด้วยการผสมผสานแพลตฟอร์มอัจฉริยะและชุมชนการวิจัยของเรา ลูกค้าของเราใช้ประโยชน์จากความสามารถ เครื่องมือ และพันธมิตรด้านความปลอดภัยตามความต้องการ เพื่อเพิ่มทรัพยากรภายใน จัดลำดับความสำคัญ และแก้ไขช่องโหว่ด้านความปลอดภัยที่ท้าทายที่สุด เพื่อค้นหา ด้วยวิธีนี้ เราจึงนำเสนอวิธีการรักษาความปลอดภัยแบบหลายชั้นโดยเฉพาะ ซึ่งทำหน้าที่เป็นตัวทวีคูณในกลยุทธ์การรักษาความปลอดภัยของลูกค้าของเรา

ข้อดีของการเลือกตัวเลือกเพื่อจูงใจนักวิจัยที่มีช่องโหว่คืออะไร?

โปรแกรม Bugrowd ทั้งหมดใช้ประโยชน์จากศักยภาพร่วมกันของเครือข่ายนักวิจัยระดับโลกที่ได้รับการตรวจสอบและจัดอันดับ จำนวนอาสาสมัครที่มากมายทำให้เราสามารถเลือกผู้ที่จะเชิญเข้าร่วมโปรแกรมต่างๆ ได้ตามทักษะ ประสบการณ์ และผลงานในอดีตของพวกเขา นักวิจัยจำนวนมากชอบโครงสร้างการชำระเงินที่คาดเดาได้มากกว่า ซึ่งจะช่วยขจัดความเสี่ยงและเพิ่มผลตอบแทนสูงสุด

นี่คือรูปแบบการชำระเงินของเรา: ผู้ทดสอบการเจาะระบบจะได้รับเงินจำนวนคงที่พร้อมกับความเป็นไปได้ที่จะได้รับโบนัสหากทำการทดสอบจนได้มาตรฐานคุณภาพของเรา การทดสอบปากการุ่นใหม่ของเรา ซึ่งเป็นโซลูชันการทดสอบอย่างต่อเนื่องแบบจ่ายตามการวิจัย โดยทั่วไปจะรวบรวมผลลัพธ์ได้มากกว่าโซลูชันการทดสอบปากกาแบบดั้งเดิมที่มีอยู่เดิมถึง 10-15 เท่า นี่คือวิธีแก้ปัญหาที่นักวิจัยผู้มีความสามารถเป็นพิเศษของเรามักเลือกใช้ เนื่องจากพวกเขามั่นใจในความสามารถในการเปิดเผยช่องโหว่ที่สำคัญอย่างแท้จริงและสร้างกำไรได้มากกว่า

ในทางกลับกัน Classic Pen Test ของเรา ซึ่งเป็นโซลูชันแบบจ่ายตามโครงการพร้อมแรงจูงใจแบบจ่ายตามการค้นพบ มุ่งเป้าไปที่บริษัทต่างๆ ที่กำลังมองหาโซลูชันตามความต้องการโดยมีการทดสอบที่ดำเนินการภายในระยะเวลาที่กำหนด ของโครงการ การทดสอบดินสอแบบคลาสสิกจะสร้างผลลัพธ์มากกว่าวิธีทดสอบดินสอแบบดั้งเดิมที่มีอยู่ถึง 5 เท่า

ตัวเลือกแรงจูงใจทั้งสองอย่างนำไปสู่ความภักดีของนักวิจัยในระยะยาว เนื่องจากผู้ที่มีผลงานวิจัยที่โดดเด่นมีความกระตือรือร้นที่จะทำงานกับองค์กรที่ให้รางวัลแก่ความพยายามส่วนบุคคลของพวกเขาต่อไป

Cerrar con llave

(เครดิตรูปภาพ: Shutterstock)

คุณช่วยบอกเราเพิ่มเติมเกี่ยวกับมุมมองแบบเรียลไทม์ของช่องโหว่ของแพลตฟอร์มของคุณ และประเภทของข้อมูลที่องค์กรจะมองเห็นได้ในระหว่างการประเมิน M&A ได้หรือไม่

การประเมิน M&A มีประเด็นสำคัญสองด้าน ได้แก่ การมองเห็นพื้นผิวการโจมตีและการระบุช่องโหว่ด้านความปลอดภัยที่ก่อให้เกิดความเสี่ยง ผลิตภัณฑ์สินค้าคงคลังสินทรัพย์ที่มีจำหน่ายผ่านแพ็คเกจการประเมินการควบรวมและซื้อกิจการ (M&A Assessment Package) จะแสดงสินทรัพย์และลายนิ้วมือสินทรัพย์ซึ่งมีความน่าจะเป็นสูงที่จะเป็นขององค์กรเป้าหมาย แนะนำให้เพิ่มโดเมนที่ค้นพบลงในคลังสินค้า และองค์กรสามารถยอมรับหรือปฏิเสธโดเมนเหล่านี้ได้ตามต้องการ เมื่อดำเนินการเสร็จแล้ว ระบบจะแจ้งเตือนรายการสินทรัพย์เกี่ยวกับกิจกรรมที่มีความเสี่ยงสูง เช่น ใบรับรองหมดอายุ IP ที่เปิดเผย และพอร์ตที่เปิดอยู่ สินค้าคงคลังเริ่มต้นจะใช้เวลา 2-3 วันในการ "ปรุงสุกเต็มที่" ในช่วงเริ่มต้นโปรแกรม แม้ว่าจะน้อยกว่าผลิตภัณฑ์ของคู่แข่งอย่างมาก เนื่องจากสินค้าคงคลังสินทรัพย์ใช้แนวทาง "จากภายนอกสู่ภายใน" ในระหว่างขั้นตอนก่อนการผลิต -การจัดทำดัชนีของอินเทอร์เน็ตที่รู้จักทั้งหมด

ช่องโหว่ที่ปรากฏในส่วนการทดสอบสไตลัสของการประเมินยังสามารถมองเห็นได้แบบเรียลไทม์ผ่านทางแพลตฟอร์มอีกด้วย อย่างไรก็ตาม ลูกค้าอาจเลือกที่จะรอให้ทีมคัดแยกเฉพาะของ Bugcrowd ดำเนินการตรวจสอบครั้งแรก แบ่งหมวดหมู่ และกำหนดลำดับความสำคัญเพื่อเพิ่มความสมบูรณ์ให้กับข้อมูลที่มีอยู่ขณะเดียวกันก็ลดสัญญาณรบกวนด้วย

การวิเคราะห์ของผู้เชี่ยวชาญและการให้คะแนนความเสี่ยงที่จัดทำโดยการประเมิน M&A ช่วยให้ลูกค้าของ Bugcrowd สามารถตัดสินใจได้เร็วขึ้นและชาญฉลาดมากขึ้นในระหว่างกระบวนการ M&A

ทิ้งคำตอบไว้

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

อัพโหลด