Проучването между програмите за Bug Bounty и тестването на проникване
На 22 март 2018 г. Netflix стартира програма "Bounty Bounty", която компенсира хакерите, които съобщават за уязвимости в компанията. Това е нещо, което компанията е направила през последните пет години, но само в ограничена обстановка. Сега, когато програмата е отворена за обществеността, ще има голям брой хакери, които преглеждат сайта широко.
Тази практика може да изглежда малко хаотична, но много хора твърдят, че изплащането на непознати, които да хакнат вашия уеб сайт, е един от най-ефективните начини да го защитим от потенциални заплахи. Въпросът обаче е дали програмите за отпускане на бъгове са наистина по-ефективни от това, че разполагате с вътрешен екип за тестване за проникване.
Как се извършва тестването на проникване
Проверката на проникването е нормална част от цикъла на разработка, която обикновено се прави, преди продуктът да бъде пуснат на обществеността. Тя включва екип от отделни лица, или външни, или вътрешни, които се опитват да "хакнат" софтуера или системата, които компанията иска да освободи. След това те докладват за всички уязвимости, открити на платформата, което позволява на разработчиците да решават тези проблеми преди да станат неудобства по-късно.
По време на тестовете за проникване екипът обикновено следва определена процедура, за да открие всички възможни уязвимости. Това може да включва използването на техники, които хакерите обикновено използват за инфилтриране на системи и софтуер. В крайна сметка това е изчерпателен списък на критичните области в софтуера, които повечето хакери биха могли да навредят.
Какво прави Bug Bounties толкова привлекателен?
Когато правите програма за отхвърляне на бъгове, вие основно разказвате на обществеността, че сте готови да платите определена сума пари на всеки, който успее да отчете значителна уязвимост към вас. За да изпълните успешна бъг на бъгове, трябва да зададете няколко основни правила, така че хората да знаят какъв вид поведение е неприемливо по време на такова търсене.
Независимо от това, колко контраиндиутивен може да звучи, за да има такъв вид политика, приходите от бъгове предлагат известен брой предимства пред традиционното пробивно проследяване:
- Участниците в наградата се изплащат, след като се открие уязвимост, създавайки стимул за цялостна проверка на целия софтуер. Тестовете за проникване не представят тези стимули, тъй като членовете на екипа се изплащат независимо от това колко задълбочени са те.
- Наградите дават на хиляди квалифицирани хакери възможността да изпробват своята смелост, като предоставят невероятен брой перспективи. Екипите за тестване за проникване имат тенденция да бъдат ограничени по размер. Независимо от уменията си, тяхната перспектива е ограничена.
- Много от участниците в бъговете са квалифицирани професионалисти на пълно работно време, които участват в няколко различни ловки по едно и също време.
- Компаниите с огромни "атакуващи повърхности" (т.е. софтуер, който е много податлив на нарушаване) могат да разкрият бъгове, които преди това са били изключени от собствените им екипи.
Защо проследяването на проникването все още е от значение
Bug отстъпки може да бъде страхотно и всичко, но те не работят непременно за компании, които нямат огромни общности. Това е причината тестът за проникване все още да е голям феномен. Ако сте фирма за софтуер за медицинско снабдяване, например, може да не получите толкова много желаещи участници, колкото, например, студио за видео игри с общности от десетки хиляди хора.
Тестовете за проникване все още предлагат други предимства, които биха могли да убедят компаниите да се откажат изцяло от идеята за откуп от грешки:
- Вие свеждате до минимум риска вашите уязвимости да бъдат изложени на публиката, преди да имате възможност да ги коригирате. Дори ако зададете правило срещу това във вашите бъгове, хората са длъжни да го тълкуват неправилно.
- Фирмите, извършващи тестове за проникване на външни изпълнители, могат да предложат сертифициране, което е важно за вашите клиенти.
- Качеството на отчитането често е много по-високо в теста за проникване.
- Това е полезно за високорегулираните пазари (като обработка на плащания и всичко, което обработва данни за банкови / дебитни / кредитни карти).
Чувствате ли се по-безопасно, използвайки Netflix поради програмата му за отхвърляне на бъгове? Или може ли компанията да е по-добре да работи с екип за тестване по проникване? Кажете ни всичко в коментар!