در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

۴۶۸

تابه‌حال، ۱۸۰ هزار حفره‌ی امنیتی با همکاری هکرها در فرآیند باگ بانتی کشف و گزارش شده‌اند. و این آمار، فقط مربوط به یکی از پلتفرم‌های باگ بانتی جهانی (هکروان) است. برای لحظه‌ای، تصور کنید که اگر این ۱۸۰ هزار حفره‌ی امنیتی، کشف و گزارش نمی‌شدند، چه اتفاق‌هایی ممکن بود هر یک از کسب‌وکارهای مربوط به این حفره‌های امنیتی را تهدید کنند؟ این عدد به تنهایی بیان می‌کند که هم‌کاری هکر‌ها تا چه‌اندازه می‌تواند در ارتقای امنیت سایبری سامانه‌‌ی کسب‌وکارها موثر باشد. هم‌چنین در این گزارش آمده است که کسب‌و‌کارهای جهان، تا‌به‌حال ۱۰۰ میلیون دلار را صرف باگ بانتی کرده‌اند تا گزارش‌های آسیب پذیری سامانه‌هایشان را دریافت کنند و امن‌تر شوند.

آن‌چه که در این بلاگ‌پست خواهید خواند:

• این باگ بانتی چیست که عالم همه دیوانه‌ی اوست؟

• در باگ بانتی، کسب‌وکارها هک می‌شوند؟!

• چرا باگ بانتی؟ پس بقیه‌ی روش‌های ارتقای امنیت چه؟

• باگ بانتی اکسیر برقرارسازی امنیت مطلق است؟

• کسب‌وکارهای جهانی باگ بانتی را راه‌حل کارآمدی دانسته‌اند؟

این باگ بانتی چیست که عالم همه دیوانه‌ی اوست؟

باگ بانتی (BugBounty) حمله‌ای برای دفاع از امنیت سامانه ‌است. از دسته‌ی راهکارهای هجومی (Offensive ) برای ارتقای امنیت سایبری به شمار می‌رود و نسل جدیدی از روش آشنای تست نفوذ (Penetration Test) است. نام "باگ بانتی" تلفیقی از دو کلمه‌ی باگ (Bug) و بانتی (Bounty) ست و در زبان فارسی می‌توان آن را فرآیند "پرداخت پاداش در ازای آسیب پذیری (باگ) های گزارش‌شده" دانست. یک پلتفرم باگ بانتی پُلی میان " نیاز کسب‌وکارهای آنلاین به آگاهی از آسیب پذیری‌های سامانه‌ی خود" و "تخصص و توانایی هکرهای کلاه‌سفید" است. در باگ بانتی شما به عنوان کسب‌وکار، تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفره‌های امنیتی سامانه‌ی خود، اعلام می‌کنید. سپس جمعی از هکرهای کلاه‌سفید، متخصصان امنیتی و شکارچیان آسیب پذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانه‌ی کسب‌وکار شما می‌پردازند. این افراد، از دانش هک و تجربه‌های خود در جهت کشف آسیب پذیری‌ها، باگ‌ها و حفره‌های امنیتی، بهره می‌گیرند و آسیب پذیری‌های کشف‌کرده را در چارچوبی قانونی به شما گزارش می‌دهند. کسب‌وکار شما نیز در ازای هر گزارش آسیب پذیری‌ای که دریافت می‌کند، به ارائه‌ی پاداش می‌پردازد.

پیشنهاد خواندنی: تقابل هجوم و دفاع در امنیت سایبری

در باگ بانتی، کسب‌وکارها هک می‌شوند؟!

در یک پلتفرم باگ بانتی کسب‌وکارها هک می‌شوند، اما نه توسط هکرهای کلاه‌سیاه و نه با اهداف بدخواهانه، بلکه توسط دوستان خیرخواهی به نام هکرهای کلاه‌سفید یا شکارچیان آسیب پذیری. یک نفوذگر غیرقانونی تنها و تنها با یافتن یک حفره می‌تواند به هدف خود برسد در حالی که در مقابل، برای امن سازی باید تمامی حفره‌ها را شناسایی و برطرف کرد. در باگ بانتی جمعی از هکرهای کلاه‌سفید و شکارچیان آسیب پذیری، تخصص، تجربه و دانش خود را صرف یافتن نقاط آسیب‌پذیر، باگ‌ها و حفره‌های امنیتی سامانه‌ی کسب‌وکار شما می‌کنند. پس از کشف نیز، با ثبت گزارش آسیب پذیری، کسب‌وکار شما را از وجود آن‌ها مطلع می‌کنند. تا از این طریق، شما پیش از دیگری و دیگران، از وجود خطرهای موجود برای کسب‌وکار خود آگاه شوید. و این‌گونه می‌توانید از حمله‌های احتمالی هکرهای کلاه‌سیاه از طریق همان نقاط آسیب‌پذیر، جلوگیری کنید و ریسک حمله‌های احتمالی به سامانه‌‌ی کسب‌وکارتان را به حداقل برسانید.

پیشنهاد خواندنی: معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!

چرا باگ بانتی؟ پس بقیه‌ی روش‌های ارتقای امنیت چه‌؟

گفتنی‌ست که امنیت یک کالا نیست و هیچ مکانیزم امنیتی‌ای به طور مطلق و پایدار امنیت را فراهم نمی‌کند. شما نمی‌توانید تنها با انجام یکی از اقدام‌های امنیتی نظیر؛ تیم قرمز (Red Team)، تست نفوذ یا ... امنیت کسب‌وکار خود را مهیا سازید. امنیت سایبری تنها در باگ بانتی، تست نفوذ، تیم قرمز، خرید تجهیزات گران قیمت و‌… خلاصه نمی‌شود. تمامی راهکارهای نام‌برده شده در ارتقای امنیت موثر هستند، اما کافی نه. باگ بانتی راهکاری‌ست که در آن با بهره‌گیری از خردجمعی، می‌توانید از بسیاری از باگ‌ها و حفره‌های امنیتی کسب‌وکار خود آگاه شوید. این گونه بسیاری از نقاط آسیب‌پذیر سامانه‌ی شما که می‌توانستند نقطه‌ی نفوذ بیگانگان باشند، رفع می‌شوند و به این ترتیب امنیت بیش‌تری برای کسب‌وکار شما فراهم می‌شود.

باگ‌بانتی اکسیر برقرارسازی امنیت مطلق است؟

به قول Kevin Mitnick : « شما هرگز نمی‌توانید به‌طور ۱۰۰٪ از خود محافظت کنید! هرگز نمی‌توانید تمام خطرات رو حذف کنید. کاری که می‌توانید انجام دهید، این است که تاحدممکن از خود محافظت کنید تا احتمال بروز خطر را تا حد قابل‌قبولی کاهش دهید.» با کشف هر نقطه‌ی آسیب‌پذیر در سامانه، یک راه از راه‌‌های ممکن برای نفوذ کاسته می‌شود و احتمال هک‌شدن کاهش می‌یابد. امنیت مطلق وجود ندارد اما دستیابی به امن‌ترین حالتِ ممکن امکان‌پذیر است. حضور در باگ‌بانتی، چشم‌ها و هوش‌های بیش‌تری را برای کسب‌وکار به ارمغان می‌آورد تا با کمک آن‌ها آسیب پذیری‌های امنیتی بیش‌تری از کسب‌وکار کشف و قبل از منجرشدن به رخداد سایبری برطرف شوند. این‌گونه، ریسک خطرهای احتمالی به حداقل می‌رسد.

پیشنهاد خواندنی: باگ بانتی چه نیست؟

کسب‌وکارهای جهانی باگ بانتی را راه‌حل کارآمدی دانسته‌اند؟

روزبه‌روز به طرفداران باگ بانتی در جهان افزوده می‌شود. کسب‌وکارهای آنلاین کوچک، بزرگ و پیش‌روان تکنولوژی نیز باگ بانتی را راه‌حل کارآمدی دانسته‌اند و برای ارتقای امنیت خود از آن کمک گرفته‌اند. غول فناوری جهان، گوگل، ۱۲ سالی ست که به‌طور مستمر در برنامه‌های باگ بانتی حضور دارد. و در ۱۰ سال گذشته، ۳۰ میلیون دلار را در ازای آسیب پذیری‌هایی که توسط ۲۰۰۰ متخصص امنیتی بر روی برنامه‌های آن کشف شده‌اند، پاداش (Bounty) داده است و هم‌چنان نیز حضور مستمری در برنامه‌ی باگ بانتی دارد. اسپاتیفای نیز از سال ۲۰۱۷ به باگ بانتی پیوسته است و تا کنون بالغ بر ۳۱۰ هزار دلار در برنامه‌ی باگ بانتی خود پاداش (Bounty) داده است.

پیشنهاد خواندنی: باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است.

سخن آخر

باگ‌بانتی راهکار نوینی ست که همان‌طور که در بلاگ‌پست به آن اشاره کردیم، در جهان مورد استقبال کسب‌وکارها قرار گرفته است. در ایران نیز کسب‌وکارهایی نظیر فلایتیو، رایتل، شاتل، جیبرس، ابرآروان، نماوا، تسکولو، تپسی، آیدی‌پی و ... از پیش‌قدمان در به‌کارگیری این روش ارتقای امنیت بوده‌اند و به پلتفرم باگ بانتی ما پیوسته‌اند تا با بهره‌گیری از تخصص شکارچیان آسیب پذیری، امنیت سامانه‌های خود را افزایش دهند.

آیا شما نیز مایلید که به کمک باگ بانتی، آسیب پذیری‌های سامانه‌ی کسب‌و‌کار خود را کشف کنید؟ و در نسخه‌ی بعدی‌ای که از محصول خود به بازار ارائه می‌دهید، خبر ارتقای امنیت را با افتخار به مشتریان خود مژده دهید؟

شکارچیان آسیب‌پذیری راورو را به کشف‌ آسیب‌پذیری‌های سامانه‌ی خود دعوت کنید: ایجاد هدف در راورو

بلاگ‌پست‌های مرتبط:

تعریف هدف در باگ‌بانتی به چه معناست؟ و چه دلیلی دارد؟

مدل پرداختی کسب‌وکار در باگ‌بانتی چگونه است؟

VDP؛ صندوق پیشنهادها و انتقادات امنیتی

چگونه می‌توانم در پنل میدان در پلتفرم راورو، یک هدف ثبت کنم؟ (راهنمای گام‌به‌گام)