Pojedynek między programami Bug Bounty a testami penetracyjnymi.

22 marca 2018 r. Netflix uruchomił program „bug bounty”, który wynagradza hakerów zgłaszających firmie luki w zabezpieczeniach. Jest to coś, co firma robiła przez ostatnie pięć lat, ale tylko w ograniczonym otoczeniu. Teraz, gdy program został udostępniony publicznie, duża liczba hakerów będzie intensywnie przeglądać witrynę.

Ta praktyka może wydawać się nieco chaotyczna, ale wiele osób twierdzi, że płacenie nieznajomym za włamanie się do Twojej witryny jest jednym z najskuteczniejszych sposobów zabezpieczenia jej przed potencjalnymi zagrożeniami. Pytanie brzmi jednak, czy programy bug bounty są naprawdę skuteczniejsze niż posiadanie wewnętrznego zespołu testującego penetrację.

Pojedynek między programami Bug Bounty a testami penetracyjnymi

Jak działają testy penetracyjne

Testy penetracyjne to normalna część cyklu rozwojowego, którą zwykle wykonuje się przed udostępnieniem produktu publicznie. Obejmuje zespół osób, zleconych lub wewnętrznych, które próbują „hakować” oprogramowanie lub system, który firma chce wydać. Następnie zgłaszają wszystkie luki znalezione na platformie, umożliwiając programistom naprawienie tych problemów, zanim staną się później uciążliwe.

Podczas testów penetracyjnych zespół zazwyczaj postępuje zgodnie z ustaloną procedurą, aby odkryć wszystkie możliwe luki w zabezpieczeniach. Może to wiązać się z wykorzystaniem technik, których hakerzy zwykle używają do infiltracji systemów i oprogramowania. To, co otrzymujesz, to obszerna lista krytycznych obszarów twojego oprogramowania, które większość hakerów byłaby w stanie obalić.

Pojedynek między programami Bug Bounty a testami penetracyjnymi

Co sprawia, że ​​nagrody za błędy są tak atrakcyjne?

Kiedy tworzysz program nagród za błędy, w zasadzie mówisz opinii publicznej, że jesteś gotów zapłacić określoną kwotę każdemu, kto zgłosi ci znaczącą lukę w zabezpieczeniach. Aby pomyślnie przeprowadzić nagrodę za błąd, musisz ustalić kilka podstawowych zasad, aby ludzie wiedzieli, jakie zachowanie jest niedopuszczalne podczas takiego zadania.

Pomimo tego, jak sprzeczne z intuicją może wydawać się posiadanie tego rodzaju polityki, nagrody za błędy oferują pewną liczbę zalet w porównaniu z tradycyjnymi testami penetracyjnymi:

Pojedynek między programami Bug Bounty a testami penetracyjnymi
  • Uczestnicy bounty otrzymują wynagrodzenie po znalezieniu luki w zabezpieczeniach, co stanowi zachętę do dokładnego przeszukania całego oprogramowania. Testy penetracyjne nie przedstawiają tych zachęt, ponieważ członkowie zespołu otrzymują wynagrodzenie niezależnie od tego, jak bardzo są dokładni.
  • Nagrody dają tysiącom wykwalifikowanych hakerów możliwość sprawdzenia swoich umiejętności, zapewniając niewiarygodną liczbę perspektyw. Zespoły testujące penetrację mają zwykle ograniczoną wielkość. Niezależnie od ich umiejętności, ich perspektywa jest ograniczona.
  • Wielu uczestników bug bounty to wykwalifikowani pełnoetatowi profesjonaliści, którzy biorą udział w kilku różnych polowaniach w tym samym czasie.
  • Firmy dysponujące ogromnymi „powierzchniami ataku” (tj. oprogramowaniem, które jest bardzo podatne na naruszenia) mogą wykryć błędy, które wcześniej zostały pominięte przez ich własne zespoły.

Dlaczego testy penetracyjne są nadal aktualne

Nagrody za błędy mogą być świetne iw ogóle, ale niekoniecznie działają dla firm, które nie mają ogromnych społeczności. To jest powód, dla którego testy penetracyjne są nadal dużym fenomenem. Jeśli na przykład zajmujesz się oprogramowaniem medycznym, możesz nie mieć tak wielu chętnych uczestników, jak na przykład studio gier wideo ze społecznością liczącą dziesiątki tysięcy ludzi.

Testy penetracyjne nadal oferują inne korzyści, które mogą przekonać firmy do całkowitej rezygnacji z idei nagród za błędy:

Pojedynek między programami Bug Bounty a testami penetracyjnymi
  • Minimalizujesz ryzyko ujawnienia swoich luk w zabezpieczeniach, zanim będziesz miał szansę je naprawić. Nawet jeśli ustawisz regułę przeciwko temu w swojej nagrodzie za błędy, ludzie na pewno źle to zinterpretują.
  • Zewnętrzne firmy zajmujące się testami penetracyjnymi mogą oferować certyfikaty, które są ważne dla Twoich klientów.
  • Jakość raportowania jest często znacznie wyższa w testach penetracyjnych.
  • Jest to przydatne na wysoce regulowanych rynkach (takich jak przetwarzanie płatności i wszystko, co obsługuje dane bankowe/debetowe/kart kredytowych).

Czy czujesz się bezpieczniej, korzystając z serwisu Netflix ze względu na program nagród za błędy? A może firmie lepiej byłoby współpracować z zespołem testującym penetrację? Opowiedz nam o tym wszystkim w komentarzu!