چرا مسابقات باگ باونتی Bug Bounty برگزار کنیم

Bug Bounty (باگ باونتی) لبه اصلی خدمات امنیت سایبری است.
در ابتدا از زبان ویکی پدیا باگ باونتی برای شما تعریف می کنیم :
به زبان ساده Bug Bounty معامله ای است که توسط بسیاری از وب سایت ها و توسعه دهندگان نرم افزار ارائه شده است و از طریق آن افراد متخصص و هکرهای کلاه سفید می توانند برای ارسال گزارش اشکالات و آسیب پذیری ها در برنامه های شرکت ها و توسعه دهندگان از آنها پاداش دریافت کنند . ( گزارش اشکال در ازای پاداش )
روش های برگزاری مسابقات باگ باونتی
دو روش برای مدیریت مسابقات باگ باونتی وجود دارد: برخی از شرکت ها تصمیم می گیرند که خودشان را میزبان برنامه های خودشان می کنند ، و برخی از سرویس های یک BBP) Bug Bounty Platform) استفاده می کنند .
بیایید درنظر بگیریم که ما یک شرکت تکنولوژی داریم که می خواهد نرم افزار خود را برای آسیب پذیری های امنیتی بررسی کند. ما دو سناریو را نشان خواهیم داد – یکی كه در آن یک شركت سنتی امنیت سایبری را استخدام می كند و دیگری كه با یک پلتفرم باگ باونتی (Platform Bounty Platform) كار می كند.
سناریو 1 – شرکت امنیتی سایبر سنتی:
- شرکت تکنولوژی ما یک شرکت مشاوره امنیتی SecCo را برای آزمایش نرم افزار خود استخدام می کند. SecCo یک ارائه دهنده خدمات مشاوره امنیتی معمولی با چند ده کارمند است.
- SecCo تعدادی از کارشناسان امنیت سایبری خود را که به مدت 2 تا 4 هفته نرم افزار شرکت تکنولوژی ما را آزمایش می کنند .
- پس از ارزیابی ، SecCo گزارشی را ارائه می دهد که در آن کلیه آسیب پذیری هایی را که کارمندان SecCo در طول ارزیابی پیدا کرده اند تشریح می کند و آن را به شرکت تکنولوژی ما تحویل می دهد.
- رئیس IT در شرکت تکنولوژی ما مسئولیت رفع اشکالات را بر عهده خواهد داشت.
این فرآیند استانداردی است که بیشتر شرکت ها سنتی و دولتی هنگام انجام ارزیابی امنیتی دارایی های دیجیتالی خود از آن پیروی می کنند .
سناریو 2 – باگ باونتی پلتفرم (Bounty Platform (BBP:
- در ابتدا ، BBP به شرکت تکنولوژی ما کمک می کند تا خط مشی برنامه Bug Bounty را بسازیم – سندی که به تفصیل توضیح می دهد که چه منابعی در محدوده / خارج از محدوده تست نفوذ پذیری قرار دارند ، روش گزارش دهی ، چه نوع پاداشی برای آسیب پذیری های مختلف و قوانین دیگر را توضیح داده است.
- پس از اتمام این موارد بالا – BBP به صدها نفر از محققان امنیتی و هکر های کلاه سفید با تخصص مختلف خود اعلام می کند که یک برنامه Bug Bounty برای شرکت تکنولوژی ما به صورت زنده در حال برگزاری است ، با یک فراخوان برای اقدام برای شرکت در آن با پاداش های مشخص شده به ازای هر گزارش صحیح آسیب پذیری.
- ده ها یا هزاران محقق امنیتی دارایی های دیجیتال نرم افزار ما را برای ماه ها (یا حتی سالها) آزمایش و تست می کنند.
- همه آسیب پذیری ها از طریق پلتفرم باگ باونتی گزارش می شوند. تیم متخصصان امنیت(داوران) BBP هر گزارش صحیح مطابق با قوانین را تأیید می کند.
- شرکت تکنولوژی ما می تواند فعالیت برنامه ( مسابقه) باگ باونتی خود را 24/7 رصد کند و در مورد آسیب پذیری های یافت شده و پول صرف شده و پاداش و . . . آنلاین بررسی کند و حتی اقدام به درخواست راهکار رفع آسیب پذیری کند .
همانطور که مشاهده می کنید – در سناریوی دوم ، تعداد زیادی از محققان با پیشینه های مختلف ، دارایی های دیجیتالی شرکت تکنولوژی ما را برای مدت زمان طولانی آزمایش خواهند کرد ، و این احتمال را که یک گزارش باگ ، اشکال “اشتباه باشد یا موردی فراموش شده باشد” را بسیار کاهش می دهد. شرکت های مشاوره امنیتی سنتی به سادگی نمی توانند با پایگاه استعدادیابی که در دسترس برای پلتفرم های باگ باونتی Bug Bounty Platforms است ، رقابت کنند.
بسیاری از شرکت ها طرز فکر ساختن “دیوار غیرقابل نفوذ” در اطراف دارایی های دیجیتال خود را دارند که آنها را در امان نگه دارند . واقعیت اما متفاوت است. مهم نیست که دیوار چقدر بزرگ باشد – دیر یا زود هکر ها نقطه ضعفی در آن پیدا می کنند و از آن بهره برداری می کنند. 🙂
فناوری همیشه در حال تحول است و دفاع شما باید به سرعت بروز شود ( زیر ساخت ها ، تمام فایروال ها و . . . ). طرز فکر درست اگر نمی خواهید هک شوید – این است که قبل از آنکه هکرهای کلاه سیاه بتوانید از آنها سوء استفاده کنید ، بطور مداوم و بی وقفه “دیوار” خود را آزمایش کنید ، آسیب پذیری ها را پیدا کنید و آنها را برطرف کنید.
Bug Bounty (باگ باونتی) روشی مناسب و کارآمد برای شرکت ها است که به طور مداوم امنیت دارایی های دیجیتالی خود را آزمایش کنند.
مطالب زیر را حتما بخوانید:

اختلال در سرویسهای لایو استریم
یکی از سرویس های پرطرفدار که استفاده از آن قبل از شیوع بیماری کرونا نیز بین افراد بسیار متداول بود، سرویس های استریمینگ است. با وجود این که پس از شروع قرنطینه خانگی و افزایش تقاضا برای استفاده از این...

چگونه از دوربینهای مدار بسته نگهداری کنیم
دوربینهای نظارتی و امنیتی یکی از داراییهای هر سازمان بوده و به مثابه چشم و گوش آن هستند. به همین جهت توجه به آنها و ایجاد بهترین شرایط به منظور نگهداری از این دارایی ها از جمله مهمترین وظایف مدیران...

11 ترفند حرفه ای باگ باونتی
طرز فکر خود را در مورد باگ باونتی تغییر دهید ( یادگیری > پول ) همیشه روی برنامه و اهداف جدیدتر متمرکز شوید همیشه به مسیری که کمتر بازدید می شود بیشتر توجه کنید. شکار باگ روی دامنه فرعی (subdomain...

چگونه یک باگ یا آسیب پذیری در باگ بانتی گزارش کنیم ؟
گزارش یک باگ نیازمند رعایت نکاتی است که، تخطی از آن میتواند درک باگ را از روی گزارش دچار ابهام کند. گزارشی که تمام این نکات را در خود بگنجاند، یک گزارش مناسب است. البته بسیاری از ابزارهای Defect And...

حمله گسترده به زیر ساخت SolarWinds
حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این کشور را با تهدیدات جدی و بزرگترین نشت اطلاعاتی تاریخ...

نسخه تقلبی عربی نتفلیکس برای اجرای حملات فیشینگ
محققان امنیت سایبری شرکت کسپرسکی (Kaspersky) متوجه اجرای گروهی از حملات فیشینگ شده اند که از یک وب سایت مخرب خاص که به عنوان نسخه عربی نتفلیکس (شرکت آمریکایی که به پخش آنلاین در سطح جهانی و تولید محصولات نمایشی...

نفوذ به شبکه از طریق VPN
آژانس امنیت زیرساخت و امنیت سایبری آمریکا (CISA) پس از نفوذ یک مهاجم سایبری به یکی از نهادهای فدرال آمریکا اطلاعیه ای صادر کرد. CISA در بیانیهای که منتشر کرد، اعلام کرده است که: «یک مهاجم سایبری با استفاده از...

رمزنگاری تمام پیام ها در سیستم عامل اندروید
رمزنگاری سراسری، یک سیستم ارتباطی امن است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام ها هستند و هیچ فرد و سیستمی از جمله ارایه دهندگان خدمات اینترنتی و مخابراتی امکان شنود کلیدهایی که برای رمزنگاری استفاده می...

تولید پردازنده امن توسط مایکروسافت
مایکروسافت خبر از تولید تراشه های جدید توسط خود داده است. بنا به گفته این شرکت، تولید این تراشه ها عصر جدیدی از امنیت را برای سیستم عامل ویندوز رقم خواهد زد. مایکروسافت که برای تولید این تراشه ها با...

افزایش قابلیتهای امنیتی نسخه موبایلی مرورگر کروم
گوگل برخی قابلیتهای امنیتی را به آخرین نسخه از مرورگر موبایلی کروم افزوده است. این به روزرسانی برای دو سیستم عامل اندروید و آی او اس انجام شده است. به نقل از انگجت، کروم ۸۶ برای اندروید و آی او...

شغل های پرتقاضای امنیت سایبری در سال ۲۰۲۱
جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستمهای اطلاعاتی (ISSA) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد امنیتی اعتماد صفر شرکت وی گرفته تا پیادهسازی ابر با...

آپدیت امنیتی جعلی DNS
Naked Security (اتاق خبر شرکت امنیتی سوفوس) ایمیلی را دریافت کرده که در آن چنین وانمود شده بود از وب سایت “WordPress.com” ارسال شده است. در این ایمیل، به گیرنده اطلاع داده شده که وب سایت او مشمول دریافت به...
قوانین ارسال دیدگاه در سایت
- چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد.
- چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
- چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
- چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
- چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12
Warning: _() expects exactly 1 parameter, 2 given in /home/ddbjkbmb/public_html/wp-content/themes/Sigma/comments.php on line 12