És vajon mi a különbség a bug bounty és a penetrációs tesztelés között?
Az etikus hackerek, penetrációs tesztek, sérülékenység vizsgálatok és a bug bounty világa az átlagember számára csupa misztikum. Azonban nagyobb vállalatként és kisebb cégként is érdemes tisztában lennünk a különböző tesztelési lehetőségek fogalmával, költségeivel.
Bejegyzésünkben a biztonsági vizsgálatok néhány fajtáját szeretnénk bemutatni, emellett pedig összehasonlítjuk a penetrációs tesztelést és a bug bounty programot.
Hányféle biztonsági vizsgálat alternatíva létezik?
Általánosságban véve elég sok vizsgálati alternatíva létezik, ezek közül mi most csak néhányat fogunk részletezni:
Sérülékenységvizsgáló szoftver
Az egyik vizsgálati lehetőség a sérülékenységvizsgáló szoftver. Ezt minden cég meg tudja vásárolni magának, be tudja állítani a belső hálózatára, munkaállomásokra. Be tudják állítani azt is, hogy milyen gyakran fusson le a vizsgálat ezeken a hostokon, majd végül kapnak egy összefoglaló riportot az eredményekről.
Behatolás teszt
A behatolási teszt a biztonsági tesztek része, egy rendszer vagy alkalmazás sebezhetőségének meghatározására szolgál. A célja, hogy megtalálja az összes biztonsági rést, ami kihasználható lenne. Végeztethetünk belső, illetve külső tesztet is. Belső tesztelésnél hozzáférést kell adni a tesztelőnek, külső tesztelésnél pedig egy külső támadást szimulálnak.
Három alfajuk létezik:
Fehér doboz (white box): teljes hozzáférést kap a tesztelő
Szürke doboz (grey box): bizonyos információkat kap a tesztelő
Fekete doboz (black box): semmit nem tud a rendszerről a tesztelő
Piros csapatos tesztelés (Red Teaming):
A piros csapatos tesztelés hasonlít a penetrációs teszteléshez, annyival kiegészítve, hogy az információ gyűjtéshez indíthatnak phishing kampányt, illetve a munkavállalóktól is gyűjthetnek információkat. Része lehet a fizikai védelem tesztelése is, amikor megpróbálhatnak bejutni az épületbe vagy esetleg a szerverszobába.
Bug Bounty
A bug bounty program során etikus hackerek tesztelik a rendszereket, applikációkat, és felfedik a sérülékenységeket. A program lehet privát, publikus vagy helyszíni.
Ezek az alternatívák legtöbbször kiegészítik egymást. Például egy sérülékenység vizsgálatnál is lehet csak egy átfogó scannelést futtatni, azonban előfordul, hogy téves sérülékenységeket is meghatároz. Ezt követően további behatolás teszttel érdemes ellenőrizni, hogy valóban kihasználható-e a sérülékenység. A penetrációs teszt sikerességét a csapat képzettsége is befolyásolja. Mindenképp érdemes kiegészíteni egy bug bountyval, ahol többen tesztelnek egyszerre és több sérülékenységre derülhet fény.
A tesztelések scope-ja legtöbbször az ügyfél kérései szerint módosul. Attól függ, mire kíváncsi, mit szeretne teszteltetni. Fontos, hogy mindig azt teszteltesse, ami számára kritikus funkció vagy platform, és azt mindenképp tegye bele a scope-ba. A pontosan meghatározott alkalmazási terület megalapozza a program sikerét vagy kudarcát. Ahogy egy előző bejegyzésünkben is említettük, érdemes lehet létrehozni egy tesztoldalt tesztadatokkal, így a kockázatot is lehet csökkenteni.
Melyik volt előbb, a penetrációs tesztelés vagy a bug bounty?
A penetrációs tesztelés fogalma azóta létezik, hogy az emberek megpróbálták megérteni ellenségeik gondolkodását. Már az ókori hadseregek is próbálták megérteni a stratégiai folyamatokat, évszázadokkal később pedig létrejött a technológia világa is.
Az 1960-as években vált fogalommá először a pentesztelés, amikor a fejlődő technológiai ipar felismerte, hogy ha több felhasználó van a megszokottnál egy rendszerben, az veszélyezteti a rendszer biztonságát. Így jöttek létre a Tigris csapatok, akik közül az első a kormánynak és a hadseregnek dolgozott. 1971-ben pedig az amerikai légierő rendelte el a számítógépes rendszerek biztonsági tesztelését.
A bug bounty történetéről pedig már többször is szó esett, 1983-ban kezdődött, amikor a Hunter & Ready cég felajánlott egy Volkswagen Beetle autót annak, aki hibát talál az operációs rendszerükben. Azóta már számos cég rendelkezik saját bug bounty programmal.
A világban jelenleg még a penetrációs tesztelés az elterjedtebb, többen ismerik, és többen is használják. Habár Nyugaton már egyre többen alkalmazzák a bug bountyt is, Magyarországon egyelőre még gyerekcipőben jár. Azon dolgozunk, hogy ezt megváltoztassuk, hiszen azt a folyamatosságot, amit egy bug bounty adhat, egy penteszt nem tudja biztosítani.
Ki választja inkább a pentesztet és ki a bug bountyt?
A penetrációs tesztelést leginkább azok alkalmazzák, akiket a törvény kötelez az elvégzésére, és túl akarnak rajta esni. Aki tudatosabb és a pénzügyi kerete is megengedi, ő belső pentesztet is végeztet.
Mikor érdemes pentesztet alkalmazni?
Pentesztet érdemes végeztetni tanúsítvány megszerzésénél, ha új terméket indítanának az online térben, esetleg, ha olyan változás történik, ami sérülékenységeket hordozhat magában. Például egy platformnál új funkciók lépnek életbe.
A bug bountyt azok választják, akiknek fontos a biztonság és a folyamatos tesztelés. Bárkinek megfelelő lehet azt a fajta előnyt kihasználni, hogy egy egész etikus hackerközösség áll rendelkezésére. Nem utolsó sorban pedig egy ilyen program jó lehetőség lehet arra, hogy a versenytársak közül kitűnjön.
Mikor érdemes bug bountyt alkalmazni?
Egy bug bounty szintén jól jöhet új termék piacra dobásánál vagy egy változás bekövetkezésénél. 2021-ben szerintünk mindenki számára eljött az idő, hogy tegyen egy próbát.
A megfelelő tesztelés kiválasztásánál nem feltétlenül számít a cég mérete. Kisebb, közepes, és nagyobb cég is élhet bármelyik lehetőséggel, végeztethet penetrációs tesztet, illetve bug bounty programot is indíthat. Ami eldöntheti a választást, az a ráfordítás, hiszen a penteszt jóval költségesebb, míg a bug bounty jutalék alapú.
Bug bounty program indításával kapcsolatosan, keress minket bizalommal!
