Hackdayn järjestäminen lyhyesti

Hackday on vapaaehtoisille valkohattuisille hakkereille järjestettävä tapahtuma, jossa etsitään asiakkaan järjestelmästä/järjestelmistä tietoturvapoikkeamia. Hakkerit toimivat tiimeinä. Hakkeroinnin tuloksena löytyneiden poikkeamien ja haavoittuvuuksien vakavuus ja raporttien laatu arvioidaan päivän aikana asiantuntijaraadin (jury-tiimin) toimesta. Kommunikaatio hakkeritiimien kanssa on reaaliaikaista ja parhaimmillaan pelimäistä. Tyypillisesti osallistuville hakkereille maksetaan pieni kertakorvaus osallistumisesta, tarjotaan toimivat tilat, verkkoyhteydet sekä lounas ja erinomaiset verkostoitumismahdollisuudet. Löydetyistä haavoittuvuuksista voidaan myös maksaa korvaus bug bounty -henkisesti.

Hackdayn järjstämisellä pyritään löytämään kohteesta nopealla aikataululla mahdollisimman paljon tietoturvapoikkeamia verrattuna yleisempään kolmannen osapuolen tietoturva-auditointin tai penetraatiotestaukseen. Kohde voi olla kypsässä kehitysvaiheessa tai jo avoimesti tuotannossa.

Mitä Mint Security toimittaa

Osaamme tunnistaa tapahtuman järjestämiseen vaadittavat resurssit, sopimusasiat, hakkereiden odotukset tapahtumalta sekä ohjata tapahtuman suunnittelua ja arvioida järjestelmien kypsyyttä ja tietoturvaa hackdayn järjestämisen näkökulmasta.

Hackdayn kohdejärjestelmä sekä -ympäristö tulee määritellä tarkasti ja hakkerointikohteen rajat tulee tunnistaa. Osallistumme teknisten reunaehtojen tunnistamiseen, määrittelyyn ja suunnitteluun. Kokemuksemme auttaa tunnistamaan mahdolliset ongelmakohdat, jotka kannattaa rajata hakkerointikohteen ulkopuolelle. Hackdayn aikana löydettävät havainnot tulee pystyä raportoimaan sujuvasti ja jos asiakkaalla itsellään ei ole järjestelmää, joka mahdollistaa hakkeritiimikohtaisen puolianonyymin raportoinnin ja tiedottamisen tiimeille päivän aikana, voimme tuoda tapahtumaan raportointijärjestelmän. Raportointijärjestelmä ei jää asiakkaan käytöön, mutta asiakas saa kaiken raakadatan. Teemme raporttidatan pohjalta myös loppuraportin asiakkaan toiveiden mukaisesti.

Osallistumme myös Hackdayn aikana asiantuntijaraadin toimintaan, jonka tehtävänä on arvioida hakkeriryhmien havaintojen laatua sekä vakavuutta reaaliajassa. Pystymme toimittamaan myös riippumattomia asiantuntijoita asiantuntijaraatiin. Mint Securityllä on malli havaintokohtaisen palkkiosummien arviointiin.

Asiakkaiden tarpeet ja ratkaistavat haasteet

Asiakkaiden tarpeet voivat vaihdella organisaation oman osaamistason mukaisesti. Organisaatiossa, jossa tietoturva on vahvasti osana päivittäistä toimintaa, moni suunnitteluvaiheen tehtävä tai sen vetäminen voidaan tehdä asiakkaan toimesta. Tuomme tarvittavaa asiantuntemusta, jotta kaikki vaatimukset pystytään kattamaan. Asiakkaan on aina osallistuttava tiiviisti hackdayn suunnitteluun ja järjestelyihin.

Verkostomme avulla voimme tiedottaa hackdaysta hakkereille.

Asiakas vastaa aina löydettyjen tietoturvapoikkeamien korjausten koordinoinnista, voimme tosin auttaa myös tässä työssä niin sovittaessa.

Tarkemmin menetelmistämme ja työkaluistamme

Tapahtuman suunnittelu

Suunnittelu koostuu taustaselvityksen tekemisestä, rajausten sekä kohdeympäristön määrittelystä, workshopeista ja tehtävien seurannasta kohteen mukaisesti. Suunnitteluun kuuluvat myös sopimukselliset ja viestinnälliset asiat sekä arviointiryhmän tehtävät sekä kokoonpanon määrittäminen. Yksi tärkeimmistä tehtävistä on päivän kulun ja hakkereiden ohjeistuksen suunnitteleminen.

Tapahtumapäivä

Tapahtumapäivän koordinoinnissa osallistumme asiakkaan tarpeiden mukaisesti hakkereiden vastaanottamiseen, aviointiryhmän ohjaukseen, arviointiryhmän toimintaan, raportointijärjestelmän ylläpitoon, tiedotteiden toimittamiseen hakkereille päivän aikana, mahdollisten kohdeympäristön häiriötilanteiden selvitysten koordinointiin sekä mahdollisiin muihin tehtäviin.

Raportointi

Tuomma tapahtuman raportointivälineeksi Atlassian JIRA -alustan johon olemme rakentaneet valmiin hackday-järjestelmän. Järjestelmästä syntyy kattava loppuraportti.