Чи може Bug Bounty замінити тестування на проникнення

Чи може Bug Bounty замінити тестування на проникнення

Інформаційна безпека стає все більш гарячою темою для обговорення, тому організації розглядають різні методи пошуку вразливостей, наприклад програма bug bounty, як альтернативу тесту на проникнення. Це, м'яко кажучи, не зовсім правильний підхід. І в цій статті ми розповімо вам чому.

Що таке програма Bug Bounty? Ключові відмінності між Bug Bounty і пентестом

Програма Bug Bounty — це програма, яку пропонують деякі засновники або розробники програм, для пошуку та виявлення помилок, експлойтів і вразливостей у програмних продуктах і системах різних компаній за винагороду. Це схоже на біржу, яка ставить завдання, згідно з яким вам потрібно знайти вразливості в певній програмі або частині інфраструктури, і будь-який баг-баунті-хантер, може спробувати це за винагороду. Відповідно, такі програми дозволяють розробникам виявляти помилки і вчасно їх виправляти.

Програми баунті є довгостроковими. Можна сказати, що якщо організація запросила багхантерів шукати вразливості, то ця кампанія може тривати місяцями і навіть роками. Це одна з головних переваг цих програм, але про це пізніше.

При цьому тести на проникнення обмежені за часом. Під час пентесту здійснюється імітація або симуляція атаки зловмисників з метою виявлення вразливостей у безпеці інформаційної системи або її частини. Також можуть виконуватися тести на проникнення веб-додатків та інші типи тестів на проникнення. Пентестери повинні знайти якомога більше вразливостей у системі протягом погодженого часу. В результаті замовник отримує звіт про стан кібербезпеки організації або програмного продукту на поточний момент.

Тест на проникнення також є умовою для сертифікації ISO 27001 або SOC 2, а також відповідності таким стандартам, як GDPR та деяким іншим. Відмінності принципові, і обидва види процедур мають свої переваги і недоліки.

Сертифікація ISO2700. Огляд процедури

Читайте детальніше про SOC 2 Compliance, все що потрібно знати та зробити перед аудитом.

Переваги та недоліки програми Bug Bounty

Переваги програми Bug Bounty

Програми bug bounty зазвичай добре організовані спеціальними платформами. Така платформа забезпечує інфраструктуру, виступає посередником між компанією-замовником і виконавцями, організовує юридичний супровід сторін. Відповідно, будь-який зацікавлений баг-баунті-хантер може спробувати влаштуватися на таку роботу, що істотно збільшує охоплення — компанія може залучати фахівців з різним досвідом і різними навичками.

Ще однією великою перевагою є безперервність програм. Тобто шукачі помилок можуть постійно перевіряти інфраструктуру компанії або програми на наявність помилок або вразливостей у безпеці, коли продукти розвиваються чи змінюються. У зв'язку з цим вони не обмежені в часі і можуть повернутися до роботи через тижні або місяці.

Не можна забувати, що оплата роботи багхантера можлива тільки після виявлення вразливості, а замовник може гнучко змінювати ціни та коригувати їх залежно від свого бюджету.

Недоліки програми Bug Bounty

Недоліки програм bug bounty випливають із їхніх переваг. Оскільки робота мисливця за помилками оплачується лише у разі виявлення вразливості, та й то не завжди, мисливці зазвичай беруться за те, що приносить найбільше грошей. І часто вони методично не перевіряють усі типові типи атак. Це забирає багато часу і може бути нерентабельним для них. Також замовник може обмежити використання автоматизованих інструментів, оскільки цю роботу вже може виконувати внутрішня група ІТ-безпеки.

Більш того, для багатьох мисливців за вразливостями ця робота не є основною, і часто вони займаються нею у вільний час заради розваги. Звичайно, можна зустріти ентузіаста, який з особистої зацікавленості зануриться у ваш продукт, щоб повністю його вивчити, але це скоріше виняток із правил.

Для деяких компаній проведення програми bug bounty також може бути не зовсім доречною, якщо ви плануєте випустити новий продукт, а оприлюднення унікальних ідей і деталей може бути невигідним для бізнесу. Крім того, організації іноді побоюються, що вони можуть привернути увагу хакерів або мисливців за помилками, які будуть зацікавлені в продажу інформації про виявлені вразливості третім особам на чорному ринку.

Переваги та недоліки тесту на проникнення

Переваги тесту на проникнення

Головна перевага пентесту порівняно з програмою bug bounty полягає в тому, що пентестери проводять глибоке та ретельне дослідження інформаційної системи відповідно до прийнятої методології. Тобто пентестери не намагаються якнайшвидше знайти вразливе місце в безпеці та рухатися далі. Їм цікаво зануритися у вашу інфраструктуру та знайти якомога більше помилок і вразливостей, які можуть бути унікальними для кожного конкретного випадку. Пентестери зроблять це, тому що їм платять незалежно від того, знайдуть вони щось чи ні.

Тести на проникнення зазвичай проводяться відповідно до певних умов, що дозволяє тестувати на проникнення закриті, внутрішні корпоративні системи, а також ті продукти, які знаходяться в розробці та ще не можуть бути відкриті для широкого загалу. Також пентестери, окрім самого тестування пера, роблять звіти про виконану роботу, описують, як вони знайшли вразливості, і дають рекомендації щодо їх усунення.

Дізнайтесь як вибрати компанію для проведення пентесту, на що звернути увагу. Практичні поради та рекомендації.

Як вибрати компанію для проведення пентесту, на що звернути увагу? Практичні поради та рекомендації

Недоліки тесту на проникнення

Тестування на проникнення також має свої обмеження та недоліки. Ключовим тут є те, що пентест дозволяє клієнту лише зрозуміти стан безпеки інфраструктури або програми в певний поточний момент часу. Тобто релевантність пентесту зменшується з часом і в міру внесення змін до системи. Тому рекомендується проводити його двічі на рік або після внесення серйозних змін в інфраструктуру або програми організації.

Також недоліком є те, що пентест зазвичай проводиться невеликою групою тестувальників за заданим сценарієм, а обсяг проекту має певні часові рамки. Тобто тестування безпеки не є постійним, а його ефективність залежить від обраної методики, особистих навичок та досвіду пентестерів. Дуже часто тестування на проникнення виявляється дорогим заходом, який коштує тисячі, десятки і навіть сотні тисяч доларів. Що, в свою чергу, теж можна сприймати як недолік.

Bug Bounty чи тест на проникнення?

І все ж, що краще: баг баунті чи тест на проникнення? Неможливо дати одну відповідь для всіх компаній і всіх випадків, оскільки обидва методи спрямовані на пошук вразливостей, але використовуються в різних ситуаціях. 

Тому, якщо ваша компанія ніколи раніше не проводила тест на проникнення, ця процедура може бути більш актуальною для вас.  Пентест також буде більш ефективним, якщо ви плануєте опублікувати веб-сайт, програму чи онлайн-сервіс або випустити велике оновлення. Так можна відразу визначити найбільшу кількість вразливостей.

І тільки після того, як ви опублікували свою програму або запустили новий продукт, ви можете скористатися перевагами програми баг баунті. Це дозволить широкій аудиторії протягом тривалого часу допомагати вам знаходити інші вразливості безпеки, які можуть бути викликані, наприклад, деякими незначними оновленнями у вашій системі.

Це найкращий варіант для компаній, які можна назвати зрілими з точки зору кібербезпеки, але це не догма. У деяких конкретних випадках бажано зважити всі «за» і «проти» та оцінити ризики використання програм винагороди за помилки, оскільки неправильне розуміння того, що це таке, може лише спонукати хакерів до атаки.

Заключне слово

Якщо у вас виникнуть запитання щодо тестування на проникнення або відповідності певних методів перевірки кібербезпеки вашої організації, ми будемо раді допомогти. Зв'яжіться з нами прямо зараз, або залиште свої контакти в спеціальній формі, щоб ми домовилися про зручний час для консультації. Зверніть увагу, що ви також можете подати заявку на безкоштовне сканування свого веб-сайту на наявність уразливостей і отримати звіт про критичні та некритичні вразливості.