Showdownen mellem Bug Bounty Programmer og Penetration Testing
Den 22. marts 2018 startede Netflix et "bug bounty" -program, der kompenserer hackere, der rapporterer sårbarheder til virksomheden. Dette er noget, som virksomheden har gjort i de sidste fem år, men kun i en begrænset indstilling. Nu, da det har åbnet programmet for offentligheden, vil det få et stort antal hackere, der kigger gennem webstedet i vid udstrækning.
Denne praksis kan virke lidt kaotisk, men mange hævder, at at betale fremmede for at hacke dit websted er en af de mest effektive måder at sikre den mod potentielle trusler. Spørgsmålet er imidlertid, om fejlbidragsprogrammer virkelig er mere effektive end at have et internt penetrationstesthold.
Hvordan penetrationstest virker
Penetration test er en normal del af udviklingscyklussen, der normalt gøres før et produkt udgives til offentligheden. Det involverer et team af individer, enten outsourcet eller internt, der forsøger at "hack" den software eller det system, som virksomheden ønsker at frigive. De rapporterer derefter alle sårbarheder, der findes på platformen, så udviklere kan løse disse problemer, før de bliver gener senere.
Under penetrationstest følger teamet typisk en fast procedure for at afdække alle mulige sårbarheder. Dette kan indebære brugen af teknikker, som hackere typisk bruger til at infiltrere systemer og software. Hvad du ender med er en omfattende liste over kritiske områder i din software, som de fleste hackere ville kunne undergrave.
Hvad gør Bug Bounties så attraktive?
Når du laver et bug-bounty-program, fortæller du stort set offentligheden, at du er villig til at betale en bestemt sum penge til enhver, der klarer at rapportere en betydelig sårbarhed for dig. For at køre en succesfuld bug-bounty skal du indstille et par grundregler, så folk ved, hvilken slags adfærd der er uacceptabel under en sådan quest.
Til trods for, hvor modintuitiv det kan lyde at have denne slags politik, giver bug bounties et vist antal fordele i forhold til traditionel penetrationstestning:
- Deltagere i gevinstbeløbet betales, når der er fundet en sårbarhed, hvilket skaber et incitament til at foretage en grundig feje af al softwaren. Penetration testning præsenterer ikke disse incitamenter, da holdmedlemmer er betalt uanset hvor grundige de er.
- Bounties giver tusinder af dygtige hackere mulighed for at teste deres mettle, hvilket giver et utroligt antal perspektiver. Penetration test teams tendens til at være begrænset i størrelse. Uanset deres dygtighed er deres perspektiv begrænset.
- Mange bug-bounty-deltagere er dygtige fuldtidsansatte, der deltager i flere forskellige hunts på samme tid.
- Virksomheder med store "angrebsoverflader" (dvs. software, der er meget tilbøjelige til brud) kan afdække bugs, der tidligere blev udeladt af deres egne hold.
Hvorfor penetrationstest er stadig relevant
Bug bounties kan være stor og alle, men de arbejder ikke nødvendigvis for virksomheder, der ikke har enorme samfund. Det er grunden til penetrationstestning er stadig et stort fænomen. Hvis du f.eks. Er et medicinsk forsyningssoftwarefirma, kan du for eksempel ikke få så mange villige deltagere som f.eks. En videospilstudio med et fællesskab af titusindvis af mennesker.
Penetration test giver stadig andre fordele, der kan overbevise virksomheder om at forlade ideen om bug bounties helt:
- Du minimerer risikoen for, at dine sårbarheder bliver udsat for offentligheden, før du har mulighed for at rette dem. Selv hvis du sætter en regel imod dette i din bug-bounty, er folk forpligtet til at fortolke det.
- Outsourced penetration test virksomheder kan tilbyde certificering, der er vigtigt for dine kunder.
- Kvaliteten af rapportering er ofte meget højere i penetrationstest.
- Det er nyttigt på højtregulerede markeder (såsom betalingsbehandling og alt hvad der håndterer bank- / debetkort / kreditkortdata).
Føler du dig mere sikker ved at bruge Netflix på grund af sin bug-bounty-program? Eller ville selskabet have været bedre til at arbejde med et penetrationstesthold? Fortæl os alt om det i en kommentar!