چرا مسابقات باگ باونتی Bug Bounty برگزار کنیم

Bug Bounty (باگ باونتی) لبه اصلی خدمات امنیت سایبری است.
در ابتدا از زبان ویکی پدیا باگ باونتی برای شما تعریف می کنیم :
به زبان ساده Bug Bounty معامله ای است که توسط بسیاری از وب سایت ها و توسعه دهندگان نرم افزار ارائه شده است و از طریق آن افراد متخصص و هکرهای کلاه سفید می توانند برای ارسال گزارش اشکالات و آسیب پذیری ها در برنامه های شرکت ها و توسعه دهندگان از آنها پاداش دریافت کنند . ( گزارش اشکال در ازای پاداش )
روش های برگزاری مسابقات باگ باونتی
دو روش برای مدیریت مسابقات باگ باونتی وجود دارد: برخی از شرکت ها تصمیم می گیرند که خودشان را میزبان برنامه های خودشان می کنند ، و برخی از سرویس های یک BBP) Bug Bounty Platform) استفاده می کنند .
بیایید درنظر بگیریم که ما یک شرکت تکنولوژی داریم که می خواهد نرم افزار خود را برای آسیب پذیری های امنیتی بررسی کند. ما دو سناریو را نشان خواهیم داد – یکی كه در آن یک شركت سنتی امنیت سایبری را استخدام می كند و دیگری كه با یک پلتفرم باگ باونتی (Platform Bounty Platform) كار می كند.
سناریو 1 – شرکت امنیتی سایبر سنتی:
- شرکت تکنولوژی ما یک شرکت مشاوره امنیتی SecCo را برای آزمایش نرم افزار خود استخدام می کند. SecCo یک ارائه دهنده خدمات مشاوره امنیتی معمولی با چند ده کارمند است.
- SecCo تعدادی از کارشناسان امنیت سایبری خود را که به مدت 2 تا 4 هفته نرم افزار شرکت تکنولوژی ما را آزمایش می کنند .
- پس از ارزیابی ، SecCo گزارشی را ارائه می دهد که در آن کلیه آسیب پذیری هایی را که کارمندان SecCo در طول ارزیابی پیدا کرده اند تشریح می کند و آن را به شرکت تکنولوژی ما تحویل می دهد.
- رئیس IT در شرکت تکنولوژی ما مسئولیت رفع اشکالات را بر عهده خواهد داشت.
این فرآیند استانداردی است که بیشتر شرکت ها سنتی و دولتی هنگام انجام ارزیابی امنیتی دارایی های دیجیتالی خود از آن پیروی می کنند .
سناریو 2 – باگ باونتی پلتفرم (Bounty Platform (BBP:
- در ابتدا ، BBP به شرکت تکنولوژی ما کمک می کند تا خط مشی برنامه Bug Bounty را بسازیم – سندی که به تفصیل توضیح می دهد که چه منابعی در محدوده / خارج از محدوده تست نفوذ پذیری قرار دارند ، روش گزارش دهی ، چه نوع پاداشی برای آسیب پذیری های مختلف و قوانین دیگر را توضیح داده است.
- پس از اتمام این موارد بالا – BBP به صدها نفر از محققان امنیتی و هکر های کلاه سفید با تخصص مختلف خود اعلام می کند که یک برنامه Bug Bounty برای شرکت تکنولوژی ما به صورت زنده در حال برگزاری است ، با یک فراخوان برای اقدام برای شرکت در آن با پاداش های مشخص شده به ازای هر گزارش صحیح آسیب پذیری.
- ده ها یا هزاران محقق امنیتی دارایی های دیجیتال نرم افزار ما را برای ماه ها (یا حتی سالها) آزمایش و تست می کنند.
- همه آسیب پذیری ها از طریق پلتفرم باگ باونتی گزارش می شوند. تیم متخصصان امنیت(داوران) BBP هر گزارش صحیح مطابق با قوانین را تأیید می کند.
- شرکت تکنولوژی ما می تواند فعالیت برنامه ( مسابقه) باگ باونتی خود را 24/7 رصد کند و در مورد آسیب پذیری های یافت شده و پول صرف شده و پاداش و . . . آنلاین بررسی کند و حتی اقدام به درخواست راهکار رفع آسیب پذیری کند .
همانطور که مشاهده می کنید – در سناریوی دوم ، تعداد زیادی از محققان با پیشینه های مختلف ، دارایی های دیجیتالی شرکت تکنولوژی ما را برای مدت زمان طولانی آزمایش خواهند کرد ، و این احتمال را که یک گزارش باگ ، اشکال “اشتباه باشد یا موردی فراموش شده باشد” را بسیار کاهش می دهد. شرکت های مشاوره امنیتی سنتی به سادگی نمی توانند با پایگاه استعدادیابی که در دسترس برای پلتفرم های باگ باونتی Bug Bounty Platforms است ، رقابت کنند.
بسیاری از شرکت ها طرز فکر ساختن “دیوار غیرقابل نفوذ” در اطراف دارایی های دیجیتال خود را دارند که آنها را در امان نگه دارند . واقعیت اما متفاوت است. مهم نیست که دیوار چقدر بزرگ باشد – دیر یا زود هکر ها نقطه ضعفی در آن پیدا می کنند و از آن بهره برداری می کنند. 🙂
فناوری همیشه در حال تحول است و دفاع شما باید به سرعت بروز شود ( زیر ساخت ها ، تمام فایروال ها و . . . ). طرز فکر درست اگر نمی خواهید هک شوید – این است که قبل از آنکه هکرهای کلاه سیاه بتوانید از آنها سوء استفاده کنید ، بطور مداوم و بی وقفه “دیوار” خود را آزمایش کنید ، آسیب پذیری ها را پیدا کنید و آنها را برطرف کنید.
Bug Bounty (باگ باونتی) روشی مناسب و کارآمد برای شرکت ها است که به طور مداوم امنیت دارایی های دیجیتالی خود را آزمایش کنند.
مطالب زیر را حتما بخوانید:

چطور می توانم باگ باونتی شروع کنم؟ چگونه مهارت های خود را بهبود بخشم؟ اینها مراحل ساده ای است که هر شکارچی باگ می تواند برای شروع و بهبود مهارت...

مسابقات فتح پرچم (CTF) چگونه مسابقاتی هستند؟! CTF که مخفف عبارت Capture The Flag می باشد، مسابقاتی در زمینه باگ بانتی و هک و امنیت کامپیوترها هستند و مابین هکرها رواج دارند...

با نزدیک شدن به تعطیلات سال نو میلادی و مراجعه مردم برای خریدهای آخر سال که امسال با شیوع بیماری کرونا نیز همزمان شده است، دولتها دائماً به شهروندان گوشزد...

حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این...

وزارت دفاع، ارتش و دانشگاه هاوارد در ایالات متحده در یک مرکز عالی، که اخیراً رونمایی شده است، با هدف پیشبرد تحقیقات هوش مصنوعی و یادگیری ماشینی، فناوریها و برنامههای...

برای اینکه واقعاً چگونگی نوشتن یک سیاست امنیتی خوب را توضیح دهیم ، از سیاست امنیتی Security.txt به عنوان نمونه استفاده خواهیم کرد. شرح پروژه خط مشی امنیتی...

بخشی از عملیات طرح ریزی پروژه است که شامل تعیین و مستند سازی لیستی از اهداف خاص و ثابت پروژه ، deliverables (موارد قابل تحویل از جمله اخبار ، اسناد...

آسیبپذیری جدیدی در نرمافزار Waze شناسایی شده است که به هکرها امکان شناسایی هویت کاربران را می دهد. بر اساس گزارش منتشر شده در وب سایت Autoevolution.com، این آسیبپذیری توسط یک مهندس...

طرز فکر خود را در مورد باگ باونتی تغییر دهید ( یادگیری > پول ) همیشه روی برنامه و اهداف جدیدتر متمرکز شوید همیشه به مسیری که کمتر بازدید می...

دوربینهای نظارتی و امنیتی یکی از داراییهای هر سازمان بوده و به مثابه چشم و گوش آن هستند. به همین جهت توجه به آنها و ایجاد بهترین شرایط به منظور...

در فرآیند توسعه نرم افزارها، همیشه خطاها و یا نقص های نرم افزاری دیده می شوند که به آن ها باگ یا Bug می گویند. تقریبا هیچ برنامه نویسی در...

Naked Security (اتاق خبر شرکت امنیتی سوفوس) ایمیلی را دریافت کرده که در آن چنین وانمود شده بود از وب سایت “WordPress.com” ارسال شده است. در این ایمیل، به گیرنده...

- جهت دانلود سریع از VPN استفاده نکنید..
- تمامی فایل ها قبل از درج بررسی شده اند.
- لینک دانلود از دو سرور مختلف است.
- امکان قطع دانلود فایل ها وجود دارد.
- جهت دانلود از IDM استفاده کنید..
- در صورت نیاز با ما تماس بگیرید.
اندازه فایل
نوع فایل
قوانین ارسال دیدگاه در سایت