การประลองระหว่างโปรแกรม Bug Bounty และการทดสอบการเจาะ

เมื่อวันที่ 22 มีนาคม 2018 Netflix ได้เริ่มโปรแกรม "bug bounty" เพื่อชดเชยแฮกเกอร์ที่รายงานช่องโหว่ให้บริษัททราบ นี่คือสิ่งที่บริษัททำในช่วงห้าปีที่ผ่านมา แต่อยู่ในสภาพแวดล้อมที่จำกัด ตอนนี้ได้เปิดโปรแกรมสู่สาธารณะแล้ว จะมีแฮกเกอร์จำนวนมากที่ตรวจสอบเว็บไซต์อย่างละเอียด

แนวทางปฏิบัตินี้อาจดูค่อนข้างวุ่นวาย แต่หลายคนยืนยันว่าการจ่ายเงินให้คนแปลกหน้าเพื่อแฮ็กเว็บไซต์ของคุณเป็นหนึ่งในวิธีที่มีประสิทธิภาพที่สุดในการรักษาความปลอดภัยจากภัยคุกคามที่อาจเกิดขึ้น อย่างไรก็ตาม คำถามก็คือว่าโปรแกรมหาจุดบกพร่องนั้นมีประสิทธิภาพมากกว่าการมีทีมทดสอบการเจาะระบบภายในองค์กรหรือไม่

วิธีการทดสอบการเจาะ

การทดสอบการรุกเป็นส่วนปกติของวัฏจักรการพัฒนาที่มักจะทำก่อนที่ผลิตภัณฑ์จะออกสู่สาธารณะ โดยเกี่ยวข้องกับทีมของบุคคล ไม่ว่าจะเป็นบุคคลภายนอกหรือภายในองค์กรที่พยายาม "แฮ็ก" ซอฟต์แวร์หรือระบบที่บริษัทต้องการเผยแพร่ จากนั้นพวกเขาจะรายงานช่องโหว่ทั้งหมดที่พบในแพลตฟอร์ม เพื่อให้นักพัฒนาสามารถแก้ไขปัญหาเหล่านี้ก่อนที่จะกลายเป็นสิ่งรบกวนในภายหลัง

ในระหว่างการทดสอบการเจาะระบบ ทีมงานมักจะปฏิบัติตามขั้นตอนที่กำหนดไว้เพื่อเปิดเผยช่องโหว่ที่เป็นไปได้ทั้งหมด ซึ่งอาจเกี่ยวข้องกับการใช้เทคนิคที่แฮ็กเกอร์มักใช้เพื่อแทรกซึมระบบและซอฟต์แวร์ สิ่งที่คุณจะได้คือรายการที่ครอบคลุมของส่วนสำคัญในซอฟต์แวร์ของคุณ ซึ่งแฮกเกอร์ส่วนใหญ่จะสามารถล้มล้างได้

อะไรทำให้ค่าหัวแมลงน่าสนใจมาก?

เมื่อคุณสร้างโปรแกรม Bug Bounty คุณกำลังบอกกับสาธารณชนว่าคุณยินดีจ่ายเงินจำนวนหนึ่งให้กับใครก็ตามที่สามารถรายงานช่องโหว่ที่มีนัยสำคัญต่อคุณ ในการรันค่าหัวบั๊กที่ประสบความสำเร็จ คุณต้องตั้งกฎพื้นฐานสองสามข้อเพื่อให้ผู้คนรู้ว่าพฤติกรรมประเภทใดที่ยอมรับไม่ได้ระหว่างภารกิจดังกล่าว

แม้ว่านโยบายประเภทนี้จะดูขัดกับสัญชาตญาณเพียงใด ค่าหัวบั๊กก็มีประโยชน์มากกว่าการทดสอบการเจาะระบบแบบเดิม:

• ผู้เข้าร่วมในรางวัลจะได้รับเงินเมื่อพบช่องโหว่ ทำให้เกิดแรงจูงใจในการกวาดล้างซอฟต์แวร์ทั้งหมดอย่างละเอียด การทดสอบการเจาะระบบไม่ได้นำเสนอสิ่งจูงใจเหล่านี้ เนื่องจากสมาชิกในทีมจะได้รับเงินไม่ว่าจะจ่ายมากเพียงใดก็ตาม
• เงินรางวัลมอบโอกาสให้แฮ็กเกอร์ที่มีทักษะหลายพันคนได้ทดสอบความกล้าหาญของพวกเขา โดยให้มุมมองมากมายอย่างไม่น่าเชื่อ ทีมทดสอบการเจาะมักจะถูกจำกัดขนาด ไม่ว่าทักษะของพวกเขาจะเป็นอย่างไร มุมมองของพวกเขาก็มีจำกัด
• ผู้เข้าร่วมการให้รางวัลบั๊กหลายคนเป็นผู้เชี่ยวชาญเต็มเวลาที่มีทักษะ ซึ่งมีส่วนร่วมในการล่าสัตว์ต่างๆ ในเวลาเดียวกัน
• บริษัทที่มี “พื้นที่โจมตี” ขนาดใหญ่ (เช่น ซอฟต์แวร์ที่มีแนวโน้มจะรั่วไหล) สามารถเปิดเผยจุดบกพร่องที่ทีมของพวกเขาเคยละทิ้งไปก่อนหน้านี้

เหตุใดการทดสอบการเจาะจึงยังคงมีความเกี่ยวข้อง

ค่าหัวบั๊กอาจมีประโยชน์มากมาย แต่ก็ไม่จำเป็นว่าจะใช้ได้กับบริษัทที่ไม่มีชุมชนขนาดใหญ่ นั่นเป็นเหตุผลที่การทดสอบการเจาะระบบยังคงเป็นปรากฏการณ์ใหญ่ ตัวอย่างเช่น หากคุณเป็นบริษัทซอฟต์แวร์ด้านเวชภัณฑ์ คุณอาจไม่ได้รับผู้เข้าร่วมที่เต็มใจมากพอ เช่น สตูดิโอวิดีโอเกมที่มีชุมชนผู้คนนับหมื่น

การทดสอบการเจาะระบบยังมีข้อดีอื่นๆ ที่อาจโน้มน้าวบริษัทต่างๆ ให้ละทิ้งแนวคิดเรื่องค่าหัวจุดบกพร่องโดยสิ้นเชิง:

• คุณลดความเสี่ยงที่ช่องโหว่ของคุณจะถูกเปิดเผยต่อสาธารณะก่อนที่จะมีโอกาสแก้ไข แม้ว่าคุณจะตั้งกฎต่อต้านสิ่งนี้ในค่าหัวบั๊กของคุณ ผู้คนก็มักจะตีความมันผิด
• บริษัทภายนอกที่ทำการทดสอบการเจาะระบบอาจเสนอการรับรองที่สำคัญต่อลูกค้าของคุณ
• คุณภาพของการรายงานมักจะสูงกว่ามากในการทดสอบการเจาะระบบ
• มีประโยชน์ในตลาดที่มีการควบคุมอย่างเข้มงวด (เช่น การประมวลผลการชำระเงินและทุกอย่างที่จัดการข้อมูลธนาคาร/เดบิต/บัตรเครดิต)

คุณรู้สึกปลอดภัยกว่าเมื่อใช้ Netflix เนื่องจากมีโปรแกรมหาข้อผิดพลาดหรือไม่? หรือบริษัทจะดีกว่าถ้าได้ทำงานร่วมกับทีมทดสอบการเจาะระบบ? บอกเราทั้งหมดเกี่ยวกับเรื่องนี้ในความคิดเห็น!