インターネット
 Computer >> コンピューター >  >> ネットワーキング >> インターネット

バグバウンティプログラムと侵入テストの対決

バグバウンティプログラムと侵入テストの対決

2018年3月22日、Netflixは、脆弱性を会社に報告したハッカーを補償する「バグバウンティ」プログラムを開始しました。これは、会社が過去5年間行ってきたことですが、制限された設定でのみです。プログラムが一般公開されたため、多数のハッカーがサイトを広範囲にわたって閲覧することになります。

この方法は少し混沌としているように見えるかもしれませんが、多くの人は、見知らぬ人にWebサイトをハッキングするためにお金を払うことが、潜在的な脅威からWebサイトを保護する最も効果的な方法の1つであると主張しています。ただし、問題は、社内の侵入テストチームを持つよりも、バグバウンティプログラムの方が本当に効果的かどうかです。

侵入テストの仕組み

バグバウンティプログラムと侵入テストの対決

ペネトレーションテストは、製品が一般にリリースされる前に通常行われる開発サイクルの通常の部分です。これには、企業がリリースしたいソフトウェアまたはシステムを「ハッキング」しようとする、外部委託または社内の個人のチームが関与します。次に、プラットフォームで見つかったすべての脆弱性を報告し、開発者が後で迷惑になる前にこれらの問題を修正できるようにします。

ペネトレーションテスト中、チームは通常、設定された手順に従って、考えられるすべての脆弱性を明らかにします。これには、ハッカーがシステムやソフトウェアに侵入するために通常使用する手法の使用が含まれる場合があります。最終的には、ほとんどのハッカーが破壊できるソフトウェアの重要な領域の包括的なリストになります。

バグバウンティが魅力的な理由

バグバウンティプログラムと侵入テストの対決

脆弱性報奨金プログラムを作成するときは、基本的に、重大な脆弱性を報告した人に一定の金額を支払う用意があることを一般に伝えています。バグバウンティを成功させるには、いくつかの基本ルールを設定して、そのようなクエスト中にどのような行動が受け入れられないかを人々に知らせる必要があります。

この種のポリシーを採用することは直感に反するように聞こえるかもしれませんが、バグバウンティには、従来の侵入テストに比べていくつかの利点があります。

  • 脆弱性が見つかると、報奨金の参加者に報酬が支払われ、すべてのソフトウェアを徹底的に一掃するインセンティブが生まれます。チームメンバーは徹底度に関係なく報酬が支払われるため、侵入テストではこれらのインセンティブは提示されません。
  • 報奨金は、何千人もの熟練したハッカーに彼らの気概をテストする機会を与え、信じられないほどの数の視点を提供します。ペネトレーションテストチームは、規模が制限される傾向があります。彼らのスキルに関係なく、彼らの視点は限られています。
  • 多くの脆弱性報奨金の参加者は、同時にいくつかの異なる狩猟に参加する熟練したフルタイムの専門家です。
  • 巨大な「攻撃対象領域」(つまり、非常に侵害されやすいソフトウェア)を持つ企業は、以前は自分のチームによって除外されていたバグを発見できます。

侵入テストが依然として重要である理由

バグバウンティプログラムと侵入テストの対決

脆弱性報奨金はすばらしいものかもしれませんが、巨大なコミュニティを持たない企業では必ずしも機能するとは限りません。これが、侵入テストが依然として大きな現象である理由です。たとえば、医療用品ソフトウェア会社の場合、数万人のコミュニティを持つビデオゲームスタジオほど多くの参加者を獲得できない可能性があります。

ペネトレーションテストには、企業がバグバウンティのアイデアを完全に放棄するように説得する可能性のある他の利点があります。

  • 脆弱性を修正する前に、脆弱性が一般に公開されるリスクを最小限に抑えます。バグバウンティでこれに対するルールを設定したとしても、人々はそれを誤解することになります。
  • 外部委託の侵入テスト会社は、顧客にとって重要な認証を提供する場合があります。
  • 侵入テストでは、レポートの品質がはるかに高くなることがよくあります。
  • 規制の厳しい市場(支払い処理や銀行/デビット/クレジットカードのデータを処理するものなど)で役立ちます。

脆弱性報奨金プログラムがあるため、Netflixを使用する方が安全だと思いますか?それとも、侵入テストチームと協力したほうがよいのでしょうか。コメントでそれについてすべて教えてください!


  1. ビットコインとイーサリアムの違い

    2017年は間違いなく暗号通貨の年であり、価格が下がったとしても、特に主要通貨への関心は下がっていません。最も人気のある2つの通貨であるビットコインとイーサリアムは、年間で大幅な価格上昇を見せました。それぞれ、1,000ドル未満から20,000ドル近く、10ドル未満から1,300ドル超になりました。暗号通貨への投資に興味がある場合は、ビットコインとイーサリアムの違いについて簡単に説明します。 1。ビットコインはジェネレーション1、イーサリアムはジェネレーション2 ビットコインは、世間の注目を集めた最初の主要な暗号通貨でした。ある意味、初代です。イーサリアムは数年後に登場し、ビットコインをベ

  2. プロキシとVPNの違いを理解する

    プロキシとVPNの両方がリモートコンピュータに接続し、これがそれらを類似させている理由です。ただし、プロキシとVPNの間にはいくつかの基本的な違いがあるため、類似点はここで終わります。主な違いと、それぞれの長所と短所を次に示します。 1。プロキシとは何ですか、いつ使用するか 簡単に言えば、プロキシはあなたとインターネットの間の仲介者です。ページを見たいので、プロキシサーバーにリクエストを送信すると、プロキシサーバーがページをリクエストし、プロキシサーバーがページを表示します。これは基本的なプロキシルーチンであり、ネット上のコンテンツに直接アクセスすることはありませんが、プロキシサーバーがコン