چرا مسابقات باگ باونتی Bug Bounty برگزار کنیم

Bug Bounty (باگ باونتی) لبه اصلی خدمات امنیت سایبری است.

در ابتدا از زبان ویکی پدیا باگ باونتی برای شما تعریف می کنیم :

به زبان ساده Bug Bounty معامله ای است که توسط بسیاری از وب سایت ها و توسعه دهندگان نرم افزار ارائه شده است و از طریق آن افراد متخصص و هکرهای کلاه سفید می توانند برای ارسال گزارش اشکالات  و آسیب پذیری ها در برنامه های شرکت ها و توسعه دهندگان از آنها پاداش دریافت کنند . ( گزارش اشکال در ازای پاداش )

روش های برگزاری مسابقات باگ باونتی 

دو روش برای مدیریت مسابقات باگ باونتی وجود دارد: برخی از شرکت ها تصمیم می گیرند که خودشان را میزبان برنامه های خودشان می کنند ، و برخی از سرویس های یک  BBP) Bug Bounty Platform)  استفاده می کنند .

بیایید درنظر بگیریم که ما یک شرکت تکنولوژی داریم که می خواهد نرم افزار خود را برای آسیب پذیری های امنیتی بررسی کند. ما دو سناریو را نشان خواهیم داد – یکی كه در آن  یک شركت سنتی امنیت سایبری را استخدام می كند و دیگری كه با یک پلتفرم باگ باونتی (Platform Bounty Platform) كار می كند.

سناریو 1 – شرکت امنیتی سایبر سنتی:

1. شرکت تکنولوژی ما یک شرکت مشاوره امنیتی SecCo را برای آزمایش نرم افزار خود استخدام می کند. SecCo یک ارائه دهنده خدمات مشاوره امنیتی معمولی با چند ده کارمند است.
2. SecCo تعدادی از کارشناسان امنیت سایبری خود را که به مدت 2 تا 4 هفته نرم افزار شرکت تکنولوژی ما را آزمایش می کنند .
3. پس از ارزیابی ، SecCo گزارشی را ارائه می دهد که در آن کلیه آسیب پذیری هایی را که کارمندان SecCo در طول ارزیابی پیدا کرده اند تشریح می کند و آن را به شرکت تکنولوژی ما تحویل می دهد.
4. رئیس IT در شرکت تکنولوژی ما مسئولیت رفع اشکالات را بر عهده خواهد داشت.

این فرآیند استانداردی است که بیشتر شرکت ها سنتی و دولتی هنگام انجام ارزیابی امنیتی دارایی های دیجیتالی خود از آن پیروی می کنند .

سناریو 2 – باگ باونتی پلتفرم (Bounty Platform (BBP:

1. در ابتدا ، BBP به شرکت تکنولوژی ما کمک می کند تا خط مشی برنامه Bug Bounty را بسازیم – سندی که به تفصیل توضیح می دهد که چه منابعی در محدوده / خارج از محدوده تست نفوذ پذیری قرار دارند ، روش گزارش دهی ، چه نوع پاداشی برای آسیب پذیری های مختلف و قوانین دیگر را توضیح داده است.
2. پس از اتمام این موارد بالا – BBP به صدها نفر از محققان امنیتی و هکر های کلاه سفید با تخصص مختلف خود اعلام می کند که یک برنامه Bug Bounty برای شرکت تکنولوژی ما به صورت زنده در حال برگزاری است ، با یک فراخوان برای اقدام برای شرکت در آن با پاداش های مشخص شده به ازای هر گزارش صحیح آسیب پذیری.
3. ده ها یا هزاران محقق امنیتی دارایی های دیجیتال نرم افزار ما را برای ماه ها (یا حتی سالها) آزمایش  و تست می کنند.
4. همه آسیب پذیری ها از طریق پلتفرم باگ باونتی  گزارش می شوند. تیم متخصصان امنیت(داوران) BBP هر گزارش صحیح مطابق با قوانین را تأیید می کند.
5. شرکت تکنولوژی ما می تواند فعالیت برنامه ( مسابقه) باگ باونتی خود را 24/7 رصد کند و در مورد آسیب پذیری های یافت شده و پول صرف شده  و پاداش  و . . .  آنلاین بررسی کند و حتی اقدام به درخواست راهکار رفع آسیب پذیری کند .

همانطور که مشاهده می کنید – در سناریوی دوم ، تعداد زیادی از محققان با پیشینه های مختلف ، دارایی های دیجیتالی شرکت تکنولوژی ما را برای مدت زمان طولانی آزمایش خواهند کرد ، و این احتمال را که یک گزارش باگ ، اشکال “اشتباه باشد یا موردی فراموش شده باشد” را بسیار کاهش می دهد. شرکت های مشاوره امنیتی سنتی به سادگی نمی توانند با پایگاه استعدادیابی که در دسترس برای پلتفرم های باگ باونتی Bug Bounty Platforms است ، رقابت کنند.

بسیاری از شرکت ها طرز فکر ساختن “دیوار غیرقابل نفوذ” در اطراف دارایی های دیجیتال خود را دارند که آنها را  در امان نگه دارند . واقعیت اما متفاوت است. مهم نیست که دیوار چقدر بزرگ باشد – دیر یا زود هکر ها نقطه ضعفی در آن پیدا می کنند و از آن بهره برداری می کنند. 🙂

فناوری همیشه در حال تحول است و دفاع شما باید به سرعت بروز شود ( زیر ساخت ها ، تمام فایروال ها و . . . ). طرز فکر درست اگر نمی خواهید هک شوید – این است که قبل از آنکه هکرهای کلاه سیاه بتوانید از آنها سوء استفاده کنید ، بطور مداوم و بی وقفه “دیوار” خود را آزمایش کنید ، آسیب پذیری ها را پیدا کنید و آنها را برطرف کنید.

Bug Bounty (باگ باونتی) روشی مناسب و کارآمد برای شرکت ها است که به طور مداوم امنیت دارایی های دیجیتالی خود را آزمایش کنند.