The Showdown mellom Bug Bounty Programmer og Penetration Testing
Den 22. mars 2018 startet Netflix et "bug bounty" -program som kompenserer hackere som rapporterer sårbarheter til selskapet. Dette er noe selskapet har gjort de siste fem årene, men bare i begrenset innstilling. Nå som det har åpnet programmet for publikum, vil det få et stort antall hackere som ser gjennom nettstedet mye.
Denne øvelsen kan virke litt kaotisk, men mange hevder at betalende fremmede å hacke nettstedet ditt er en av de mest effektive måtene for å sikre det mot potensielle trusler. Spørsmålet er imidlertid om bugs-bounty-programmer er virkelig mer effektive enn å ha et internasjonalt penetrasjonstestlag.
Hvordan penetrasjonstesting virker
Penetrasjonstesting er en vanlig del av utviklingssyklusen som vanligvis gjøres før et produkt blir utgitt for offentligheten. Det innebærer et team av enkeltpersoner, enten outsourcet eller internt, som forsøker å "hacke" programvaren eller systemet som selskapet ønsker å slippe ut. De rapporterer deretter alle sårbarheter som finnes på plattformen, slik at utviklere kan fikse disse problemene før de blir problemer senere.
Under penetrasjonstesting følger laget vanligvis en sett prosedyre for å avdekke alle mulige sårbarheter. Dette kan innebære bruk av teknikker som hackere vanligvis bruker til å infiltrere systemer og programvare. Det du ender med er en omfattende liste over kritiske områder i programvaren din, som de fleste hackere vil kunne undergrave.
Hva gjør Bug Bounties så attraktivt?
Når du lager et bugs-program, forteller du stort sett offentligheten at du er villig til å betale en mengde penger til alle som klarer å rapportere et betydelig sårbarhet for deg. For å kjøre en vellykket feilgodtgjørelse må du sette et par grunnregler slik at folk vet hva slags oppførsel er uakseptabelt under en slik oppgave.
Til tross for hvordan motintuitiv kan det høres ut som å ha denne typen politikk, gir bug-bounties et visst antall fordeler i forhold til tradisjonell penetrasjonstesting:
- Deltakerne i bounty blir betalt når en sårbarhet er funnet, noe som skaper et incitament til å gjøre en grundig feie av all programvare. Penetrasjonstesting presenterer ikke disse insentiver, siden lagmedlemmer blir betalt uavhengig av hvor grundig de er.
- Bounties gir tusenvis av dyktige hackere muligheten til å teste deres mettle, og gir et utrolig antall perspektiver. Penetrasjon test team har en tendens til å være begrenset i størrelse. Uansett deres ferdighet er deres perspektiv begrenset.
- Mange bug-bounty-deltakere er dyktige heltidsansatte som deltar i flere forskjellige hunter samtidig.
- Bedrifter med store "angrep overflater" (dvs. programvare som er svært utsatt for brudd) kan avdekke bugs som tidligere ble utelatt av egne lag.
Hvorfor penetrasjonstesting er fortsatt relevant
Bug bounties kan være flott og alt, men de trenger ikke nødvendigvis for bedrifter som ikke har enorme samfunn. Det er grunnen til at penetrasjonstesting fortsatt er et stort fenomen. Hvis du for eksempel er et medisinsk forsyningsprogramvarefirma, kan du for eksempel ikke få så mange villige deltakere som en videospillstudio med et fellesskap av titusenvis av mennesker.
Penetrasjonstest gir fremdeles andre fordeler som kan overbevise selskapene om å forkaste ideen om bug-bounties helt:
- Du minimerer risikoen for at dine sårbarheter blir utsatt for offentligheten før du har mulighet til å fikse dem. Selv om du angir en regel mot dette i din buggodtgjørelse, er folk bundet til å misfortolke det.
- Outsourced penetration testing selskaper kan tilby sertifisering som er viktig for kundene dine.
- Kvaliteten på rapporteringen er ofte mye høyere i penetrasjonstesting.
- Det er nyttig i høyregulerte markeder (som betalingsbehandling og alt som håndterer bank / debet / kredittkortdata).
Føler du deg tryggere ved å bruke Netflix på grunn av sin bug-bounty-program? Eller ville selskapet vært bedre i å jobbe med et penetrerings testingsteam? Fortell oss alt om det i en kommentar!