22 मार्च, 2018 को, नेटफ्लिक्स ने एक "बग बाउंटी" प्रोग्राम शुरू किया जो हैकर्स को क्षतिपूर्ति करता है जो कंपनी को कमजोरियों की रिपोर्ट करते हैं। यह कुछ ऐसा है जो कंपनी ने पिछले पांच वर्षों से किया है, लेकिन केवल एक सीमित सेटिंग में। अब जब इसने कार्यक्रम को जनता के लिए खोल दिया है, तो इसमें बड़ी संख्या में हैकर्स साइट को व्यापक रूप से देख रहे होंगे।
यह अभ्यास थोड़ा अराजक लग सकता है, लेकिन बहुत से लोग दावा करते हैं कि आपकी वेबसाइट को हैक करने के लिए अजनबियों को भुगतान करना संभावित खतरों के खिलाफ इसे सुरक्षित करने के सबसे प्रभावी तरीकों में से एक है। हालांकि, सवाल यह है कि क्या बग बाउंटी प्रोग्राम इन-हाउस पैठ परीक्षण टीम की तुलना में वास्तव में अधिक प्रभावी हैं।
प्रवेश परीक्षण कैसे काम करता है
प्रवेश परीक्षण विकास चक्र का एक सामान्य हिस्सा है जो आमतौर पर किसी उत्पाद को जनता के लिए जारी करने से पहले किया जाता है। इसमें व्यक्तियों की एक टीम शामिल होती है, या तो आउटसोर्स या इन-हाउस, जो उस सॉफ़्टवेयर या सिस्टम को "हैक" करने का प्रयास करती है जिसे कंपनी जारी करना चाहती है। फिर वे प्लेटफ़ॉर्म पर पाई जाने वाली सभी कमजोरियों की रिपोर्ट करते हैं, जिससे डेवलपर्स को बाद में परेशानी होने से पहले इन समस्याओं को ठीक करने की अनुमति मिलती है।
पैठ परीक्षण के दौरान, टीम आमतौर पर सभी संभावित कमजोरियों को उजागर करने के लिए एक निर्धारित प्रक्रिया का पालन करती है। इसमें उन तकनीकों का उपयोग करना शामिल हो सकता है जिनका उपयोग हैकर आमतौर पर सिस्टम और सॉफ़्टवेयर में घुसपैठ करने के लिए करते हैं। आप जो पाते हैं, वह आपके सॉफ़्टवेयर के महत्वपूर्ण क्षेत्रों की एक विस्तृत सूची है जिसे अधिकांश हैकर नष्ट करने में सक्षम होंगे।
बग बाउंटी को इतना आकर्षक क्या बनाता है?
जब आप बग बाउंटी प्रोग्राम बनाते हैं, तो आप मूल रूप से जनता को बता रहे होते हैं कि आप किसी ऐसे व्यक्ति को एक निश्चित राशि का भुगतान करने को तैयार हैं जो आपको एक महत्वपूर्ण भेद्यता की रिपोर्ट करने का प्रबंधन करता है। एक सफल बग बाउंटी चलाने के लिए, आपको कुछ बुनियादी नियम निर्धारित करने होंगे ताकि लोगों को पता चले कि इस तरह की खोज के दौरान किस तरह का व्यवहार अस्वीकार्य है।
इस तरह की नीति के लिए यह कितना सहज ज्ञान युक्त लग सकता है, इसके बावजूद बग बाउंटी पारंपरिक पैठ परीक्षण पर एक निश्चित संख्या में लाभ प्रदान करते हैं:
- एक बार भेद्यता पाए जाने पर इनाम में भाग लेने वालों को भुगतान किया जाता है, जिससे सभी सॉफ़्टवेयर की पूरी तरह से सफाई करने के लिए प्रोत्साहन मिलता है। प्रवेश परीक्षण इन प्रोत्साहनों को प्रस्तुत नहीं करता है, क्योंकि टीम के सदस्यों को भुगतान किया जाता है, भले ही वे कितने भी अच्छे क्यों न हों।
- इनाम हजारों कुशल हैकरों को अपनी क्षमता का परीक्षण करने का अवसर प्रदान करते हैं, जो अविश्वसनीय संख्या में दृष्टिकोण प्रदान करते हैं। प्रवेश परीक्षण दल आकार में प्रतिबंधित होते हैं। उनके कौशल के बावजूद, उनका दृष्टिकोण सीमित है।
- कई बग बाउंटी प्रतिभागी कुशल पूर्णकालिक पेशेवर हैं जो एक ही समय में कई अलग-अलग शिकार में भाग लेते हैं।
- बड़ी "अटैक सरफेस" वाली कंपनियां (अर्थात ऐसे सॉफ़्टवेयर जिनमें उल्लंघनों की बहुत संभावना होती है) उन बगों को उजागर कर सकती हैं जिन्हें पहले उनकी अपनी टीमों द्वारा छोड़ दिया गया था।
प्रवेश परीक्षण अभी भी प्रासंगिक क्यों है
बग बाउंटी महान और सभी हो सकते हैं, लेकिन जरूरी नहीं कि वे उन कंपनियों के लिए काम करें जिनके पास विशाल समुदाय नहीं हैं। यही कारण है कि पैठ परीक्षण अभी भी एक बड़ी घटना है। उदाहरण के लिए, यदि आप एक चिकित्सा आपूर्ति सॉफ़्टवेयर कंपनी हैं, तो हो सकता है कि आपको उतने इच्छुक प्रतिभागी न मिलें, जितने हज़ारों लोगों के समुदाय के साथ एक वीडियो गेम स्टूडियो हों।
प्रवेश परीक्षण अभी भी अन्य लाभ प्रदान करता है जो कंपनियों को बग बाउंटी के विचार को पूरी तरह से त्यागने के लिए मना सकता है:
- आप अपनी कमजोरियों को ठीक करने का मौका मिलने से पहले जनता के सामने आने के जोखिम को कम करते हैं। यहां तक कि अगर आप अपने बग बाउंटी में इसके खिलाफ एक नियम निर्धारित करते हैं, तो लोग इसका गलत अर्थ निकालने के लिए बाध्य हैं।
- आउटसोर्स की गई पैठ परीक्षण कंपनियां आपके ग्राहकों के लिए महत्वपूर्ण प्रमाणन प्रदान कर सकती हैं।
- प्रवेश परीक्षण में रिपोर्टिंग की गुणवत्ता अक्सर बहुत अधिक होती है।
- यह अत्यधिक विनियमित बाजारों में उपयोगी है (जैसे भुगतान प्रसंस्करण और बैंक/डेबिट/क्रेडिट कार्ड डेटा को संभालने वाली कोई भी चीज़)।
क्या आप नेटफ्लिक्स के बग बाउंटी प्रोग्राम के कारण सुरक्षित महसूस करते हैं? या क्या कंपनी एक पैठ परीक्षण टीम के साथ काम करना बेहतर समझती? इसके बारे में हमें कमेंट में बताएं!