Στις 22 Μαρτίου 2018, η Netflix ξεκίνησε ένα πρόγραμμα "bounty bug" που αντισταθμίζει τους hackers που αναφέρουν ευπάθειες στην εταιρεία. Αυτό είναι κάτι που έκανε η εταιρεία για τα τελευταία πέντε χρόνια, αλλά μόνο σε περιορισμένο περιβάλλον. Τώρα που έχει ανοίξει το πρόγραμμα στο κοινό, θα έχει μεγάλο αριθμό hackers που αναζητούν εκτενώς το site.

Αυτή η πρακτική μπορεί να φανεί λίγο χαοτική, αλλά πολλοί άνθρωποι ισχυρίζονται ότι πληρώνουν τους ξένους για να χάσουν τον ιστοχώρο σας είναι ένας από τους πιο αποτελεσματικούς τρόπους για να το εξασφαλίσουμε από πιθανές απειλές. Το ερώτημα, ωστόσο, είναι αν τα προγράμματα γενναιοδωρίας bug είναι πραγματικά πιο αποτελεσματικά από το να έχεις μια ομάδα δοκιμών διείσδυσης στο σπίτι.

Πώς λειτουργεί η δοκιμή διείσδυσης

Η δοκιμή διείσδυσης είναι ένα φυσιολογικό μέρος του κύκλου ανάπτυξης που συνήθως γίνεται πριν από την κυκλοφορία του προϊόντος στο κοινό. Συμπεριλαμβάνει μια ομάδα ατόμων, είτε εξωτερικά είτε εσωτερικά, που επιχειρούν να "χαράξουν" το λογισμικό ή το σύστημα που η εταιρεία θέλει να απελευθερώσει. Στη συνέχεια, αναφέρουν όλα τα ευπάθειες που εντοπίστηκαν στην πλατφόρμα, επιτρέποντας στους προγραμματιστές να διορθώσουν αυτά τα προβλήματα προτού να γίνουν οχλήσεις αργότερα.

Κατά τη διάρκεια της δοκιμής διείσδυσης, η ομάδα συνήθως ακολουθεί μια προκαθορισμένη διαδικασία για να αποκαλύψει όλες τις πιθανές ευπάθειες. Αυτό μπορεί να περιλαμβάνει τη χρήση τεχνικών που συνήθως χρησιμοποιούν οι χάκερ για να διεισδύσουν σε συστήματα και λογισμικό. Αυτό που καταλήγετε είναι μια περιεκτική λίστα κρίσιμων τομέων στο λογισμικό σας που οι περισσότεροι χάκερ θα ήταν σε θέση να ανατρέψουν.

Τι κάνει το Bug Bounties τόσο ελκυστικό;

Όταν κάνεις ένα πρόγραμμα γενναιόδωρου bug, λέτε βασικά στο κοινό ότι είστε πρόθυμοι να πληρώσετε ένα συγκεκριμένο χρηματικό ποσό σε όποιον καταφέρνει να αναφέρει μια σημαντική τρωτότητα σε σας. Για να εκτελέσετε μια επιτυχημένη γενναιοδωρία bug, πρέπει να ορίσετε μερικούς βασικούς κανόνες ώστε οι άνθρωποι να γνωρίζουν τι είδους συμπεριφορά είναι απαράδεκτη κατά τη διάρκεια μιας τέτοιας αναζήτησης.

Παρά το αντίθετο-διαισθητικό που μπορεί να ακούγεται για αυτό το είδος πολιτικής, τα bugs προσφέρουν ένα ορισμένο αριθμό πλεονεκτημάτων έναντι των παραδοσιακών δοκιμών διείσδυσης:

  • Οι συμμετέχοντες στη γενναιοδωρία καταβάλλονται μόλις εντοπιστεί μια ευάλωτη θέση, δημιουργώντας ένα κίνητρο για να πραγματοποιήσει μια λεπτομερή σάρωση του συνόλου του λογισμικού. Οι έλεγχοι διείσδυσης δεν παρουσιάζουν αυτά τα κίνητρα, δεδομένου ότι τα μέλη της ομάδας καταβάλλονται ανεξάρτητα από το πόσο λεπτομερείς είναι.
  • Οι δωροδοκίες δίνουν χιλιάδες εξειδικευμένους hackers την ευκαιρία να δοκιμάσουν τη δουλειά τους, παρέχοντας έναν απίστευτο αριθμό προοπτικών. Οι ομάδες δοκιμών διείσδυσης τείνουν να είναι περιορισμένες σε μέγεθος. Ανεξάρτητα από τις δεξιότητές τους, η προοπτική τους είναι περιορισμένη.
  • Πολλοί συμμετέχοντες στο bounty bug είναι εξειδικευμένοι επαγγελματίες πλήρους απασχόλησης που συμμετέχουν ταυτόχρονα σε πολλά διαφορετικά κυνήγια.
  • Οι εταιρείες με τεράστιες "επιθέσεις επιθέσεων" (δηλαδή λογισμικό που είναι πολύ επιρρεπείς σε παραβιάσεις) μπορούν να αποκαλύψουν σφάλματα που είχαν προηγουμένως αφεθεί έξω από τις ομάδες τους.

Γιατί η δοκιμή διείσδυσης εξακολουθεί να είναι συναφής

Τα Bug Bounties μπορεί να είναι μεγάλα και όλα, αλλά δεν λειτουργούν απαραίτητα για εταιρείες που δεν έχουν τεράστιες κοινότητες. Είναι ο λόγος που η δοκιμή διείσδυσης εξακολουθεί να είναι ένα μεγάλο φαινόμενο. Εάν είστε εταιρεία λογισμικού παροχής ιατρικών υπηρεσιών, για παράδειγμα, μπορεί να μην έχετε τόσο πολλούς πρόθυμους συμμετέχοντες, όπως, για παράδειγμα, ένα στούντιο βιντεοπαιχνιδιών με μια κοινότητα δεκάδων χιλιάδων ανθρώπων.

Οι δοκιμές διείσδυσης εξακολουθούν να προσφέρουν άλλα πλεονεκτήματα που θα μπορούσαν να πείσουν τις εταιρείες να παραιτηθούν εξ ολοκλήρου από την ιδέα των αποζημιώσεων των σφαλμάτων:

  • Ελαχιστοποιείτε τον κίνδυνο να εκτίθενται τα τρωτά σας στο κοινό πριν να έχετε την ευκαιρία να τα διορθώσετε. Ακόμα κι αν ορίσετε έναν κανόνα εναντίον αυτού στο bounty bug σας, οι άνθρωποι είναι υποχρεωμένοι να το παρερμηνεύσουν.
  • Οι εταιρίες δοκιμών διείσδυσης που προέρχονται από εξωτερικούς συνεργάτες ενδέχεται να προσφέρουν πιστοποίηση που είναι σημαντική για τους πελάτες σας.
  • Η ποιότητα των αναφορών συχνά είναι πολύ υψηλότερη στις δοκιμές διείσδυσης.
  • Είναι χρήσιμο σε αγορές με υψηλή εξειδίκευση (όπως επεξεργασία πληρωμών και οτιδήποτε χειρίζεται δεδομένα τραπεζικών / χρεωστικών / πιστωτικών καρτών).

Νιώθετε πιο ασφαλείς χρησιμοποιώντας το Netflix λόγω του προγράμματος bounty bug του; Ή θα ήταν καλύτερα η εταιρεία να συνεργαστεί με μια ομάδα δοκιμών διείσδυσης; Πες μας όλα αυτά σε ένα σχόλιο!