Questo attirerebbe gli hacker? Sì, certo, questo è il punto. Buoni hacker, cattivi hacker, hacker cappello grigio / bianco / nero / multicolor. Verranno e ispezioneranno la porta principale del tuo server.
Dovresti averne paura? Normalmente, la tua postura di sicurezza non dovrebbe dipendere dall'assenza di qualsiasi attaccante, altrimenti hai davvero un grosso problema da risolvere. Quando metti in atto tale politica, significa che:
- Sei sufficientemente sicuro della sicurezza del server, hai configurato i sistemi di mitigazione e monitoraggio appropriati,
- Hai persone in grado di gestire direttamente potenziali incidenti di sicurezza,
- Hai il diritto di prendere questa iniziativa (non stai affittando il tuo server a un fornitore di servizi esterno che potrebbe prendere l'iniziativa di denunciare il divulgatore),
- Hai stabilito la corretta comunicazione intorno a questo (molte aziende temono giustamente di perdere competitività quando clienti e partner non informati potrebbero dover scegliere tra una società che pubblica informazioni relative ai suoi problemi di sicurezza e un'azienda che non mostra problemi di sicurezza). li>
Come ho capito, mentre ti impegni a non fare causa alle persone che testano la tua sicurezza nel perimetro definito dalla tua politica, non hai alcun impegno ad aprire tutte le porte per rendere le loro indagini più facili (come potrebbe essere fatto su valutazione contrattuale per accelerare il processo e garantire una copertura più approfondita dell'applicazione mirata, ad esempio disabilitando un firewall di applicazioni Web per focalizzare i test sull'applicazione stessa).
Tutte le tue difese rimangono quasi le stesse, tutte le soglie sono ancora attive. Se un tester viene bloccato per alcuni minuti, se riesce a risolvere Captcha, ecc .: tutto ciò è da aspettarsi e fa parte del gioco.
L'unica differenza è che, invece di lavorare solo di tanto in tanto, i tuoi meccanismi di difesa di primo livello verranno attivati su una base molto più regolare, con certamente alcune persone che cercano di maltrattarli maliziosamente, ma anche hacker benevoli che li analizzano e pronto a contattarti in caso di qualsiasi difetto è stato trovato.
Quindi riassumendo:
- Senza alcuna politica di divulgazione responsabile:
- I robot dannosi e gli aggressori tentano di tanto in tanto di hackerare il server,
- I tuoi sistemi di difesa vengono attivati occasionalmente.
- Con una politica di divulgazione responsabile:
- Potrebbe esserci una quantità maggiore di aggressori malintenzionati che tentano di hackerare il server, ma questo non è nemmeno sicuro dato che di solito è il segno di una postura di sicurezza sana (il fatto che tu annunci che in realtà è un team di sicurezza può mettere il tuo server fuori dai bassi frutti appesi),
- I tuoi sistemi di difesa di primo livello verranno attivati regolarmente,
- In caso di fallimento di queste difese, c'è un'alta probabilità che verrai contattato da un hacker benevolo che ti informerà del problema.
Quindi, tutto sommato, ho l'impressione che quest'ultimo dia più sicurezza al precedente.