Der Showdown zwischen Bug-Bounty-Programmen und Penetrationstests
Am 22. März 2018 startete Netflix ein "Bug Bounty" -Programm, das Hacker entschädigt, die dem Unternehmen Sicherheitslücken melden. Das hat das Unternehmen in den letzten fünf Jahren getan, aber nur in einem eingeschränkten Rahmen. Jetzt, wo es das Programm für die Öffentlichkeit geöffnet hat, wird es eine große Anzahl von Hackern geben, die sich intensiv mit der Website befassen.
Diese Praxis mag ein bisschen chaotisch erscheinen, aber viele Leute behaupten, dass es eine der effektivsten Möglichkeiten ist, sie gegen potenzielle Bedrohungen zu sichern, indem man Fremde bezahlt, um Ihre Website zu hacken. Die Frage ist jedoch, ob Bug-Bounty-Programme wirklich effektiver sind als ein internes Penetrationstest-Team.
Wie Penetration Testing funktioniert
Penetrationstests sind ein normaler Teil des Entwicklungszyklus, der normalerweise durchgeführt wird, bevor ein Produkt für die Öffentlichkeit freigegeben wird. Es handelt sich um ein Team von Personen, entweder ausgelagert oder intern, die versuchen, die Software oder das System zu "hacken", die das Unternehmen veröffentlichen möchte. Anschließend melden sie alle Sicherheitslücken, die auf der Plattform gefunden wurden, sodass Entwickler diese Probleme beheben können, bevor sie später zu Beeinträchtigungen führen.
Während des Penetrationstests folgt das Team typischerweise einem festgelegten Verfahren, um alle möglichen Schwachstellen aufzudecken. Dies kann die Verwendung von Techniken beinhalten, die Hacker typischerweise verwenden, um Systeme und Software zu infiltrieren. Am Ende steht eine umfassende Liste kritischer Bereiche in Ihrer Software, die die meisten Hacker unterlaufen könnten.
Was macht Bug Bounties so attraktiv?
Wenn Sie ein Bug-Bounty-Programm erstellen, teilen Sie der Öffentlichkeit im Grunde mit, dass Sie bereit sind, eine bestimmte Menge an Geld an jeden zu zahlen, der Ihnen eine erhebliche Sicherheitslücke melden kann. Um ein erfolgreiches Bug-Bounty auszuführen, müssen Sie einige Grundregeln festlegen, damit die Leute wissen, welches Verhalten während einer solchen Quest inakzeptabel ist.
Ungeachtet dessen, wie kontraintuitiv dies klingt, bieten Bug-Bounties eine Reihe von Vorteilen gegenüber herkömmlichen Penetrationstests:
- Teilnehmer an der Bounty werden bezahlt, sobald eine Sicherheitslücke gefunden wird, was einen Anreiz für eine gründliche Überprüfung der gesamten Software schafft. Penetrationstests bieten diese Anreize nicht, da Teammitglieder unabhängig davon bezahlt werden, wie gründlich sie sind.
- Bounties geben tausenden fähigen Hackern die Möglichkeit, ihren Mut zu testen und bieten eine unglaubliche Anzahl von Perspektiven. Penetrationstestteams sind in der Regel in ihrer Größe eingeschränkt. Ungeachtet ihrer Fähigkeiten ist ihre Perspektive begrenzt.
- Viele Bug Bounty Teilnehmer sind ausgebildete Vollzeit-Profis, die gleichzeitig an mehreren Jagden teilnehmen.
- Unternehmen mit großen "Angriffsflächen" (dh Software, die sehr anfällig für Sicherheitslücken ist) können Fehler aufdecken, die zuvor von ihren eigenen Teams ausgeschlossen wurden.
Warum Penetrationstests immer noch relevant sind
Bug-Bounties mögen großartig sein, aber sie funktionieren nicht unbedingt für Unternehmen, die keine riesigen Communities haben. Dies ist der Grund, warum Penetrationstests immer noch ein großes Phänomen sind. Wenn Sie beispielsweise ein Unternehmen für medizinische Versorgungssoftware sind, werden Sie vielleicht nicht so viele bereitwillige Teilnehmer finden, wie beispielsweise ein Videospielstudio mit einer Gemeinschaft von Zehntausenden von Menschen.
Penetrationstests bieten noch weitere Vorteile, die Unternehmen davon überzeugen könnten, auf die Idee von Bug Boundies gänzlich zu verzichten:
- Sie minimieren das Risiko, dass Ihre Schwachstellen der Öffentlichkeit zugänglich gemacht werden, bevor Sie die Möglichkeit haben, diese zu beheben. Selbst wenn Sie in Ihrem Bug Bounty eine Regel dagegen setzen, müssen die Leute es falsch interpretieren.
- Ausgelagerte Penetrationstests bieten möglicherweise eine Zertifizierung an, die für Ihre Kunden wichtig ist.
- Die Qualität der Berichterstattung ist bei Penetrationstests oft viel höher.
- Es ist nützlich in stark regulierten Märkten (wie Zahlungsabwicklung und alles, was mit Bank- / Debit- / Kreditkartendaten zu tun hat).
Fühlst du dich sicherer mit Netflix wegen seines Bug-Bounty-Programms? Oder hätte das Unternehmen besser mit einem Penetration Testing Team gearbeitet? Erzähl uns alles in einem Kommentar!