Showdown giữa Bug Bounty Chương trình và thử nghiệm thâm nhập
Vào ngày 22 tháng 3 năm 2018, Netflix đã bắt đầu chương trình "tiền thưởng lỗi" để đền bù cho các tin tặc báo cáo lỗ hổng cho công ty. Đây là điều mà công ty đã làm trong năm năm qua, nhưng chỉ trong một môi trường hạn chế. Bây giờ nó đã mở chương trình cho công chúng, nó sẽ có một số lượng lớn các tin tặc tìm kiếm thông qua trang web rộng rãi.
Thực tế này có vẻ hơi hỗn loạn, nhưng nhiều người khẳng định rằng việc trả tiền người lạ để hack trang web của bạn là một trong những cách hiệu quả nhất để bảo vệ nó khỏi các mối đe dọa tiềm ẩn. Tuy nhiên, câu hỏi đặt ra là liệu các chương trình tiền thưởng lỗi có thực sự hiệu quả hơn việc có một nhóm thử nghiệm thâm nhập nội bộ hay không.
Cách kiểm tra thâm nhập hoạt động
Thử nghiệm thâm nhập là một phần bình thường của chu kỳ phát triển thường được thực hiện trước khi một sản phẩm được phát hành ra công chúng. Nó bao gồm một nhóm các cá nhân, hoặc được thuê ngoài hoặc trong nhà, cố gắng "hack" phần mềm hoặc hệ thống mà công ty muốn phát hành. Sau đó, họ báo cáo tất cả các lỗ hổng được tìm thấy trên nền tảng này, cho phép các nhà phát triển khắc phục những vấn đề này trước khi chúng trở thành mối phiền toái sau này.
Trong quá trình thử nghiệm thâm nhập, nhóm thường theo một quy trình thiết lập để phát hiện tất cả các lỗ hổng có thể xảy ra. Điều này có thể liên quan đến việc sử dụng các kỹ thuật mà tin tặc thường sử dụng để thâm nhập vào hệ thống và phần mềm. Những gì bạn kết thúc là một danh sách đầy đủ các lĩnh vực quan trọng trong phần mềm của bạn mà hầu hết các tin tặc sẽ có thể phá hoại.
Điều gì làm cho Bug Bounties Vì vậy, hấp dẫn?
Khi bạn thực hiện một chương trình tiền thưởng lỗi, bạn về cơ bản nói với công chúng rằng bạn sẵn sàng trả một số tiền nhất định cho bất kỳ ai quản lý để báo cáo một lỗ hổng đáng kể cho bạn. Để chạy tiền thưởng lỗi thành công, bạn cần thiết lập một số quy tắc cơ bản để mọi người biết loại hành vi nào là không thể chấp nhận được trong suốt quá trình tìm kiếm.
Mặc dù có thể phản trực giác như thế nào đối với loại chính sách này, nhưng các bounties lỗi cung cấp một số lợi thế nhất định trong thử nghiệm thâm nhập truyền thống:
- Những người tham gia vào tiền thưởng được trả một khi một lỗ hổng được tìm thấy, tạo ra một động cơ để làm một quét toàn diện của tất cả các phần mềm. Thử nghiệm thâm nhập không đưa ra những ưu đãi này, vì các thành viên trong nhóm được trả tiền bất kể họ là người toàn diện như thế nào.
- Bounties cung cấp cho hàng ngàn tin tặc lành nghề cơ hội để kiểm tra dũng khí của họ, cung cấp một số lượng đáng kinh ngạc của quan điểm. Các nhóm thử nghiệm thâm nhập có xu hướng bị hạn chế về kích thước. Bất kể kỹ năng của họ, quan điểm của họ bị hạn chế.
- Nhiều người tham gia bounty lỗi là các chuyên gia toàn thời gian có kỹ năng tham gia vào nhiều cuộc săn khác nhau cùng một lúc.
- Các công ty có “bề mặt tấn công” khổng lồ (tức là phần mềm rất dễ bị vi phạm) có thể phát hiện ra các lỗi đã bị các đội của họ loại bỏ trước đó.
Tại sao thử nghiệm thâm nhập vẫn có liên quan
Lỗi bounties có thể là tuyệt vời và tất cả, nhưng họ không nhất thiết phải làm việc cho các công ty không có cộng đồng lớn. Đó là lý do thử nghiệm thâm nhập vẫn là một hiện tượng lớn. Ví dụ, nếu bạn là một công ty cung cấp phần mềm y tế, bạn có thể không có nhiều người tham gia sẵn sàng như một studio trò chơi điện tử với một cộng đồng gồm hàng chục nghìn người.
Thử nghiệm thâm nhập vẫn cung cấp những lợi thế khác mà có thể thuyết phục các công ty từ bỏ ý tưởng về các bounties lỗi hoàn toàn:
- Bạn giảm thiểu rủi ro của các lỗ hổng của bạn được tiếp xúc với công chúng trước khi bạn có cơ hội sửa chúng. Ngay cả khi bạn thiết lập một quy tắc chống lại điều này trong tiền thưởng lỗi của bạn, mọi người buộc phải hiểu sai nó.
- Các công ty kiểm tra thâm nhập nguồn cấp dữ liệu có thể cung cấp chứng nhận quan trọng đối với khách hàng của bạn.
- Chất lượng báo cáo thường cao hơn nhiều trong thử nghiệm thâm nhập.
- Nó hữu ích trong các thị trường được quản lý cao (chẳng hạn như xử lý thanh toán và bất kỳ thứ gì xử lý dữ liệu thẻ ngân hàng / ghi nợ / thẻ tín dụng).
Bạn có cảm thấy an toàn hơn khi sử dụng Netflix vì chương trình tiền thưởng lỗi của nó không? Hay công ty sẽ làm việc tốt hơn với nhóm thử nghiệm thâm nhập? Hãy cho chúng tôi biết tất cả về nó trong một bình luận!