Den 22 mars 2018 startade Netflix ett "bug bounty" -program som kompenserar hackare som rapporterar sårbarheter till företaget. Detta är något som företaget gjort under de senaste fem åren, men endast i en begränsad miljö. Nu när det öppnas programmet för allmänheten kommer det att få ett stort antal hackare som tittar igenom webbplatsen i stor utsträckning.

Denna praxis kan verka lite kaotisk, men många hävdar att betalande främlingar att hacka din webbplats är ett av de mest effektiva sätten att säkra den mot potentiella hot. Frågan är dock huruvida bug-bounty-program verkligen är effektivare än att ha ett internt penetrationstestlag.

Hur penetrationstestning fungerar

Penetrationstestning är en normal del av utvecklingscykeln som vanligtvis görs innan en produkt släpps ut till allmänheten. Det innebär ett team av individer, antingen outsourcade eller internt, som försöker "hacka" den programvara eller det system som företaget vill frigöra. De rapporterar sedan alla sårbarheter som finns på plattformen, vilket gör det möjligt för utvecklare att åtgärda dessa problem innan de blir olägenheter senare.

Under penetrationstestning följer laget vanligtvis ett förfarande för att upptäcka alla möjliga sårbarheter. Det kan innebära att man använder tekniker som hackare brukar använda för att infiltrera system och programvara. Vad du slutar med är en omfattande lista över kritiska områden i din programvara som de flesta hackare skulle kunna undergräva.

Vad gör Bug Bounties så attraktiva?

När du gör ett bug-bounty-program berättar du i stort sett allmänheten om att du är villig att betala en viss summa pengar till alla som klarar av att rapportera en betydande sårbarhet för dig. För att driva en lyckad bug-bounty måste du ange ett par markregler så att människor vet vilken typ av beteende som är oacceptabelt under ett sådant uppdrag.

Trots hur kontraintuitiv det kan låta ha denna typ av politik, erbjuder buggies ett visst antal fördelar jämfört med traditionell penetrationstestning:

  • Deltagare i bounty betalas när en sårbarhet har hittats, vilket ger ett incitament att göra en grundlig svepning av all programvara. Penetrationsprovning presenterar inte dessa incitament, eftersom lagmedlemmarna betalas oavsett hur noggrann de är.
  • Bounties ger tusentals skickliga hackare möjlighet att testa sin mettle, vilket ger ett otroligt stort antal perspektiv. Penetration test team tenderar att vara begränsad i storlek. Oavsett deras skicklighet är deras perspektiv begränsat.
  • Många bug bounty deltagare är utbildade heltidspersonal som deltar i flera olika jakt på samma gång.
  • Företag med stora "angreppsytor" (dvs mjukvara som är mycket benägna att bryta sig) kan avslöja buggar som tidigare lämnats ut av sina egna lag.

Varför penetrationstestning fortfarande är relevant

Bug bounties kan vara bra och alla, men de fungerar inte nödvändigtvis för företag som inte har enorma samhällen. Det är anledningen till att penetrationsprovningen fortfarande är ett stort fenomen. Om du är ett program för medicinsk försörjning, kan du till exempel inte få så många villiga deltagare som t.ex. en videospelstudio med ett tiotusentals människor.

Penetration testning erbjuder fortfarande andra fördelar som kan övertyga företagen att undanröja tanken på buggarier helt:

  • Du minimerar risken för att dina sårbarheter exponeras för allmänheten innan du har möjlighet att fixa dem. Även om du ställer in en regel mot detta i din buggy, så är folk bundna att tolka det.
  • Outsourced penetration testing företag kan erbjuda certifiering som är viktigt för dina kunder.
  • Kvaliteten på rapporteringen är ofta mycket högre vid penetrationstestning.
  • Det är användbart på högreglerade marknader (till exempel betalningsbehandling och allt som hanterar bank- / betalkort / kreditkortsuppgifter).

Känner du dig tryggare med Netflix på grund av sitt bug-bounty-program? Eller skulle företaget ha varit bättre att arbeta med ett penetrationstestlag? Berätta allt om det i en kommentar!