Bug bounty vs. penetrační test

Publikováno: 10. 10. 2020, v rubrice: Bezpečnost, autor: , zobrazeno: 817x

O penetračním testování i bug bounty programech jsme již psali. V tomto příspěvku bych rád srovnal tyto dva přístupy k identifikaci zranitelností, které  nemusí stát proti sobě, ale mohou se i vzájemně doplňovat.

Rozdíly jsou dány délkou trvání, náklady a typy objevených chyb, což zachycuje tabulka níže.

faktor penetrační test bug bounty
délka trvání Vždy časově omezený (zpravidla týdny). Neomezený (může trvat měsíce, roky) ale může být i omezený.
náklady Pevně daná částka za provedení testu bez ohledu na počet a závažnost nalezených zranitelností. Pevně daná částka za nalezenou zranitelnost dle její závažnosti, např. dle CVSS nebo CWSS.
počet odhalených zranitelností Vyšší v kratším časovém horizontu. Menší v delším časovém horizontu.
úplnost Pokrývá chyby uváděné v OWASP TOP 10 + další dle zkušeností testera. Některé chyby nemusí být z důvodu časového omezení odhaleny. Pokrývá chyby dle zkušeností testera. Některé chyby nemusí být vzhledem k úzkému zaměření testera odhaleny.
rizika Víme, kdo testuje a z jakých adres. Neměl by být problém odlišit ethical hacking od útoku. Nevíme, kdo testuje. Může být problematické odlišení ethical hackingu od útoku.
udržitelná bezpečnost Jen po určitou dobu, tj. do uvolnění další verze a retestu, případně do odhalení nové zranitelnosti, která může být zneužita útočníkem. Trvale, po celou dobu běhu daného systému, ovšem jen za předpokladu, že bude vyhlášený bug bounty program atraktivní.
PR Provedení penetračního testu je považováno za standard. Stakholdeři předpokládají automaticky jeho provedení. Vyhlášení bug bounty programu je stále vnímáno jako prestižní záležitost.

Výše uvedené srovnání předpokládá, že nejprve interně provedete sken zranitelností, pak penetrační test a nakonec vyhlásíte bug bounty program, přičemž může být omezený jen pro určitou skupinu (private bug bounty) a ve finále pak rozšířen pro všechny zájemce (public bug bounty).

Dodržení tohoto postupu je nutné z toho důvodu, abyste postupně minimalizovali počet chyb, které vaše aplikace obsahuje a v okamžiku, kdy vyhlásíte bug bounty program, tak aby již aplikace neobsahovala zranitelnosti snadno detekovatelné pomocí automatizovaného vulnerability skenu a rovněž známé zranitelnosti uvedené v OWASP TOP 10.

Nerespektování tohoto přístupu vede ke zvýšeným nákladům a obsahuje jistá úskalí, ale těm byl již věnován samostatný příspěvek, takže jen připomenu, než nějaký bug bounty spustíte, tak se nad ním pořádně zamyslete a ujistěte se, že jste na nic nezapomněli.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Bug bounty vs. penetrační test. Online. Clever and Smart. 2020. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/bug-bounty-vs-penetracni-test/. [cit. 2025-02-16].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Co je a není penetrační test
  2. Úskalí Bug Bounty programů
  3. Audit, prověrka konfigurace, skenování zranitelností, penetrační test a analýza rizik
  4. Penetrační testování jako součást životního cyklu vývoje SW
  5. Penetration testing a ethical hacking není totéž

Štítky: ,


K článku “Bug bounty vs. penetrační test” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Další články na téma bug bounty

» Přejít do archivu «
2 článků

Podpořte nás

Pokud se vám obsah tohoto webu líbí, můžete na jeho provoz přispět jakoukoliv částkou.

Děkujeme.