¿Atraería esto a los hackers? Sí, por supuesto, ese es el punto. Buenos hackers, malos hackers, hackers de sombrero gris / blanco / negro / multicolor. Vendrán a inspeccionar la puerta principal de su servidor.
¿Debes tenerle miedo? Normalmente, tu postura de seguridad no debe basarse en la ausencia de un atacante, de lo contrario, tienes un gran problema que resolver. Cuando implementas dicha política, significa que:
- Tiene la confianza suficiente en la seguridad de su servidor, ha configurado los sistemas adecuados de mitigación y monitoreo,
- Tiene personas en medida para manejar directamente posibles incidentes de seguridad,
- Tiene derecho a tomar dicha iniciativa (no está alquilando su servidor a un proveedor de servicios externo que podría tomar la iniciativa de demandar al informante),
- Ha establecido la comunicación adecuada al respecto (muchas empresas temen legítimamente perder competitividad cuando los clientes y socios no informados pueden tener que elegir entre una compañía que publica información sobre sus problemas de seguridad y una empresa que no muestra problemas de seguridad).
Tal como lo entiendo, mientras se compromete a no demandar a las personas que ponen a prueba su seguridad en el perímetro definido por su política, no tiene ningún compromiso de abrir todas las puertas para facilitar sus investigaciones (como puede hacerse en evaluación contractual para acelerar el proceso y garantizar una cobertura más profunda de la aplicación dirigida, por ejemplo, deshabilitando el firewall de una aplicación web para enfocar las pruebas en la aplicación en sí).
Todas sus defensas permanecen casi iguales, todos los umbrales aún están activos. Si un probador se bloquea durante unos minutos, si logra que el Captcha lo resuelva, etc .: todo esto es de esperar y es parte del juego.
La única diferencia es que, en lugar de trabajar solo de vez en cuando, sus mecanismos de defensa de primer nivel se activarán de forma mucho más regular, con algunas personas que intentan abusar maliciosamente, pero también los piratas informáticos benévolos los analizan. y listo para contactarlo en caso de que se haya encontrado algún defecto.
Para resumir:
- Sin ninguna política de divulgación responsable:
- Los robots y atacantes malintencionados intentan hackear su servidor de vez en cuando,
- Tus sistemas de defensa se activan ocasionalmente.
- Con una política de divulgación responsable:
- Puede haber una mayor cantidad de atacantes malintencionados que intentan piratear el servidor, pero esto ni siquiera es seguro, ya que generalmente es el signo de una postura de seguridad sana (el hecho de que anuncies que en realidad es un equipo de seguridad puede poner a su servidor fuera de los frutos colgados),
- Sus sistemas de defensa de primer nivel se activarán de forma regular,
- En caso de fallar estas defensas, existe una alta probabilidad de que un hacker benevolente lo contacte para informarle sobre el problema.
Entonces, en general, tengo la impresión de que este último da una mejor sensación de seguridad que el primero.