22 марта 2018 года Netflix запустил программу «Bug Bounty», которая выплачивает вознаграждение хакерам, сообщающим компании об уязвимостях. Это то, чем компания занималась последние пять лет, но только в ограниченных условиях. Теперь, когда программа открыта для публики, сайт будет активно просматривать большое количество хакеров.
Эта практика может показаться немного хаотичной, но многие люди утверждают, что платить незнакомцам за взлом вашего сайта — это один из наиболее эффективных способов защитить его от потенциальных угроз. Однако вопрос в том, действительно ли программы вознаграждения за обнаружение ошибок более эффективны, чем наличие собственной команды по тестированию на проникновение.
Как работает тестирование на проникновение
Тестирование на проникновение – это обычная часть цикла разработки, которая обычно проводится перед выпуском продукта для широкой публики. В нем участвует группа людей, привлеченных на аутсорсинг или штатных сотрудников, которые пытаются «взломать» программное обеспечение или систему, которые компания хочет выпустить. Затем они сообщают обо всех уязвимостях, обнаруженных на платформе, что позволяет разработчикам исправить эти проблемы, прежде чем они станут помехой в будущем.
Во время тестирования на проникновение команда обычно следует установленной процедуре, чтобы выявить все возможные уязвимости. Это может включать использование методов, которые хакеры обычно используют для проникновения в системы и программное обеспечение. В итоге вы получите полный список критических областей вашего программного обеспечения, которые большинство хакеров смогут взломать.
Что делает вознаграждения за обнаружение ошибок такими привлекательными?
Когда вы создаете программу вознаграждений за обнаружение ошибок, вы, по сути, сообщаете общественности, что готовы заплатить определенную сумму денег любому, кто сумеет сообщить вам о значительной уязвимости. Чтобы успешно провести поиск ошибок, вам необходимо установить несколько основных правил, чтобы люди знали, какое поведение недопустимо во время такого поиска.
Несмотря на то, что такая политика может показаться нелогичной, вознаграждение за обнаружение ошибок предлагает определенный ряд преимуществ по сравнению с традиционным тестированием на проникновение:
- Участникам вознаграждения выплачивается вознаграждение после обнаружения уязвимости, что создает стимул для тщательной проверки всего программного обеспечения. Тестирование на проникновение не дает таких стимулов, поскольку членам команды платят независимо от того, насколько тщательно они работают.
- Баунти дают тысячам опытных хакеров возможность проверить свои силы, открывая невероятное количество точек зрения. Группы тестирования на проникновение, как правило, ограничены в размере. Независимо от их навыков, их точка зрения ограничена.
- Многие участники программы «Bug Bounty» являются опытными штатными профессионалами, которые одновременно участвуют в нескольких различных поисках.
- Компании с огромной «поверхностью атаки» (т. е. программным обеспечением, которое очень подвержено взломам) могут обнаруживать ошибки, которые ранее не учитывались их собственными командами.
Почему тестирование на проникновение все еще актуально
Баунти за обнаружение ошибок могут быть отличными и все такое, но они не обязательно работают для компаний, у которых нет огромного сообщества. Именно по этой причине тестирование на проникновение по-прежнему остается большим явлением. Например, если вы занимаетесь разработкой программного обеспечения для медицинского оборудования, у вас может быть не так много желающих, как, скажем, у студии видеоигр с сообществом в десятки тысяч человек.
Тестирование на проникновение по-прежнему предлагает и другие преимущества, которые могут убедить компании полностью отказаться от идеи вознаграждения за обнаружение ошибок:
- Вы минимизируете риск того, что ваши уязвимости станут достоянием общественности до того, как у вас появится возможность их исправить. Даже если вы установите запрет на это в своем сообщении об обнаружении ошибок, люди обязательно его неправильно истолкуют.
- Аутсорсинговые компании, занимающиеся тестированием на проникновение, могут предложить сертификацию, которая важна для ваших клиентов.
- Качество отчетов при тестировании на проникновение зачастую намного выше.
- Это полезно на жестко регулируемых рынках (таких как обработка платежей и все, что связано с данными банковских/дебетовых/кредитных карт).
Чувствуете ли вы себя в большей безопасности, используя Netflix из-за его программы вознаграждения за ошибки? Или компании было бы лучше работать с командой по тестированию на проникновение? Расскажите нам об этом в комментариях!