برای یافتن باگ‌های امنیتی خود، از همه‌ی هکرهای کلاه‌سفید کمک بگیرید

تابه‌حال 180 هزار حفره‌ی امنیتی با هم‌کاری بیش‌ از 600 هزار هکر در فرآیند باگ‌بانتی کشف و گزارش شده‌اند. اگر نمی‌شدند، ممکن بود الان به جای این خبر، خبر هک‌های صورت‌گرفته ازطریق آن‌ها را بخوانید...

روزبه‌روز به طرفداران باگ‌بانتی در جهان افزوده می‌شود. کسب‌وکارهای آنلاین کوچک، بزرگ و پیش‌روان تکنولوژی نیز باگ‌بانتی را راه‌حل کارآمدی دانسته‌اند و برای ارتقای امنیت خود از آن کمک گرفته‌اند. غول فناوری جهان، گوگل، 12 سالی ست که به‌طور مستمر در برنامه‌های باگ‌بانتی حضور دارد. و در 10 سال گذشته، 30 میلیون دلار را در ازای آسیب‌پذیری‌هایی که توسط 2000 متخصص امنیتی بر روی برنامه‌های آن کشف شده‌اند، پاداش (Bounty) داده است و هم‌چنان نیز حضور مستمری در برنامه‌ی باگ‌بانتی دارد. اسپاتیفای نیز از سال 2017 به باگ‌بانتی پیوسته است و تا کنون بالغ بر 310 هزار دلار در برنامه‌ی باگ‌بانتی خود پاداش (Bounty) داده است.

این همه هزینه برای امنیت؟ اصلا این همه باگ از کجا آمده‌اند؟

تا سخن از "امنیت" به میان می‌آید، افراد شروع به برشمردن اقدام‌های محدود خود در راستای ارتقای امنیت می‌کنند و می‌پندارند که همراه با اقدام‌های مذکور، امنیت را به‌صورت تمام‌وکمال برای کسب‌وکار خود خریده‌اند. اما امنیت یک کالا نیست. امنیت تنها در تست نفوذ، تیم قرمز، خرید تجهیزات گران قیمت و یا حتی در باگ‌بانتی خلاصه نمی‌شود. تمامی راهکارهای نام‌برده شده برای ارتقای امنیت لازم و موثر هستند، اما کافی نه. چراکه به تعداد هکرهای روی زمین، راه برای هک و نفوذ به سامانه‌ی کسب‌وکارها وجود دارد. باگ‌ها و حفره‌های امنیتی فرمول ثابتی ندارند. چون با ترکیب "تخصص" ، "تجربه‌" و "خلاقیت" هر فرد، راه‌های متفاوتی برای نفوذ به سامانه کشف می‌شوند.

باگ‌بانتی چه می‌گوید؟ حرف حسابش چیست؟

اگر بخواهیم ارتقای امنیت سامانه‌ی کسب‌وکار خود را در مقابل هکرهای کلاه‌سیاه و نفوذگران، به یک فرد/تیم/نرم‌افزار محدود بسپاریم، باید انتظار داشته باشیم که آن فرد/تیم/نرم‌افزار ، به اندازه‌ی "تخصص"، "تجربه‌" و "خلاقیت" تمام هکرهای دنیا، تخصص، تجربه‌ و خلاقیت داشته باشد تا بتواند تمام راه‌های احتمالی هک و نفوذ را کشف کند. یک فرد/تیم/نرم‌افزار محدود می‌تواند به چنین نیازی پاسخ دهد؟ این انتظار سنجیده‌ای از یک فرد یا تیم محدود، به حساب می‌آید؟ اما اگر از همه‌ی هکرهای کلاه‌سفید دنیا کمک بگیریم چطور؟ اگر دیوارها را برداریم و به جای فرد/تیم ، از تخصص، تجربه و خلاقیت "جمع" کمک بگیریم، چطور؟ بهره‌گیری از "خردجمعی" در راستای ارتقای امنیت، یکی از مفاهیم پررنگ در روش باگ‌بانتی است. در باگ‌بانتی جمعی از شکارچیان آسیب‌پذیری و هکرهای کلاه‌سفید، در مسیر کشف آسیب‌پذیری‌ها، باگ‌ها و حفره‌های امنیتی، همراه کسب‌وکارها هستند.

هزینه‌ی برخورداری از این "خرد جمعی" در باگ‌بانتی، چگونه محاسبه می‌شود؟

نام "باگ‌بانتی" تلفیقی از دو کلمه‌ی باگ (Bug) و بانتی (Bounty)  ست و در زبان فارسی می‌توان آن را فرآیند "پرداخت پاداش در ازای آسیب‌پذیری (باگ) های گزارش‌شده" دانست. مدل پرداختی در باگ‌بانتی، Pay Per Bug (بر اساس مدل Pay Per Use ) است. در باگ‌بانتی تیمی متشکل از متخصصین امنیت، هکرهای کلاه‌سفید و شکارچیان به ارزیابی امنیتی سامانه‌ی کسب‌وکار می‌پردازند، اما نیازی به پرداخت دستمزد ثابت  و مجزا به هرکدام نیست. بلکه کسب‌وکار پس از تهیه‌ی اشتراک در پلتفرم، تنها هزینه‌ی آسیب‌پذیری‌های کشف‌شده از سامانه‌ی خویش را می‌پردازد.  بلکه همان‌طور که گفتیم، پرداخت فقط در ازای هر آسیب‌پذیری کشف‌ و گزارش‌شده صورت می‌گیرد.

اگر از دسته‌ی شرکت‌های دانش‌بنیان هستید، خبر خوبی برایتان داریم. در این روزها، با حمایت معاونت علمی و فناوری ریاست جمهوری، خدمت باگ‌بانتی با 50% تخفیف ویژه در پلتفرم باگ‌بانتی راورو عرضه می‌شود. اگر مایلید که از آسیب‌پذیری‌های سامانه‌ی خود آگاه شوید، در این شرایط ویژه، فقط لازم است که نیمی از مسیر را بپیمایید. و با همراهی بیش از 800 هکر کلاه‌سفید و شکارچی آسیب‌پذیری، امنیت کسب‌وکار خود را ارتقا دهید.

یعنی واقعا باگ‌بانتی جواب می‌دهد و موثر است؟

تابه‌حال، 180 هزار حفره‌ی امنیتی با همکاری بیش از 600 هزار هکر در فرآیند باگ‌بانتی کشف و گزارش شده‌اند. و این آمار، فقط مربوط به یکی از پلتفرم‌های باگ‌بانتی جهانی است. برای لحظه‌ای، تصور کنید که اگر این 180 هزار حفره‌ی امنیتی، کشف و گزارش نمی‌شدند، چه اتفاق‌هایی ممکن بود هر یک از کسب‌وکارهای مربوط به این حفره‌های امنیتی را تهدید کنند؟ این عدد به تنهایی بیان می‌کند که هم‌کاری هکر‌ها تا چه‌اندازه می‌تواند در ارتقای امنیت سایبری سامانه‌‌ی کسب‌وکارها موثر باشد. هم‌چنین در این گزارش آمده است که کسب‌و‌کارهای جهان، تا‌به‌حال 100 میلیون دلار را صرف باگ‌بانتی کرده‌اند تا گزارش‌های آسیب‌پذیری سامانه‌هایشان را دریافت کنند و امن‌تر شوند.

باگ‌بانتی در ایران هم جواب می‌دهد؟

راه‌حل نوآورانه‌ی باگ‌بانتی در ایران نیز، در حال رشد است. پلتفرم دانش‌بنیان باگ‌بانتی راورو، دارنده‌ی مجوزهای « مسابقات کشف نقص امنیتی (باگ‌بانتی) » و «امن‌سازی و مقاوم‌سازی سامانه‌ها، زیرساخت‌ها و سرویس‌ها»  از مرکز مدیریت راهبردی افتای نهاد ریاست جمهوری، یکی از ارائه‌دهندگان این خدمت در کشور است. تا کنون در راورو، با مشارکت هکرهای کلاه سفید و شکارچیان آسیب‌پذیری، 1000 آسیب‌پذیری، باگ و حفره‌ی امنیتی از کسب‌وکارهای ایرانی کشف و گزارش شده‌اند. کسب‌وکارهایی نظیر فلایتیو، رایتل، شاتل، جیبرس، ابرآروان، نماوا، تسکولو، تپسی، آیدی‌پی و ... نیز از پیش‌قدمان در به‌کارگیری این روش ارتقای امنیت هستند و به پلتفرم باگ‌بانتی راورو پیوسته‌اند تا با بهره‌گیری از تخصص شکارچیان آسیب‌پذیری، امنیت سامانه‌های خود را افزایش دهند.

آیا شما نیز مایلید که به کمک باگ‌بانتی، آسیب‌پذیری‌های سامانه‌ی کسب‌و‌کار خود را کشف کنید؟ و در نسخه‌ی بعدی‌ای که از محصول خود به بازار ارائه می‌دهید، خبر ارتقای امنیت را با افتخار به مشتریان خود مژده دهید؟

آشنایی بیش‌تر؛ این باگ‌بانتی چیست که عالم همه دیوانه‌ی اوست؟

 یک پلتفرم باگ‌بانتی پُلی میان " نیاز کسب‌وکارهای آنلاین به آگاهی از آسیب‌پذیری‌های سامانه‌ی خود" و "تخصص و توانایی هکرهای کلاه‌سفید"  است. در باگ‌بانتی کسب‌وکار، محدوده‌‌ی مشخصی از سامانه‌ی کسب‌وکار خود را به عنوان هدف تعیین می‌کند و تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفره‌های امنیتی آن محدوده، اعلام می‌دارد. سپس جمعی از هکرهای کلاه‌سفید، متخصصان امنیتی و شکارچیان آسیب‌پذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانه‌ی کسب‌وکار می‌پردازند. این افراد، از دانش هک و تجربه‌های خود در جهت کشف آسیب‌پذیری‌ها، باگ‌ها و حفره‌های امنیتی، بهره می‌گیرند و آسیب‌پذیری‌های کشف‌کرده را در چارچوبی قانونی به کسب‌وکار گزارش می‌دهند. کسب‌وکار نیز در ازای هر گزارش آسیب‌پذیری‌ای که دریافت می‌کند، به ارائه‌ی پاداش می‌پردازد.

بیش‌تر بخوانید: آشنایی بیش‌تر با باگ‌بانتی

موارد بهبودیافته در نسل جدید تست نفوذ(باگ‌بانتی) نسبت به نسل قدیم آن

"افزایش گستره‌ی افراد مشارکت‌کننده" هم‌زمان با "کاهش و بهینه‌سازی هزینه‌ها" را می‌توان مهم‌ترین ویژگی‌های بهبودیافته‌ در نسل جدید تست نفوذ دانست. "تفاوت در تعداد دفعات انجام فرآیند" از دیگر مزیت‌های مهم باگ‌بانتی نسبت به تست نفوذ است.

• تفاوت در گستره‌ی افراد مشارکت‌کننده:

در تست نفوذ، تیمی محدود به چند نفر، مامور به ارزیابی امنیتی سامانه می‌شوند.

در باگ‌بانتی، جمعی نامحدود به کشف حفره‌های امنیتی سامانه می‌پردازند.

• تفاوت در هزینه‌:

در تست نفوذ از ابتدای کار، هزینه‌ی ثابتی برای کل فرآیند پروژه فارغ از نتیجه درنظر گرفته می‌شود.

در باگ‌بانتی، مطابق با مدل پرداختی Pay Per Use، کسب‌وکارها تنها هزینه‌ی آسیب‌پذیری‌های کشف‌شده را می‌پردازند.

• تفاوت در تعداد دفعات انجام فرآیند:

در تست نفوذ، فرآیند ارزیابی امنیتی معمولا یک دور انجام می‌شود و اغلب در انتهای زمان پروژه نتیجه اعلام می‌شود.

در باگ‌بانتی، هر متخصص مشارکت‌کننده به صورت مجزا فرآیند کشف آسیب‌پذیری را طی می‌کند و این به این معناست که بررسی آسیب‌پذیربودن نقاط سامانه‌ی کسب‌وکار به تعداد افراد مشارکت‌کننده تکرار می‌شود. متخصصان به محض کشف آسیب‌پذیری نیز گزارش آن را به کسب‌وکار ارائه می‌دهند.

ما درپلتفرم باگ‌بانتی راورو، تلاش می‌کنیم تا پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند. ما رویای ایجاد جهانی امن‌تر با بهره‌گیری از خرد جمعی را در سر داریم.