شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
باگ بانتی؛ حمله‌ای برای دفاع از امنیت کسب‌وکار

باگ بانتی؛ حمله‌ای برای دفاع از امنیت کسب‌وکار

۹۸۸

باگ‌بانتی راهکاری چابک، به‌صرفه و مبتنی بر خرد جمعی در راستای ارتقای امنیت سایبری ست که در جهان مورد استقبال بسیاری از کسب‌وکارها قرار گرفته است.

باگ بانتی از دسته‌ی راهکارهای هجومی (Offensive) برای ارتقای امنیت سایبری به شمار می‌رود و می‌توان آن را حمله‌ای برای دفاع از امنیت سامانه دانست.

آن‌چه در این بلاگ‌پست خواهید خواند:

باگ بانتی چیست؟

در باگ بانتی چه اتفاقی می‌افتد؟

باگ بانتی، هک و هکر؟

هک اخلاقی چیست؟

چرا می‌گوییم " باگ‌بانتی حمله‌ای برای دفاع از کسب‌وکار است." ؟

نقش یک پلتفرم باگ‌بانتی چیست؟

باگ بانتی چیست؟

نام "باگ بانتی (Bugbounty) " تلفیقی از دو کلمه‌ی "باگ (Bug)" و "بانتی (Bounty)" ست و در زبان فارسی می‌توان آن را فرآیند "پرداخت پاداش در ازای گزارش آسیب پذیری (باگ) های امنیتی" دانست. به اصطلاح عامیانه و خودمانی‌تر شاید بتوان آن را این‌گونه بیان کرد: "فراخوانی از جانب کسب‌وکار، که شبکه‌ای نامحدود از متخصصین امنیتی، شکارچیان آسیب‌پذیری و هکرهای کلاه‌سفید و قانون‌مند را به ارزیابی امنیتی سامانه دعوت می‌کند. گزارش‌ آسیب‌پذیری‌های امنیتی کشف‌شده توسط متخصصین را دریافت می‌کند. و مطابق با ارزش هر یک از آسیب‌پذیری‌ها، پاداش پرداخت می‌کند."

در باگ‌بانتی چه اتفاقی می‌افتد؟

در باگ بانتی، کسب‌وکارها می‌توانند برای هک‌نشدن از هکرها کمک بگیرند! در فرآیند باگ بانتی، کسب‌وکارها تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفره‌های امنیتی سامانه‌ی خود، اعلام می‌کنند. سپس جمعی از هکرهای کلاه‌سفید و شکارچیان آسیب پذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانه‌ی کسب‌وکار می‌پردازند و آسیب پذیری‌های کشف‌کرده‌ی خود را به کسب‌وکار گزارش می‌دهند و بانتی دریافت می‌کنند. در باگ‌بانتی، پیش از اقدام شکارچی به شکار آسیب پذیری، قوانین و چارچوب توسط کسب‌‌وکار تعیین و اطلاع‌رسانی می‌شود.

پیشنهاد خواندنی: معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!

باگ بانتی، هک و هکر؟

آیا در باگ‌بانتی کسب‌وکارها توسط هکرها، هک می‌شوند؟ با نگاه به فرم اجرای باگ‌بانتی، پاسخ ما "بله" است. اما صبر کنید، جای هیچ ترسی در میان نیست. چرا که این هک و هکر، با آن هک و هکری که شما در ذهن خود دارید، در "هدف" و ... تفاوت‌هایی دارد.

هک اخلاقی چیست؟

آن‌چه در باگ بانتی اتفاق می‌افتد، هک اخلاقی و قانونی است. به‌طورکلی "هک (Hack) " به فعالیتی گفته می‌شود که در آن افراد از مهارت‌های برنامه‌نویسی یا اطلاعات کامپیوتری‌شان برای شکستن سد امنیت سایبری استفاده می‌کنند. در ذهن اغلب افراد، هک تنها به‌عنوان یک عمل غیرقانونی و غیراخلاقی معرفی می‌شود. با این حال، "هک اخلاقی ( Ethical Hack )" کاملا مخالف چنین تصوری‌ست. شکارچیان آسیب‌پذیری و هکرهای بااخلاق و قانونی مثل سایر هکرها، دانش و اطلاعات زیادی از سیستم‌ها، کدها و برنامه‌نویسی دارند. همه‌ی آن‌ها یک هدف مهم و مشترک دارند: شکستن سیستم‌های دفاعی یک هدف. با این حال، همان‌طور که از اسم این گروه پیداست، یک هکر بااخلاق طبق قانون کار می‌کند. هکرهای قانونی، نگاه هکری خود را به کار می‌گیرند و به بررسی سامانه‌ی یک کسب‌وکار می‌پردازند. هنگامی که در بررسی‌های خود، آسیب پذیری، حفره یا باگ امنیتی‌ای را کشف کردند، کسب‌وکار را از وجود آن‌ مطلع می‌کنند.

چرا می‌گوییم " باگ‌بانتی حمله‌ای برای دفاع از کسب‌وکار است." ؟

از نگاه تخصصی، باگ‌بانتی از دسته‌ی راهکارهای هجومی (Offensive) برای ارتقای امنیت سایبری به شمار می‌رود. این هجوم و حمله، به قصد دفاع و امن‌سازی است. بگذارید کمی بیش‌تر توضیح دهیم: یک نفوذگر غیرقانونی تنها و تنها با یافتن یک حفره می‌تواند به هدف خود برسد در حالی که در مقابل، برای امن سازی باید تمامی حفره‌ها را شناسایی و برطرف کرد. در باگ بانتی جمعی از هکرهای کلاه‌سفید و شکارچیان آسیب پذیری، تخصص، تجربه و دانش خود را صرف یافتن نقاط آسیب‌پذیر، باگ‌ها و حفره‌های امنیتی سامانه‌ی کسب‌وکار می‌کنند. پس از کشف نیز، با ثبت گزارش آسیب پذیری، کسب‌وکار را از وجود آن‌ها مطلع می‌کنند. تا از این طریق، کسب‌وکار بتواند پیش از دیگری و دیگران، از وجود خطرهای موجود برای کسب‌وکار خود آگاه شود. و این‌گونه می‌تواند از حمله‌های احتمالی هکرهای کلاه‌سیاه از طریق همان نقاط آسیب‌پذیر، جلوگیری کند و ریسک حمله‌های احتمالی به سامانه‌‌ی کسب‌وکار را به حداقل برساند.

پیشنهاد خواندنی: تقابل هجوم و دفاع در امنیت سایبری

نقش یک پلتفرم باگ‌بانتی چیست؟

یک پلتفرم باگ بانتی ( Bug Bounty Platform ) پُلی میان " نیاز کسب‌وکارهای آنلاین به آگاهی از آسیب پذیری‌های سامانه‌ی خود" و "تخصص و توانایی هکرهای کلاه‌سفید، شکارچیان آسیب پذیری و محققین امنیتی" است. پلتفرم‌های باگ بانتی، بستر لازم و بهترین زیرساخت‌ها را فراهم می‌کنند. تا مخاطبین هردو سوی این پل بتوانند به روشی قابل‌اطمینان، امن و ساختاربندی‌شده با یک‌دیگر ارتباط برقرار کنند. به این ترتیب سازمان‌ها از مشکلات مطلع می‌شوند و آسیب‌پذیری‌های‌شان را رفع می‌کنند. این مسئله نه تنها قدرت وضعیت امنیت سایبری آن‌ها را بهبود می‌دهد، بلکه به آن‌ها قدرت می‌دهد تا با مجرمین سایبری مقابله کنند. شکارچیان آسیب پذیری، هکرهای کلاه سفید و قانون‌مند و محققین امنیتی، نیز می‌توانند با عضویت در پلتفرم‌های باگ بانتی، به طور قانون‌مند و در چارچوب قوانین، به هدف‌های تعریف‌شده دسترسی داشته باشند. آن‌ها می‌توانند از این طریق به شکار آسیب پذیری، گزارش آن، دریافت بانتی و کسب درآمد قانونی از هک بپردازند.

سخن آخر:

امنیت سایبری، کیفیت پنهان کسب‌وکارهاست. در این بلاگ‌پست به باگ بانتی، به‌عنوان یک راهکار هجومی در راستای ارتقای امنیت پرداختیم و از ارتباط آن با هک گفتیم. معمولا رسانه‌ها هک‌کردن را کاری غیراخلاقی معرفی می‌کنند. با این حال، هک اخلاقی کاملا مخالف چیزی است که در دیگرجاها شنیده یا دیده‌اید.

بلاگ‌پست‌های مرتبط:

در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

مقایسه تست نفوذ و باگ بانتی

اصطلاحات و مفاهیم مرتبط به باگ

چگونه بفهمیم هر آسیب‌پذیری چقدر خطرناک است؟ (معرفی ۳ سنگ محک‌ جهانی)

منبع: کتابچه‌ی An Introduction To Bug Bounty Programs For Businesses پلتفرم باگ بانتی Intigriti

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.