2018년 3월 22일 Netflix는 회사에 취약점을 보고한 해커에게 보상하는 "버그 포상금" 프로그램을 시작했습니다. 이것은 회사가 지난 5년 동안 해왔지만 제한된 환경에서만 수행한 것입니다. 이제 프로그램이 일반에 공개되었으므로 많은 수의 해커가 사이트를 광범위하게 살펴보고 있습니다.
이 관행은 다소 혼란스러워 보일 수 있지만 많은 사람들은 웹사이트를 해킹하기 위해 낯선 사람에게 돈을 지불하는 것이 잠재적인 위협으로부터 웹사이트를 보호하는 가장 효과적인 방법 중 하나라고 주장합니다. 그러나 문제는 버그 현상금 프로그램이 사내 침투 테스트 팀을 보유하는 것보다 실제로 더 효과적인지 여부입니다.
침투 테스트 작동 방식
침투 테스트는 일반적으로 제품이 대중에게 출시되기 전에 수행되는 개발 주기의 정상적인 부분입니다. 여기에는 회사가 출시하려는 소프트웨어나 시스템을 "해킹"하려고 시도하는 아웃소싱 또는 사내 개인 팀이 포함됩니다. 그런 다음 플랫폼에서 발견된 모든 취약점을 보고하여 개발자가 나중에 문제가 되기 전에 이러한 문제를 수정할 수 있도록 합니다.
침투 테스트 동안 팀은 일반적으로 가능한 모든 취약점을 발견하기 위해 정해진 절차를 따릅니다. 여기에는 해커가 일반적으로 시스템 및 소프트웨어에 침투하는 데 사용하는 기술을 사용하는 것이 포함될 수 있습니다. 결국에는 대부분의 해커가 파괴할 수 있는 소프트웨어의 중요한 영역에 대한 포괄적인 목록이 생성됩니다.
버그 현상금이 매력적인 이유는 무엇입니까?
버그 현상금 프로그램을 만들 때 기본적으로 중요한 취약점을 보고하는 사람에게 일정 금액을 지불할 용의가 있음을 대중에게 알리는 것입니다. 버그 현상금을 성공적으로 실행하려면 몇 가지 기본 규칙을 설정하여 이러한 퀘스트 중에 어떤 종류의 행동이 허용되지 않는지 사람들이 알 수 있도록 해야 합니다.
이런 종류의 정책이 얼마나 직관적이지 않게 들릴지 모르지만 버그 현상금은 기존 침투 테스트보다 몇 가지 이점을 제공합니다.
- 포상금 참가자는 취약점이 발견되면 보상을 받으므로 모든 소프트웨어를 철저히 조사할 인센티브가 생깁니다. 침투 테스트에서는 이러한 인센티브를 제공하지 않습니다. 팀원들이 얼마나 철저하든지 상관없이 급여를 받기 때문입니다.
- 바운티는 수천 명의 숙련된 해커에게 자신의 패기를 테스트할 수 있는 기회를 제공하여 엄청난 수의 관점을 제공합니다. 침투 테스트 팀은 규모가 제한되는 경향이 있습니다. 그들의 기술과 상관없이 그들의 관점은 제한적입니다.
- 많은 버그 현상금 참가자는 동시에 여러 사냥에 참여하는 숙련된 정규직 전문가입니다.
- 거대한 "공격 표면"(즉, 침해에 매우 취약한 소프트웨어)이 있는 회사는 이전에 자체 팀에서 누락된 버그를 발견할 수 있습니다.
침투 테스트가 여전히 중요한 이유
버그 바운티는 훌륭할 수 있지만 대규모 커뮤니티가 없는 회사에서 반드시 작동하는 것은 아닙니다. 침투 테스트가 여전히 큰 현상인 이유입니다. 예를 들어, 의료 공급 소프트웨어 회사의 경우 수만 명의 커뮤니티가 있는 비디오 게임 스튜디오만큼 자발적인 참여자가 많지 않을 수 있습니다.
침투 테스트는 여전히 기업이 버그 현상금에 대한 아이디어를 완전히 포기하도록 설득할 수 있는 다른 이점을 제공합니다.
- 취약점을 수정할 기회가 있기 전에 대중에게 노출될 위험을 최소화합니다. 버그 현상금에서 이에 대한 규칙을 설정하더라도 사람들은 이를 잘못 해석할 수 밖에 없습니다.
- 아웃소싱 침투 테스트 회사는 고객에게 중요한 인증을 제공할 수 있습니다.
- 보고 품질은 종종 침투 테스트에서 훨씬 더 높습니다.
- 규제가 심한 시장(예:결제 처리 및 은행/직불/신용 카드 데이터를 처리하는 모든 것)에서 유용합니다.
버그 현상금 프로그램 때문에 Netflix를 사용하는 것이 더 안전하다고 느끼십니까? 아니면 회사가 침투 테스트 팀과 협력하는 것이 더 나을까요? 댓글로 모든 것을 알려주세요!