Bug hunting, как новая этика ИБ: философия открытых дверей
В информационной безопасности есть множество инструментов контроля качества: внутренние тесты, внешние аудиты, пентесты. Но у всех этих методов есть общее ограничение — они формализованы. Атакующие же редко действуют по чек-листам. Их сценарии непредсказуемы, мотивация разнообразна, а креативность нередко выходит за рамки того, что можно предусмотреть в регламенте. Взять для примера хотя бы недавнюю атаку на Аэрофлот.
Кроме того, традиционные проверки ограничены во времени и охвате. Аудит или пентест проводят раз в квартал, или раз в год — и в этот период фиксируют конкретное состояние системы. Но жизнь не стоит на месте: появляются новые уязвимости, обновляются компоненты, меняются архитектурные решения. В результате система, которая вчера считалась «чистой», уже завтра может содержать критические дыры.
Поэтому все больше организаций дополняют традиционные практики Bug Bounty программами. Это формат, при котором к поиску уязвимостей подключаются независимые исследователи со всего мира. Их взгляды и подходы позволяют обнаружить ошибки, которые не удается заметить внутренним специалистам или подрядчикам.
Читать далееИсточник: Хабрахабр
Похожие новости
- Design by Contract в эпоху AI: как контракты Мейера защищают криптографию там, где тесты молчат
- Schnorr/MuSig2 Nonce-Forensics:
- SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем
- Приватная Cвязь на Go и Flutter
- Манифест созидателя
- OSINT для ленивых. Часть 8: GEOINT по фото за 3 минуты
- MarketingNews: Кейс: «Призы от всего атомного сердца». как «Пятёрочка» создала фиджитал-вселенную с Atomic Heart и переосмыслила механику промоакций
- Как я собрал себе C2 на малинке за один вечер
- Краткая история биометрии: как была изобретена идентификация по радужке глаза
- Мыслепреступление на Android: как скрыть Перехватчик трафика от Государственных приложений