ორგანიზაციების მოწინავე 5 საუკეთესო პლატფორმა პროგრამების უსაფრთხოების გაუმჯობესების მიზნით

მხოლოდ ჰაკერს შეუძლია ჰაკერების მსგავსად იფიქროს. ასე რომ, როდესაც საქმე გახდება “ჰაკერების მტკიცებულება”, შეიძლება დაგჭირდეთ ჰაკერებისკენ მიმართვა.


განაცხადის უსაფრთხოება ყოველთვის იყო ცხელი თემა, რომელიც დროთა განმავლობაში მხოლოდ უფრო ცხელდებოდა.

თავდაცვითი საშუალებების და ჩვენს ხელთ არსებული პრაქტიკის საშუალებითაც კი (firewalls, SSL, ასიმეტრიული კრიპტოგრაფია და ა.შ.), ვერცერთ ვებგვერდზე განთავსებული აპლიკაცია ვერ იტყვის, რომ ის უსაფრთხოა ჰაკერების მიღწევისგან.

Რატომ არის, რომ?

მარტივი მიზეზი ის არის, რომ პროგრამული უზრუნველყოფის შექმნა საკმაოდ რთული და brittle პროცესია. ფონდის დეველოპერების შიგნით ჯერ კიდევ არსებობს შეცდომები (ცნობილი და უცნობი), ხოლო ახალი პროგრამები და ბიბლიოთეკები დაიწყება. ყველაზე მაღალი დონის ტექნიკური კომპანიებიც კი მზად არიან ზოგჯერ გაჭირვებისთვის და კარგი მიზეზი.

ახლა დაქირავება. . . ჰაკერები!

იმის გათვალისწინებით, რომ შეცდომები და დაუცველობები ალბათ არასოდეს დატოვებენ პროგრამული უზრუნველყოფის სფეროდან, სად ტოვებს ბიზნესი ამ პროგრამულ უზრუნველყოფაზე დამოკიდებულს მათი გადარჩენისთვის? როგორ შეგიძლიათ, მაგალითად, საფულე ახალი აპლიკაცია, დარწმუნებული იყოთ, რომ იგი წინააღმდეგი იქნება ჰაკერების საზიანო მცდელობებისა?

დიახ, თქვენ ახლა უკვე მიხვდით: ჰაკერების დაქირავებით, რომ მოვიდნენ და აიღონ ბზარი ამ ახლად ამოღებულ აპიზე! და რატომ იქნებოდნენ ისინი? მხოლოდ იმიტომ, რომ აქ არის საკმაოდ დიდი ჯილდო – შეცდომების სიკეთე! ��

თუ სიტყვა “სიბრაზე” მოგვაგონებს ველური დასავლეთის მოგონებებს და ტყვიების მიტოვების გარეშე, ეს არის იდეა. თქვენ რატომღაც მიიღეთ ყველაზე ელიტური და მცოდნე ჰაკერები (უსაფრთხოების ექსპერტები) თქვენი პროგრამის გასაგებად და თუ რამეს იპოვნიან, ისინი აჯილდოვებენ.

ამის გასაკეთებლად ორი გზა არსებობს: 1) შეცდომის ბუდის ჰოსტინგი საკუთარ თავზე; 2) შეცდომების bounty პლატფორმის გამოყენებით.

შეცდომების Bounty: თვითნაკეთი წინააღმდეგ პლატფორმები

რატომ მიდიხართ შეცდომების არჩევის (და ანაზღაურების) შეცდომის პლატფორმის არჩევისას, როდესაც თქვენ შეგიძლიათ მარტივად უმასპინძლოთ მას. ვგულისხმობ, უბრალოდ შექმენით გვერდი შესაბამისი დეტალებით და გამოაქვეყნეთ ხმაური სოციალურ მედიაში. ეს აშკარად ვერ ჩავარდება, მართალია?

ჰაკერი არ არის დარწმუნებული!

ეს არის სისუფთავე იდეა იქ, მაგრამ შეხედეთ მას ჰაკერის პერსპექტივიდან. შეცდომების შეცდომა ადვილი საქმე არ არის, რადგან ეს მოითხოვს რამდენიმეწლიან ტრენინგს, ძველი და ახალი ნივთების პრაქტიკულად უსაზღვრო ცოდნას, სიმტკიცის ტონა და უფრო მეტი კრეატიულობა, ვიდრე უმეტესობა „ვიზუალურ დიზაინერებს“ აქვთ (სამწუხაროდ, ამის წინააღმდეგობა არ შეგეძლო!) -პ).

ჰაკერმა არ იცის ვინ ხარ ან არ არის დარწმუნებული, რომ გადაიხდი. ან იქნებ, არ არის მოტივირებული. თვითნაკეთი ბონეტები მუშაობენ juggernauts- ისთვის, როგორებიცაა Google, Apple, Facebook და ა.შ., რომელთა სახელებსაც ადამიანები თავიანთ პორტფოლიოს სიამაყით შეუძლიათ. ”XYZ Tech Systems” – ის მიერ შემუშავებულ HRMS აპლიკაციაში კრიტიკულად მნიშვნელოვანი დარღვევა აღმოჩნდა, ახლა ნამდვილად არ გამოიყურება შთამბეჭდავი (ეს ბოდიშს უხდის ნებისმიერ კომპანიას, რომელიც შეიძლება წააგოს ამ სახელს!)?

შემდეგ არსებობს სხვა პრაქტიკული (და დამაბრკოლებელი მიზეზებიც) სოლო არ წასვლისთვის, როდესაც საქმე შეცდომას ეხება.

ინფრასტრუქტურის ნაკლებობა

“ჰაკერების” შესახებ, რომელზეც ჩვენ ვსაუბრობდით, არ არიან ისინი, ვინც ჩნდება Dark Web.

მათ არ აქვთ დრო და მოთმინება ჩვენი „ცივილიზებული“ სამყაროსთვის. ამის ნაცვლად, ჩვენ ვსაუბრობთ კომპიუტერულ მეცნიერებათა ფონის მკვლევარებზე, რომლებიც იმყოფებიან უნივერსიტეტში, ან დიდი ხნის განმავლობაში არიან ბუნების მონადირე. ამ ხალხს სურს და წარუდგინოს ინფორმაცია კონკრეტულ ფორმატში, რაც თავისთავად წარმოადგენს ტკივილს.

თქვენი საუკეთესო დეველოპერებიც კი შეინარჩუნებენ ბრძოლას, რომ შესაძლებლობის ფასი აღმოჩნდეს ძალიან მაღალი.

წარდგენის გადაწყვეტა

დაბოლოს, არსებობს დადასტურების საკითხი. პროგრამული უზრუნველყოფა შეიძლება აშენდეს სრულად დეტერმინისტულ წესებზე, მაგრამ კონკრეტულად როდის უნდა შესრულდეს კონკრეტული მოთხოვნა, განიხილება მსჯელობა. მოვიყვანთ მაგალითს, რომ უკეთ ესმოდეთ.

დავუშვათ, რომ თქვენ შექმენით შეცდომების სიზუსტე ავტორიზაციის და ავტორიზაციის შეცდომებში. ანუ თქვენ ამტკიცებთ, რომ თქვენი სისტემა თავისუფალია იმპერიონაციის რისკებისგან, რის გამოც ჰაკერებმა უნდა გადააკეთონ.

ახლა, ჰაკერმა აღმოაჩინა სისუსტე იმის საფუძველზე, თუ როგორ მუშაობს კონკრეტული ბრაუზერი, რაც საშუალებას აძლევს მათ მოიპარონ მომხმარებლის სხდომის ნიშანი და მოახდინონ მათი გაცნობა..

ეს არის სწორი აღმოჩენა?

ჰაკერის გადმოსახედიდან, ცხადია, როგორც დარღვევაა. თქვენი თვალსაზრისით, შეიძლება არა, რადგან ფიქრობთ, რომ ეს მომხმარებლის პასუხისმგებლობის დომენში შედის, ან ის ბრაუზერი უბრალოდ არ წარმოადგენს თქვენს მიზნობრივ ბაზარს..

თუ ეს ყველა დრამა ხდებოდა შეცდომების სიკეთეების პლატფორმაზე, მაშინ ექნებათ შესაძლებლობა, რომ არბიტრებმა გადაწყვიტონ აღმოჩენის გავლენა და დახუროს საკითხი.

ამის თქმით, მოდით გადავხედოთ იქიდან პოპულარულ შეცდომების ბონუს პლატფორმებს.

ჰაკერონი

შეცდომების სიკეთე პროგრამებს შორის, ჰაკერონი არის ლიდერი, როდესაც საქმე ეხება ჰაკერების წვდომას, თქვენს ბონუს პროგრამებს შექმნას, სიტყვის გავრცელებას და შენატანების შეფასებას.

თქვენ შეგიძლიათ გამოიყენოთ Hackerone– ის ორი გზა: გამოიყენოთ პლატფორმა, რათა შეაგროვოთ დაუცველობის ანგარიშები და შეიმუშაოთ ისინი საკუთარ თავს, ან მოდით, რომ Hackerone– ს ექსპერტებმა შეასრულონ შრომა (ტრენინგი). გამოცდა უბრალოდ არის დაუცველობის ანგარიშების შედგენის, მათი გადამოწმების და ჰაკერებთან კომუნიკაციის პროცესი.

ჰაკერონს იყენებენ დიდი სახელები, როგორიცაა Google Play, PayPal, GitHub, Starbucks და ა.შ., ასე რომ, რა თქმა უნდა, ეს არის მათთვის, ვისაც აქვს მძიმე შეცდომები და სერიოზული ჯიბეები. ��

ბროკრუტი

ბროკრუტი გთავაზობთ უსაფრთხოების პრობლემების შეფასების რამდენიმე გადაწყვეტას, რომელთაგან ერთი არის Bug Bounty. იგი უზრუნველყოფს SaaS გადაწყვეტას, რომელიც ადვილად ინტეგრირდება თქვენს არსებულ პროგრამული უზრუნველყოფის სასიცოცხლო ციკლში და გახდის ვადამდელ პროგრამას.

თქვენ შეგიძლიათ აირჩიოთ პირადი შეცდომების სიკეთე პროგრამა, რომელიც მოიცავს რამდენიმე ჰაკერების ან საჯარო პროგრამის შერჩევას, რომელიც ათასობით ადამიანია..

სეიფები

თუ თქვენ ხართ საწარმოს და ნუ იგრძნობთ კომფორტულს თქვენი შეცდომების შესახებ პროგრამის საჯაროდ გამოქვეყნების შესახებ – და ამავე დროს გჭირდებათ მეტი ყურადღება, ვიდრე შემოთავაზება შეგიძლიათ გთავაზობთ შეცდომების ტიპიური პლატფორმის მიერ – სეიფები არის თქვენი ყველაზე უსაფრთხო ფსონი (საშინელი pun, არა?).

თავდადებული უსაფრთხოების მრჩეველი, ჰაკერების სიღრმისეული პროფილები, მხოლოდ მოწვევის მონაწილეობით – ეს ყველაფერი გათვალისწინებულია თქვენი საჭიროებების და თქვენი უსაფრთხოების მოდელის სიმწიფის მიხედვით..

ინტრიგტიტი

ინტრიგტიტი არის bug bounty– ის ყოვლისმომცველი პლატფორმა, რომელიც აკავშირებს თქვენთან ერთად თეთრი ქუდის ჰაკერების საშუალებით, გინდათ თუ არა პირადი პროგრამის გაშვება ან საჯარო.

ჰაკერებისათვის უამრავი არსებობს ჯილდოები მოსაპოვებლად. კომპანიის ზომისა და ინდუსტრიის მიხედვით, შეცდომების ნადირობა 1000 – დან 20,000 ევრომდეა შესაძლებელი.

სინაკს

როგორც ჩანს, სინაკი ერთ-ერთია იმ ბაზრის გამონაკლისი, რომელიც არღვევს ყლორტს და მთავრდება რაიმე მასიური. მათი უსაფრთხოების პროგრამა პენტაგონი დააკაკუნეთ უმთავრესი მოვლენა იყო, რამაც გამოიწვია რამდენიმე კრიტიკული დაუცველობა.

ასე რომ, თუ თქვენ ეძებთ არა მხოლოდ შეცდომების აღმოჩენას, არამედ უსაფრთხოების სახელმძღვანელოს და ტრენინგს ზედა დონეზე, სინაკს წასასვლელია.

დასკვნა

ისევე, როგორც არ იკავებთ მკურნალთაგან, რომლებიც აცხადებენ “სასწაულებრივ განკურნებებს”, გთხოვთ, თავი შეიკავოთ ნებისმიერი ვებსაიტისა თუ მომსახურებისგან, რომელიც ამბობს, რომ ტყვიაგაუმტარი უსაფრთხოებაა შესაძლებელი. ყველაფერი რაც ჩვენ შეგვიძლია გავაკეთოთ არის ერთი ნაბიჯის გადადგმა იდეალთან. როგორც ასეთი, შეცდომების საბუნებისმეტყველო პროგრამები არ უნდა იყოს მოსალოდნელი ნულოვანი შეცდომების პროგრამების წარმოებაში, მაგრამ უნდა განიხილებოდეს, როგორც აუცილებელი სტრატეგია ნამდვილად საძაგელი გამოსაძიებლად..

შეამოწმეთ ეს bug bounty ნადირობის კურსი თუ ისწავლით და მოიპოვებთ დიდების დარბაზს, ჯილდოებს, დაფასებას.

ვიმედოვნებ, რომ თქვენ შეცდომებს ბევრ შეცდომას! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map