Honeymonkey's bieden efficiëntere bescherming dan code audits
Vandaag de dag is software code zo complex dat kleine foutjes niet alleen grote gevolgen kunnen hebben, ze zijn ook zeer lastig te vinden. Bedrijven geven daarom vele euro's uit aan het vinden van bugs en mogelijke beveiligingslekken in hun programma's. Een kostbare en tijdsintensieve aangelegenheid. En zelfs als de auditors geen problemen vinden, wil dat nog niet zeggen dat je over perfecte code beschikt. Geen enkel programma is onkwetsbaar en vroeger of later zal iemand een gaatje vinden om naar binnen te komen.
Waarom zou je zoveel moeite en geld investeren als de andere partij hetzelfde doet, en je hun tijd en energie juist voor je kan laten werken. Overal op het internet zijn er legio hackers die code doorpluizen op zoek naar een onbekend lek of andere mogelijkheid voor een aanval.
Via honeymonkey's, machines die actief op zoek gaan naar websites met exploits, en de gevonden informatie weer doorspelen aan de onderzoekers, kun je nog voor grote uitbraken kwaadaardige code vinden. Microsoft maakt al meer dan een jaar gebruik van honeymonkey's, die de softwaregigant waardevolle informatie bieden. Vaak worden er dankzij de machines exploits aangetroffen die nog onbekend zijn en ziet men nieuwe aanvalsmethodes. Microsoft mag dan niet foutloos programmeren, via dit soort tools weet het veel ellende te onderscheppen. Onze stelling luidt derhalve: Honeymonkey's bieden efficiëntere bescherming dan code audits
denk je nou echt dat 0days zomaar in het publiek op het internet staan?
Jongens kinderen toch, da's naïef, als de code al publiek is, is het al te laat.
niet. Dan moet je de definitie van beschermen maar eens
onder de loep nemen.
Code audits en honeymonkey's zijn actieve methodes maar
beschermen helemaal niets. Dus de stelling is flauwekul en
je kunt de discussie meteen sluiten.
- Unomi -
licht. Iedereen weet hoe ("snel") softwareontwikkelaars
daarmee omgaan. Bescherming is het zeker niet te noemen.
Honeymonkey's bieden geen bescherming en code audits ook
niet. Dan moet je de definitie van beschermen maar eens
onder de loep nemen.
Code audits en honeymonkey's zijn actieve methodes maar
beschermen helemaal niets. Dus de stelling is flauwekul en
je kunt de discussie meteen sluiten.
- Unomi -
HEAR HEAR!
Beiden hebben hun plek, en complementeren elkaar. Discussie
gesloten.
Honeymonkeys hebben alleen waarde op het moment dat er al een exploit
is.
Ze bieden dus helemaal geen bescherming.
Code audit voordat het product op de markt komt doen dit wel (tenminste,
als ze goed worden uitgevoerd). Niet 100%, maar in ieder geval meer als
de Honeymonkeys. Dus efficiënter.
algemeen bekend zijn. Ze zijn dus niet effectief tegen aanvallen
die gericht worden op 1 bedrijf.
Zelfde argumentatie als virusscanners: Je houdt de grote massa
ermee tegen, maar om alleen daarop te vertrouwen is waanzin.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
