Vào ngày 22 tháng 3 năm 2018, Netflix đã bắt đầu chương trình "tiền thưởng lỗi" nhằm bồi thường cho những tin tặc báo cáo lỗ hổng bảo mật cho công ty. Đây là điều mà công ty đã làm trong năm năm qua, nhưng chỉ trong một bối cảnh hạn chế. Bây giờ chương trình đã được mở cho công chúng, nó sẽ có một số lượng lớn tin tặc xem qua trang web một cách rộng rãi.
Cách làm này có vẻ hơi hỗn loạn, nhưng nhiều người khẳng định rằng việc trả tiền cho người lạ để hack trang web của bạn là một trong những cách hiệu quả nhất để bảo vệ nó trước các mối đe dọa tiềm ẩn. Tuy nhiên, câu hỏi đặt ra là liệu các chương trình tiền thưởng lỗi có thực sự hiệu quả hơn việc có một nhóm kiểm tra thâm nhập nội bộ hay không.
Thử nghiệm thâm nhập hoạt động như thế nào
Kiểm tra thâm nhập là một phần bình thường của chu kỳ phát triển thường được thực hiện trước khi sản phẩm được phát hành ra công chúng. Nó liên quan đến một nhóm các cá nhân, thuê ngoài hoặc nội bộ, cố gắng "hack" phần mềm hoặc hệ thống mà công ty muốn phát hành. Sau đó, họ báo cáo tất cả các lỗ hổng được tìm thấy trên nền tảng, cho phép các nhà phát triển khắc phục những vấn đề này trước khi chúng trở thành phiền toái sau này.
Trong quá trình thử nghiệm thâm nhập, nhóm thường tuân theo một quy trình đã định để phát hiện ra tất cả các lỗ hổng có thể có. Điều này có thể liên quan đến việc sử dụng các kỹ thuật mà tin tặc thường sử dụng để xâm nhập vào hệ thống và phần mềm. Những gì bạn nhận được là một danh sách đầy đủ các khu vực quan trọng trong phần mềm của bạn mà hầu hết các tin tặc có thể phá hoại.
Điều gì làm cho tiền thưởng của lỗi trở nên hấp dẫn như vậy?
Khi bạn thực hiện một chương trình tiền thưởng lỗi, về cơ bản bạn đang nói với công chúng rằng bạn sẵn sàng trả một số tiền nhất định cho bất kỳ ai quản lý để báo cáo một lỗ hổng bảo mật đáng kể cho bạn. Để chạy một phần thưởng lỗi thành công, bạn cần đặt ra một số quy tắc cơ bản để mọi người biết loại hành vi nào là không thể chấp nhận được trong một nhiệm vụ như vậy.
Mặc dù nghe có vẻ phản trực giác như thế nào khi có loại chính sách này, tiền thưởng lỗi mang lại một số lợi thế nhất định so với thử nghiệm thâm nhập truyền thống:
- Những người tham gia tiền thưởng được trả sau khi tìm thấy lỗ hổng bảo mật, tạo động lực để thực hiện quét toàn bộ phần mềm. Thử nghiệm thâm nhập không mang lại những ưu đãi này vì các thành viên trong nhóm được trả tiền bất kể họ có kỹ lưỡng đến đâu.
- Tiền thưởng mang đến cho hàng nghìn tin tặc lành nghề cơ hội để kiểm tra dũng khí của họ, mang lại nhiều quan điểm đáng kinh ngạc. Các nhóm thử nghiệm thâm nhập có xu hướng bị hạn chế về quy mô. Bất kể kỹ năng của họ là gì, quan điểm của họ là có hạn.
- Nhiều người tham gia tiền thưởng lỗi là những chuyên gia giỏi toàn thời gian tham gia vào một số cuộc săn khác nhau cùng một lúc.
- Các công ty có “bề mặt tấn công” lớn (tức là phần mềm rất dễ bị vi phạm) có thể phát hiện ra các lỗi mà trước đây nhóm của họ đã bỏ qua.
Tại sao thử nghiệm thâm nhập vẫn có liên quan
Tiền thưởng lỗi có thể tuyệt vời và tất cả, nhưng chúng không nhất thiết phải hiệu quả đối với các công ty không có cộng đồng lớn. Đó là lý do tại sao thử nghiệm thâm nhập vẫn là một hiện tượng lớn. Ví dụ:nếu bạn là một công ty cung cấp phần mềm y tế, bạn có thể không nhận được nhiều người tham gia sẵn sàng như một studio trò chơi điện tử với cộng đồng hàng chục nghìn người.
Thử nghiệm thâm nhập vẫn mang lại những lợi thế khác có thể thuyết phục các công ty từ bỏ hoàn toàn ý tưởng về tiền thưởng lỗi:
- Bạn giảm thiểu nguy cơ các lỗ hổng bảo mật của bạn bị lộ ra trước công chúng trước khi bạn có cơ hội sửa chữa chúng. Ngay cả khi bạn đặt ra quy tắc chống lại điều này trong tiền thưởng lỗi của mình, mọi người vẫn có thể hiểu sai.
- Các công ty kiểm tra thâm nhập thuê ngoài có thể cung cấp chứng nhận quan trọng cho khách hàng của bạn.
- Chất lượng báo cáo thường cao hơn nhiều trong thử nghiệm thâm nhập.
- Nó hữu ích trong các thị trường được kiểm soát chặt chẽ (chẳng hạn như xử lý thanh toán và bất kỳ thứ gì xử lý dữ liệu ngân hàng / thẻ ghi nợ / thẻ tín dụng).
Bạn có cảm thấy an toàn hơn khi sử dụng Netflix vì chương trình tiền thưởng lỗi của nó không? Hay công ty sẽ tốt hơn khi làm việc với một nhóm kiểm tra thâm nhập? Hãy cho chúng tôi biết tất cả về điều đó trong một bình luận!