برای یافتن باگهای امنیتی خود، از همهی هکرهای کلاهسفید کمک بگیرید
تابهحال 180 هزار حفرهی امنیتی با همکاری بیش از 600 هزار هکر در فرآیند باگبانتی کشف و گزارش شدهاند. اگر نمیشدند، ممکن بود الان به جای این خبر، خبر هکهای صورتگرفته ازطریق آنها را بخوانید... ...
سلب مسئولیت: دیجیاتو صرفا نمایشدهنده این متن تبلیغاتی است و تحریریه مسئولیتی درباره محتوای آن ندارد.
تابهحال 180 هزار حفرهی امنیتی با همکاری بیش از 600 هزار هکر در فرآیند باگبانتی کشف و گزارش شدهاند. اگر نمیشدند، ممکن بود الان به جای این خبر، خبر هکهای صورتگرفته ازطریق آنها را بخوانید...
روزبهروز به طرفداران باگبانتی در جهان افزوده میشود. کسبوکارهای آنلاین کوچک، بزرگ و پیشروان تکنولوژی نیز باگبانتی را راهحل کارآمدی دانستهاند و برای ارتقای امنیت خود از آن کمک گرفتهاند. غول فناوری جهان، گوگل، 12 سالی ست که بهطور مستمر در برنامههای باگبانتی حضور دارد. و در 10 سال گذشته، 30 میلیون دلار را در ازای آسیبپذیریهایی که توسط 2000 متخصص امنیتی بر روی برنامههای آن کشف شدهاند، پاداش (Bounty) داده است و همچنان نیز حضور مستمری در برنامهی باگبانتی دارد. اسپاتیفای نیز از سال 2017 به باگبانتی پیوسته است و تا کنون بالغ بر 310 هزار دلار در برنامهی باگبانتی خود پاداش (Bounty) داده است.
این همه هزینه برای امنیت؟ اصلا این همه باگ از کجا آمدهاند؟
تا سخن از "امنیت" به میان میآید، افراد شروع به برشمردن اقدامهای محدود خود در راستای ارتقای امنیت میکنند و میپندارند که همراه با اقدامهای مذکور، امنیت را بهصورت تماموکمال برای کسبوکار خود خریدهاند. اما امنیت یک کالا نیست. امنیت تنها در تست نفوذ، تیم قرمز، خرید تجهیزات گران قیمت و یا حتی در باگبانتی خلاصه نمیشود. تمامی راهکارهای نامبرده شده برای ارتقای امنیت لازم و موثر هستند، اما کافی نه. چراکه به تعداد هکرهای روی زمین، راه برای هک و نفوذ به سامانهی کسبوکارها وجود دارد. باگها و حفرههای امنیتی فرمول ثابتی ندارند. چون با ترکیب "تخصص" ، "تجربه" و "خلاقیت" هر فرد، راههای متفاوتی برای نفوذ به سامانه کشف میشوند.
باگبانتی چه میگوید؟ حرف حسابش چیست؟
اگر بخواهیم ارتقای امنیت سامانهی کسبوکار خود را در مقابل هکرهای کلاهسیاه و نفوذگران، به یک فرد/تیم/نرمافزار محدود بسپاریم، باید انتظار داشته باشیم که آن فرد/تیم/نرمافزار ، به اندازهی "تخصص"، "تجربه" و "خلاقیت" تمام هکرهای دنیا، تخصص، تجربه و خلاقیت داشته باشد تا بتواند تمام راههای احتمالی هک و نفوذ را کشف کند. یک فرد/تیم/نرمافزار محدود میتواند به چنین نیازی پاسخ دهد؟ این انتظار سنجیدهای از یک فرد یا تیم محدود، به حساب میآید؟ اما اگر از همهی هکرهای کلاهسفید دنیا کمک بگیریم چطور؟ اگر دیوارها را برداریم و به جای فرد/تیم ، از تخصص، تجربه و خلاقیت "جمع" کمک بگیریم، چطور؟ بهرهگیری از "خردجمعی" در راستای ارتقای امنیت، یکی از مفاهیم پررنگ در روش باگبانتی است. در باگبانتی جمعی از شکارچیان آسیبپذیری و هکرهای کلاهسفید، در مسیر کشف آسیبپذیریها، باگها و حفرههای امنیتی، همراه کسبوکارها هستند.
هزینهی برخورداری از این "خرد جمعی" در باگبانتی، چگونه محاسبه میشود؟
نام "باگبانتی" تلفیقی از دو کلمهی باگ (Bug) و بانتی (Bounty) ست و در زبان فارسی میتوان آن را فرآیند "پرداخت پاداش در ازای آسیبپذیری (باگ) های گزارششده" دانست. مدل پرداختی در باگبانتی، Pay Per Bug (بر اساس مدل Pay Per Use ) است. در باگبانتی تیمی متشکل از متخصصین امنیت، هکرهای کلاهسفید و شکارچیان به ارزیابی امنیتی سامانهی کسبوکار میپردازند، اما نیازی به پرداخت دستمزد ثابت و مجزا به هرکدام نیست. بلکه کسبوکار پس از تهیهی اشتراک در پلتفرم، تنها هزینهی آسیبپذیریهای کشفشده از سامانهی خویش را میپردازد. بلکه همانطور که گفتیم، پرداخت فقط در ازای هر آسیبپذیری کشف و گزارششده صورت میگیرد.
اگر از دستهی شرکتهای دانشبنیان هستید، خبر خوبی برایتان داریم. در این روزها، با حمایت معاونت علمی و فناوری ریاست جمهوری، خدمت باگبانتی با 50% تخفیف ویژه در پلتفرم باگبانتی راورو عرضه میشود. اگر مایلید که از آسیبپذیریهای سامانهی خود آگاه شوید، در این شرایط ویژه، فقط لازم است که نیمی از مسیر را بپیمایید. و با همراهی بیش از 800 هکر کلاهسفید و شکارچی آسیبپذیری، امنیت کسبوکار خود را ارتقا دهید.
یعنی واقعا باگبانتی جواب میدهد و موثر است؟
تابهحال، 180 هزار حفرهی امنیتی با همکاری بیش از 600 هزار هکر در فرآیند باگبانتی کشف و گزارش شدهاند. و این آمار، فقط مربوط به یکی از پلتفرمهای باگبانتی جهانی است. برای لحظهای، تصور کنید که اگر این 180 هزار حفرهی امنیتی، کشف و گزارش نمیشدند، چه اتفاقهایی ممکن بود هر یک از کسبوکارهای مربوط به این حفرههای امنیتی را تهدید کنند؟ این عدد به تنهایی بیان میکند که همکاری هکرها تا چهاندازه میتواند در ارتقای امنیت سایبری سامانهی کسبوکارها موثر باشد. همچنین در این گزارش آمده است که کسبوکارهای جهان، تابهحال 100 میلیون دلار را صرف باگبانتی کردهاند تا گزارشهای آسیبپذیری سامانههایشان را دریافت کنند و امنتر شوند.
باگبانتی در ایران هم جواب میدهد؟
راهحل نوآورانهی باگبانتی در ایران نیز، در حال رشد است. پلتفرم دانشبنیان باگبانتی راورو، دارندهی مجوزهای « مسابقات کشف نقص امنیتی (باگبانتی) » و «امنسازی و مقاومسازی سامانهها، زیرساختها و سرویسها» از مرکز مدیریت راهبردی افتای نهاد ریاست جمهوری، یکی از ارائهدهندگان این خدمت در کشور است. تا کنون در راورو، با مشارکت هکرهای کلاه سفید و شکارچیان آسیبپذیری، 1000 آسیبپذیری، باگ و حفرهی امنیتی از کسبوکارهای ایرانی کشف و گزارش شدهاند. کسبوکارهایی نظیر فلایتیو، رایتل، شاتل، جیبرس، ابرآروان، نماوا، تسکولو، تپسی، آیدیپی و ... نیز از پیشقدمان در بهکارگیری این روش ارتقای امنیت هستند و به پلتفرم باگبانتی راورو پیوستهاند تا با بهرهگیری از تخصص شکارچیان آسیبپذیری، امنیت سامانههای خود را افزایش دهند.
آیا شما نیز مایلید که به کمک باگبانتی، آسیبپذیریهای سامانهی کسبوکار خود را کشف کنید؟ و در نسخهی بعدیای که از محصول خود به بازار ارائه میدهید، خبر ارتقای امنیت را با افتخار به مشتریان خود مژده دهید؟
آشنایی بیشتر؛ این باگبانتی چیست که عالم همه دیوانهی اوست؟
یک پلتفرم باگبانتی پُلی میان " نیاز کسبوکارهای آنلاین به آگاهی از آسیبپذیریهای سامانهی خود" و "تخصص و توانایی هکرهای کلاهسفید" است. در باگبانتی کسبوکار، محدودهی مشخصی از سامانهی کسبوکار خود را به عنوان هدف تعیین میکند و تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفرههای امنیتی آن محدوده، اعلام میدارد. سپس جمعی از هکرهای کلاهسفید، متخصصان امنیتی و شکارچیان آسیبپذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانهی کسبوکار میپردازند. این افراد، از دانش هک و تجربههای خود در جهت کشف آسیبپذیریها، باگها و حفرههای امنیتی، بهره میگیرند و آسیبپذیریهای کشفکرده را در چارچوبی قانونی به کسبوکار گزارش میدهند. کسبوکار نیز در ازای هر گزارش آسیبپذیریای که دریافت میکند، به ارائهی پاداش میپردازد.
بیشتر بخوانید: آشنایی بیشتر با باگبانتی
موارد بهبودیافته در نسل جدید تست نفوذ(باگبانتی) نسبت به نسل قدیم آن
"افزایش گسترهی افراد مشارکتکننده" همزمان با "کاهش و بهینهسازی هزینهها" را میتوان مهمترین ویژگیهای بهبودیافته در نسل جدید تست نفوذ دانست. "تفاوت در تعداد دفعات انجام فرآیند" از دیگر مزیتهای مهم باگبانتی نسبت به تست نفوذ است.
- تفاوت در گسترهی افراد مشارکتکننده:
در تست نفوذ، تیمی محدود به چند نفر، مامور به ارزیابی امنیتی سامانه میشوند.
در باگبانتی، جمعی نامحدود به کشف حفرههای امنیتی سامانه میپردازند.
- تفاوت در هزینه:
در تست نفوذ از ابتدای کار، هزینهی ثابتی برای کل فرآیند پروژه فارغ از نتیجه درنظر گرفته میشود.
در باگبانتی، مطابق با مدل پرداختی Pay Per Use، کسبوکارها تنها هزینهی آسیبپذیریهای کشفشده را میپردازند.
- تفاوت در تعداد دفعات انجام فرآیند:
در تست نفوذ، فرآیند ارزیابی امنیتی معمولا یک دور انجام میشود و اغلب در انتهای زمان پروژه نتیجه اعلام میشود.
در باگبانتی، هر متخصص مشارکتکننده به صورت مجزا فرآیند کشف آسیبپذیری را طی میکند و این به این معناست که بررسی آسیبپذیربودن نقاط سامانهی کسبوکار به تعداد افراد مشارکتکننده تکرار میشود. متخصصان به محض کشف آسیبپذیری نیز گزارش آن را به کسبوکار ارائه میدهند.
ما درپلتفرم باگبانتی راورو، تلاش میکنیم تا پاسخی برای دغدغههای امنیتی کسبوکارها باشیم. تلاش میکنیم شرایطی را فراهم آوریم که کسبوکارها بتوانند با خیالی آسوده، ارتقای امنیت کسبوکار خود را به ما بسپارند و خود بر روی حل سایر چالشهای موجود در مسیر رشد کسبوکارشان تمرکز کنند. ما رویای ایجاد جهانی امنتر با بهرهگیری از خرد جمعی را در سر داریم.
برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.