background

Bug Hunting as a Service, un’alternativa al tradizionale Pentesting


La tradizionale pratica di penetration testing non sempre è soluzione più efficiente e completa per le vostre esigenze,  una moderna alternativa potrebbe essere il bug hunting as a service.

I test di penetrazione e il bug bounty hunting sono due approcci diversi per identificare vulnerabilità in un sistema o applicazione, ma hanno scopi, metodologie e contesti leggermente diversi. Ecco le principali differenze tra i due:

  • Scopo:
    • Penetration Test: I test di penetrazione vengono eseguiti con l'obiettivo specifico di valutare la sicurezza di un sistema o di un'applicazione in un determinato momento. Gli obiettivi possono essere specifici, come trovare vulnerabilità in un'applicazione o valutare la resistenza complessiva di un'infrastruttura.
    • Bug Bounty Hunting: Il bug bounty hunting coinvolge ricercatori o gruppi di sicurezza che cercano vulnerabilità in sistemi o applicazioni in cambio di ricompense monetarie. Il principale obiettivo è la scoperta e la segnalazione di bug e il programma è spesso in corso per un periodo di tempo prolungato.
       
  • Metodologia:
    • Penetration Test: I test di penetrazione spesso seguono una metodologia strutturata e pianificata. Gli esperti di sicurezza eseguono una serie di test manuali e automatizzati per scoprire vulnerabilità, e i risultati vengono documentati in un report dettagliato.
    • Bug Bounty Hunting: Il bug bounty hunting è più flessibile e informale. I cacciatori di bug possono utilizzare qualsiasi metodo che ritengono efficace per trovare vulnerabilità. Non ci sono regole fisse sulla metodologia, anche se ci sono linee guida generali.
       
  • Report e Comunicazione:
    • Penetration Test: I risultati dei test di penetrazione hanno una struttura molto formale sono illustrati in un report che dettaglia:
      • Le specifiche vulnerabilità che sono state sfruttate.
      • I dati sensibili che sono stati ottenuti.
      • La quantità di tempo che il tester è stato in grado di rimanere nel sistema

Bug Bounty Hunting: I cacciatori di bug normalmente segnalano le vulnerabilità alle piattaforme di bug bounty che poi comunicano i dettagli all’organizzazione interessata.
Nel caso del servizio Bug Bounty as a Service di NgSecurity non essendo coinvolta nessuna piattaforma di Bug Bounty  esterna le informazioni sui bug vengono comunicate direttamente l'organizzazione con una semplice comunicazione che descrive il Bug, a questa comunicazione viene allegato un video come prova.

  • Compensazione:
    • Penetration Test: I penetration test  hanno uno costo prefissato che varia dalla dimensione del target e non in base al numero o alla gravità delle vulnerabilità trovate, per cui anche nel caso in cui non venga rilevato nessun bug l’azienda e’ tenuta al pagamento completo dell’importo.
    • Bug Bounty Hunting: Si paga un canone mensile molto basso per l’adesione al programma e i cacciatori di bug sono retribuiti solo in base alle vulnerabilità trovate. Le ricompense variano  in base alla gravità del bug trovati, che sono comunque predefinite in base a una tassonomia standard.
       
  • Durata:
    • Penetration Test: I test di penetrazione sono di solito programmati per un periodo di tempo definito e possono essere un evento singolo o ricorrente.
    • Bug Bounty Hunting: I programmi di bug bounty possono essere in corso per un periodo di tempo indefinito, a volte per anni.

In sintesi


Mentre i test di penetrazione sono un approccio più formale e strutturato per valutare la sicurezza, il bug bounty hunting è un approccio più flessibile  che coinvolge ricercatori alla ricerca di vulnerabilità con l’obbiettivo di ottenere ricompense.

Entrambi gli approcci possono essere utili per migliorare la sicurezza di un sistema o di un'applicazione quando utilizzati in modo appropriato.

Bug Hunting as a Service di NGsecurity


NGsecurity offre una soluzione innovativa al Bug Bounty Hunting.

Non essendo coinvolte piattaforme esterne dove i canoni di adesione sono molto alti e adatti solo ad aziende con budget elevati, nel caso del bug bounty as a service di Ng Security  il canone di adesione ha un costo molto basso.
Possibilita’ di fissare un plafond mensile, nel caso in cui un mese si raggiunga il plafond, il servizio verra’ sospeso e riattivato automaticamente il mese successivo.
Questo approccio consente di definire dei costi mensili massimi.

 

 

Contatta

Via Rebaglia, 1 - 21019 Somma Lombardo (VA)    
Youtube Channel

Contatti...

 

 

 

fortinet e fortigate
sophos
tenable
tenable
tenable
tenable



Emergenza?