Битва между программами баунти и тестированием на проникновение

Битва между программами баунти и тестированием на проникновение

Битва между программами баунти и тестированием на проникновение

22 марта 2018 года Netflix запустил программу вознаграждения за ошибки, которая компенсирует хакерам, сообщающим об уязвимостях компании. Это то, что компания сделала за последние пять лет, но только в ограниченных условиях. Теперь, когда программа открыта для широкой публики, большое количество хакеров будет активно просматривать сайт.

Эта практика может показаться немного хаотичной, но многие люди утверждают, что платить незнакомым людям за взлом вашего сайта один из самых эффективных способов обезопасить его от потенциальных угроз. Вопрос, однако, заключается в том, действительно ли программы с наградой за ошибки действительно более эффективны, чем наличие собственной группы тестирования на проникновение.

Битва между программами баунти и тестированием на проникновение
Битва между программами баунти и тестированием на проникновение

Как работает тест на проникновение

Тест на проникновение нормальная часть цикла разработки, обычно выполняемая до того, как продукт будет выпущен для широкой публики. Он включает в себя команду отдельных лиц, как внешних, так и внутренних, которые пытаются взломать программное обеспечение или систему, которые компания хочет выпустить. Затем они сообщают обо всех уязвимостях, обнаруженных на платформе, что позволяет разработчикам устранить эти проблемы, прежде чем они впоследствии станут неприятностями.

Во время тестирования на проникновение группа обычно выполняет установленную процедуру для выявления всех возможных уязвимостей. Это может включать использование методов, которые хакеры обычно используют для проникновения в системы и программное обеспечение. В конечном итоге вы получаете полный список критических областей в вашем программном обеспечении, которые большинство хакеров смогут подорвать.

Что делает награды за ошибки такими привлекательными?

Когда вы создаете программу вознаграждения за ошибки, вы в основном говорите общественности, что готовы платить определенную сумму денег. любому, кто сможет сообщить вам о существенной уязвимости. Чтобы запустить успешную награду за ошибку, вам нужно установить несколько основных правил, чтобы люди знали, какое поведение недопустимо во время такого квеста.

Несмотря на то, что это может показаться нелогичным, иметь такой вид политика, щедрость за ошибки предлагают определенное количество преимуществ по сравнению с традиционным тестированием на проникновение:

  • Участникам щедрости выплачивается вознаграждение после обнаружения уязвимости, что создает стимул для тщательной проверки всего программного обеспечения. Тестирование на проникновение не представляет этих стимулов, так как членам команды платят независимо от того, насколько они тщательны.
  • Щедрости дают тысячам опытных хакеров возможность проверить свои способности, предоставляя невероятное количество перспектив. Группы тестирования на проникновение, как правило, ограничены в размерах. Независимо от их навыков, их перспективы ограничены.
  • Многие участники баунти-багов являются опытными профессионалами, работающими полный рабочий день, которые одновременно участвуют в нескольких различных охотах.
  • Компании с огромными площадями атак (то есть программное обеспечение, которое очень подвержено нарушениям) может обнаружить ошибки, которые ранее были исключены их собственными командами.

Почему тестирование на проникновение все еще актуально

Количество ошибок может быть великим, но все они не обязательно работают для компаний, которые не имеют огромных сообщества. Его причина проникновения тестирования все еще большое явление. Например, если вы являетесь компанией, поставляющей программное обеспечение для медицинских товаров, вы можете получить не так много желающих участников, как, например, студия видеоигр с сообществом из десятков тысяч человек.

Тестирование на проникновение по-прежнему дает другие преимущества, которые может убедить компании полностью отказаться от идеи появления багов:

  • Вы сводите к минимуму риск того, что ваши уязвимости станут достоянием общественности, прежде чем вы сможете исправить их. Даже если вы устанавливаете правило, запрещающее это, в своей награде за баги, люди могут неправильно ее интерпретировать.
  • Аутсорсинговые компании по тестированию на проникновение могут предложить сертификацию, важную для ваших клиентов.
  • Качество в тестировании на проникновение отчетов зачастую гораздо больше.
  • Он полезен на рынках с высокой степенью регулирования (таких как обработка платежей и все, что обрабатывает данные банковских / дебетовых / кредитных карт).

Считаете ли вы более безопасным использование Netflix из-за его программы баунти-багов? Или компании лучше работать с командой по тестированию на проникновение? Расскажите нам все об этом в комментарии!

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Не стесняйтесь вносить свой вклад!

Добавить комментарий