Из-за недавней волны инцидентов с программами-вымогателями организации и ИТ-администраторы задаются вопросом, как защитить себя от таких атак. Одно можно сказать наверняка: проведения тестов безопасности только внутри компании уже недостаточно для предотвращения инцидентов в современную цифровую эпоху. Если ИТ-команда осуществляет простой контроль во время внедрения ваших систем, существует риск того, что такой же контроль будет осуществлен при проведении внутренних тестов, поскольку анализ будет выполняться одним и тем же вовлеченным лицом.
Именно по этой причине организации теперь полагаются на тестирование на проникновение и вознаграждение за обнаружение ошибок для повышения своей кибербезопасности. Привлечение внешней экспертизы необходимо для выявления уязвимостей, которые остаются незамеченными внутренними процессами и активно эксплуатируются современными киберпреступниками. Эта необходимость поднимает важный вопрос: какой подход лучше всего подходит для моей организации? Тестирование на проникновение или вознаграждение за обнаружение ошибок?
В этой статье мы обсудим различия между двумя инициативами, проанализируем затраты и связанные с ними усилия и поможем вам определить, какая из них лучше всего подходит для вашего контекста.
Что такое Bug Bounty?
Вкратце: Bug Bounty — это проекты аудита безопасности, доступные для всех желающих. По сути, участвующие организации приглашают людей попробовать взломать их для очень конкретных целей, чтобы определить способность злоумышленника использовать уязвимости в системе безопасности. Те, кто добьется успеха, претендуют на награду. Независимые исследователи безопасности по всему миру пытаются обнаружить и сообщить об этих уязвимостях, которыми могут воспользоваться злоумышленники, с разрешения целевой организации. Суммы денег, которые выплачиваются этим исследователям, обычно варьируются в зависимости от серьезности выявленных уязвимостей.
Вот главное, что нужно знать о наградах за ошибки. Программы вознаграждения за обнаружение ошибок могут осуществляться внутри компании или с использованием таких платформ, как HackerOne или Bugcrowd. Организация публикует набор правил взаимодействия и ждет результатов.
Что такое тест на проникновение?
В то время как вознаграждение за обнаружение ошибок является приглашением для всех любителей, действующих на добровольной основе, тесты на проникновение представляют собой структурированное мероприятие, осуществляемое командой экспертов, полностью специализирующихся в этой отрасли. В этом контексте организации работают с фирмой по кибербезопасности, специализирующейся на аудитах безопасности, для проведения теста. Обе стороны работают вместе, чтобы определить объем и цели задания, сотрудничая на протяжении всего процесса в согласованные сроки. В конце проекта компании обычно получают профессиональный отчет с подробным описанием обнаруженных уязвимостей и рекомендациями по их устранению. После этого специалисты доступны для будущих обменов и рекомендаций по безопасности, чтобы обеспечить правильное внедрение исправлений.
Различия между тестом на проникновение и баг-баунти
Структурированный характер и предсказуемые затраты на тестирование на проникновение могут быть привлекательными для организаций, особенно для тех, у кого нет специального персонала по ИТ-безопасности. Привлечение экспертов для структурированного проекта с конкретным графиком и набором результатов легко понять руководству и дает ощутимые результаты, такие как отчеты и аттестации. Этот подход также гарантирует, что все, что определено в область действия, проходит надлежащий аудит и что конфиденциальные службы обрабатываются с осторожностью, что не гарантируется программой вознаграждения за обнаружение ошибок.
С помощью теста на проникновение организации могут доказать, что они исправили все выявленные уязвимости и имеют необходимую документацию, подтверждающую это. Это может иметь большое значение для укрепления доверия клиентов и удовлетворения требований безопасности третьих сторон, таких как страховые компании и регулирующие органы.
Кому будет полезен баг-баунти
Для крупных организаций, располагающих ресурсами для специальной группы ИТ-безопасности, вознаграждение за обнаружение ошибок может стать отличным подспорьем. Особенно если организация работает в технологической отрасли, такой как «Программное обеспечение как услуга» (SaaS). Используя коллективные знания глобального сообщества информационной безопасности, уязвимости могут быть безопасно идентифицированы и исправлены до того, как они будут использованы злоумышленником.
Если вы решите создать программу вознаграждения за обнаружение ошибок, убедитесь, что ваша организация готова выделить для этого необходимые ресурсы. Программе нужны сотрудники для ее запуска, премии, достаточно высокие, чтобы привлечь внимание, и маркетинговая инициатива для ее продвижения в сообществе безопасности. Приготовьтесь получать большое количество некачественных результатов от тестировщиков, которые не читали правил или пытаются быстро заработать. Само собой разумеется, что проблематична не сама по себе реализация bug bounty, а скорее доступность проекта для исследователей с меньшим опытом. Короче говоря, вознаграждение за ошибку требует больше усилий с вашей стороны, но в конце концов оно того стоит.
Хорошая новость: вы можете выбрать оба подхода
Как правило, рекомендуется начинать с теста на проникновение и проводить его ежегодно или перед запуском нового продукта. Это гарантирует, что ничто не будет оставлено на волю случая и что ваша кибербезопасность соответствует отраслевым стандартам. Для организаций, которые уже ежегодно проводят тестирование на проникновение, добавление программы вознаграждения за обнаружение ошибок помогает обеспечить безопасность между каждым тестом.
Заключение
По мере старения и усложнения ИТ-инфраструктур методы, используемые киберпреступниками для вымогательства у своих жертв, становятся все более изощренными. Как минимум, надлежащая защита от этих угроз включает тестирование на проникновение, проводимое специализированной компанией. Для организаций, которые хотят сделать все возможное, вознаграждение за обнаружение ошибок — это дополнительная инициатива в области безопасности, позволяющая оставаться на шаг впереди хакеров. Это битва, которая ведется на нескольких фронтах