Trouvé l'année dernièreVulnérabilités du serveur Microsoft Exchange, et a remporté les Pwnie Awards, connus sous le nom d'« Oscars de l'industrie de la cybersécurité »Prix de la meilleure vulnérabilité de serveurDEVCORE a ensuite partagé sa philosophie sur la mise en place d'exercices d'équipe rouge et d'autres services aujourd'hui (1/12), et a souligné qu'il espérait aider les entreprises à établir des mécanismes de protection de sécurité du système adéquats grâce à des idées d'attaques de pirates informatiques.
Weng Haozheng, cofondateur et PDG de DEVCORE, a déclaré que les concepts de protection de sécurité de nombreuses entreprises sont souvent basés sur l'achat de solutions de protection de sécurité auprès de l'extérieur, mais ils ignorent souvent les vulnérabilités générées lors du fonctionnement réel du système, ce qui facilite l'invasion par des attaques externes, entraînant le vol de données ou des dommages encore plus importants.
DEVCORE estime qu'en utilisant les mêmes méthodes d'attaque que les pirates informatiques pour pénétrer les systèmes d'entreprise, ils peuvent aider plus directement et plus efficacement les entreprises à identifier les vulnérabilités de sécurité et à améliorer leurs capacités de protection sans impacter leurs opérations ni la sécurité des données. Ainsi, grâce aux évaluations Red Team et aux tests d'intrusion, les entreprises peuvent identifier les vulnérabilités en amont, évitant ainsi d'être submergées en cas d'attaque réelle.
Weng Haozheng a déclaré que la défense par l'attaque a toujours été l'esprit de DEVCORE. Il est également convaincu que seules des attaques continues et l'exploitation des failles permettront de trouver de véritables méthodes de protection.
Depuis sa création en novembre 2012, DEVCORE propose des services de tests d'intrusion de haute qualité pour aider les entreprises des secteurs critiques pour la sécurité, notamment les administrations publiques, la finance, les semi-conducteurs, le e-commerce et la santé, à vérifier leurs protections de sécurité. En 11, DEVCORE a officiellement lancé des exercices d'équipe rouge, utilisant des simulations en conditions réelles pour valider les capacités de sécurité des entreprises et identifier les vulnérabilités potentielles.
Après avoir remporté de nombreux prix et contribué à la découverte de diverses vulnérabilités de sécurité au sein des entreprises, DEVCORE a déclaré que plus de 9 % des systèmes externes des entreprises peuvent être directement pénétrés et accessibles, et que plus de 7 % des systèmes centraux des entreprises peuvent être piratés et contrôlés, entraînant des interruptions de service. Cela souligne la nécessité de vérifier la sécurité des informations des entreprises par des opérations réelles afin de garantir leur niveau de sécurité réel.
Cependant, alors que les vulnérabilités de sécurité des entreprises continuent d'être découvertes et corrigées, cela signifie-t-il que DEVCORE ne pourra plus jouer son rôle ? Xu Fukai, cofondateur de DEVCORE et directeur de la Red Team, estime que le développement continu des technologies renforcera la sécurité des réseaux. Parallèlement, les technologies antivirus et les solutions de protection gagneront en efficacité, et même les nouveaux services et frameworks applicatifs seront moins vulnérables. Cependant, lors des itérations et des mises à jour des systèmes, les anciens codes de programme, les autorisations d'utilisation et les structures système plus complexes continueront de générer des vulnérabilités. Par conséquent, DEVCORE peut continuer d'aider les entreprises à identifier les vulnérabilités grâce à une approche de hacker.
Par conséquent, en matière de cybersécurité, DEVCORE estime que les entreprises devraient privilégier les exercices sur le terrain et les simulations de pénétration, d'autant plus que certains pays commencent à exploiter les vulnérabilités de leurs systèmes comme des armes numériques. De plus, de plus en plus d'organisations acquièrent des informations, publiques ou privées, sur les vulnérabilités de leurs systèmes. À l'avenir, il pourrait devenir encore plus difficile d'imaginer l'impact potentiel des vulnérabilités de ces systèmes.
