De confrontatie tussen Bug Bounty-programma's en penetratietesten
Op 22 maart 2018 startte Netflix een 'bug bounty'-programma dat hackers compenseert die kwetsbaarheden aan het bedrijf melden. Dit is iets dat het bedrijf de afgelopen vijf jaar heeft gedaan, maar alleen in een beperkte omgeving. Nu het programma voor het publiek is geopend, zal het een groot aantal hackers hebben die de site uitgebreid bekijken.
Deze praktijk lijkt misschien een beetje chaotisch, maar veel mensen beweren dat het betalen van vreemden om je website te hacken een van de meest effectieve manieren is om het tegen potentiële bedreigingen te beveiligen. De vraag is echter of bugbounty-programma's echt effectiever zijn dan een intern penetratietestteam.
Hoe Penetratietests werken
Penetratietesten is een normaal onderdeel van de ontwikkelingscyclus dat meestal wordt uitgevoerd voordat een product voor het publiek wordt vrijgegeven. Het betreft een team van individuen, hetzij uitbesteed hetzij intern, die proberen de software of het systeem dat het bedrijf wil vrijgeven te "hacken". Vervolgens rapporteren ze alle kwetsbaarheden op het platform, zodat ontwikkelaars deze problemen kunnen oplossen voordat ze later hinderlijk worden.
Tijdens penetratietesten volgt het team meestal een vaste procedure om alle mogelijke kwetsbaarheden te ontdekken. Dit kan het gebruik van technieken inhouden die hackers doorgaans gebruiken om systemen en software te infiltreren. Waar u uiteindelijk mee komt is een uitgebreide lijst met kritieke gebieden in uw software die de meeste hackers zouden kunnen ondermijnen.
Wat maakt bug-premies zo aantrekkelijk?
Wanneer u een bugbounty-programma maakt, vertelt u in feite aan het publiek dat u bereid bent om een bepaald bedrag te betalen aan iedereen die een aanzienlijke kwetsbaarheid voor u weet te melden. Om een succesvolle bugbounty te kunnen uitvoeren, moet u een aantal basisregels instellen zodat mensen weten wat voor soort gedrag tijdens een dergelijke quest onaanvaardbaar is.
Ondanks hoe contra-intuïtief het kan klinken om dit soort beleid te hebben, bieden bugbounties een aantal voordelen ten opzichte van traditionele penetratietesten:
- Deelnemers aan de premie worden betaald zodra een kwetsbaarheid is gevonden, wat een stimulans is om alle software grondig te doorgronden. Penetratietests bieden deze prikkels niet, aangezien teamleden worden betaald ongeacht hoe grondig ze zijn.
- Bounties geven duizenden geschoolde hackers de mogelijkheid om hun moed te testen, met een ongelooflijk aantal perspectieven. Penetratietestteams hebben de neiging beperkt in omvang te zijn. Ongeacht hun vaardigheden, hun perspectief is beperkt.
- Veel bugbounty-deelnemers zijn bekwame voltijdse professionals die op hetzelfde moment aan verschillende jachten deelnemen.
- Bedrijven met enorme "aanvalsoppervlakken" (dwz software die zeer vatbaar is voor inbreuken) kunnen fouten ontdekken die eerder door hun eigen teams werden weggelaten.
Waarom Penetratietests nog steeds relevant zijn
Bugbijdragen kunnen geweldig zijn en allemaal, maar ze werken niet noodzakelijkerwijs voor bedrijven die geen enorme community's hebben. Het is de reden dat penetratietesten nog steeds een groot fenomeen is. Als u bijvoorbeeld een leverancier van medische toevoegsoftware bent, krijgt u misschien niet zoveel bereidwillige deelnemers als bijvoorbeeld een videogamestudio met een gemeenschap van tienduizenden mensen.
Penetratietests bieden nog andere voordelen die bedrijven ervan kunnen overtuigen om het idee van bugbounties volledig te negeren:
- U minimaliseert het risico dat uw kwetsbaarheden worden blootgesteld aan het publiek voordat u de kans krijgt om ze op te lossen. Zelfs als u hiertegen een regel instelt in uw bug bounty, zullen mensen dit zeker verkeerd interpreteren.
- Bedrijven die door outsourcing worden gepercipieerd, kunnen een certificering aanbieden die belangrijk is voor uw klanten.
- De kwaliteit van de rapportage is vaak veel hoger bij penetratietesten.
- Het is handig op sterk gereguleerde markten (zoals betalingsverwerking en alles wat met bank-, debet- / creditcardgegevens te maken heeft).
Voel je je veiliger met Netflix vanwege zijn bug bounty-programma? Of was het bedrijf beter af met een penetratietestteam? Vertel ons er alles over in een opmerking!