هیچ محصولی در سبد خرید نیست.
به دلیل تغییرات زیاد محصولات و خدمات در یک سازمان و همچنین کمبود نیروی انسانی در حوزه امنیت، بصورت معمول تست نفوذ بصورت دوره ای در سال و مطابق با چک لیست های امنیتی استاندارد انجام می شود تا اطمینان حاصل شود آن محصول در مقابل آسیب پذیری های شناخته شده و عمومی ایمن شده است. هزینه های بالا، زمانبر بودن، وابستگی به قراردادها و تفاهم نامه های پیمانکاری، محدود شدن به دانش ارزیابی کنندگان، کیفیت کم در صورت نزدیک شدن به خروجی های ابزارها از معایب ارزیابی امنیتی های سنتی می باشد.
در سالهای اخیر رویکرد استفاده از پتانسیل اجماع کاربران در حوزه های مختلف مورد توجه قرار گرفته است. از آن جمله می توان به ارایه اخبار تخصصی، اشتراک گذاری دانش و اطلاعات و یا اجرای انواع تستهای کاربری اشاره نمود. دسترسی به دانش کاربران متخصص در حوزه امنیت خدمات فناوری اطلاعات و ارتباطات در شناسایی آسیب پذیری های امنیتی این خدمات نیز به عنوان راهکاری تکمیلی و موثر با نام تجاری “باگ بانتی” در حال توسعه و گسترش می باشد.
تست محصولات سازمان بصورت مستمر، هزینه کمتر در قبال باگ های واقعی، دسترسی به گستردگی دانش استفاده کنندگان از محصول، تست در محیط عملیاتی و واقعی کاربران و محدود نبودن به پیچیدگی های قراردادی از جمله مزایای این نوع از راهکار مبتنی بر اجماع می باشد. در واقع لازم به ذکر است استفاده از خدمات باگ بانتی به معنای حذف ارزیابی امنیتی های دوره ای سازمان و یا پیش از ارایه نسخه های جدید نمی باشد زیرا کارکنان سازمان از عمق بیشتری از اطلاعات نسبت به منطق توسعه محصولات برخوردار هستند و همچنین ارزیابی برخی از آسیب پذیری های امنیتی نیازمند حقوق دسترسی داخلی سازمان و ممتاز می باشد.
بر اساس BlackHat سال 2018 “امنیت فیزیکی افراد در حال تبدیل شدن به امنیت دیجیتال میباشد و سازمانها میبایست دارای استراتژی کلان امنیتی باشند و تنها از فناوری های محدود به عنوان تاکتیک های فنی استفاده ننمایند”. “شفافیت اطلاعات” و “همکاری” دو عامل مهم در ارتقا سطح امنیت در خدمات الکترونیک محسوب می شود. همکاری بین تیمها و افراد متخصص امنیت سایبری را نوعی استراتژی دفاعی قلمداد می نمایند.
مدیر امنیت تیم Uber، ادعا می کند حتی با در اختیار داشتن بهترین نیروهای داخلی در سازمان همیشه می بایست به دنبال راههای ارتقا سطح امنیت خدمات خود بود و باگ بانتی می تواند یکی از منابع موثر در این زمینه باشد. از سوی دیگر مشارکت در این راهکار منجربه ارتقا سطح رضایت گروه کاربران متخصص و همچنین کاربران عادی خدمات سازمان و ارتقا سهم بازار می گردد.
بسته به نوع برنامه ای که شما برای راه اندازی برنامه ریزی کرده اید ، ممکن است برای برگزاری نیاز به استفاده از یک بستر متفاوت داشته باشید. قابل توجه ترین پلتفرم های bug bounty بدون ترتیب خاص عبارتند از:
HackerOne مستقر در سانفرانسیسکو یک پلتفرم باگ بانتی را برای مدیریت آسیب پذیری ارائه می دهد.
Bugcrowd مستقر در سان فرانسیسکو یک پلتفرم باگ بانتی را برای مدیریت آسیب پذیری ارائه می دهد.
Synack در رد وود سیتی ، کالیفرنیا برای مدیریت آسیب پذیری یک پلتفرم باگ بانتی با رویکرد جمعی، و اطلاعات امنیتی را ، ارائه می دهد.
Cobalt، که قبلاً نام آن Crowdcurity بود ، یک برنامه باگ بانتی در سان فرانسیسکو ، کالیفرنیا است.
باگ هاب به انگلیسی BugHub مستقر در ایران،کرج یک پلتفرم باگ بانتی ، پرداخت پاداش به محققان امنیتی مستقل و افراد کنجکاو برای یافتن آسیب پذیری و اشکالات در محصولات شرکت ها است .
SafeHats (محصولی از InstaSafe) وعده داده است كه به شركت ها ، مؤسسات مالی و دولت ها می خواهد کمک کند تا از قدرت جامعه پژوهشگران امنیت استفاده كنند تا آسیب های اساسی در دارایی های دیجیتالی خود را سریعتر و مؤثر تر کشف و برطرف كنند
شرکت آمریکایی سیتریکس که در حوزه ارایه خدمات رایانه ای و شبکه فعالیت می کند، از مشتریان خود درخواست کرده هر چه سریعتر نسبت به دانلود و نصب بهروزرسانی های منتشر شده برای دستگاههای ADC (که از آنها برای تبدیل...
حمله گسترده و پیچیده سایبری به شرکت سولارویندز (SolarWinds) که روسیه عامل اصلی اجرای آن شناخته می شود، مؤسسههای محلی، ایالتی و فدرال آمریکا و بعضی از شرکتهای بزرگ این کشور را با تهدیدات جدی و بزرگترین نشت اطلاعاتی تاریخ...
(Zero rust Network (ZTN یک مدل امنیتی مدیریت و کنترل شبکه است که در سازمانهای فناوری محور از آن استفاده می شود. در این مدل امنیتی به صورت پیش فرض به هیچ ماشین، سرویس یا شخصی اعتماد نمی شود و...
رمزنگاری سراسری، یک سیستم ارتباطی امن است که تنها افراد دو طرف ارتباط، قادر به خواندن پیام ها هستند و هیچ فرد و سیستمی از جمله ارایه دهندگان خدمات اینترنتی و مخابراتی امکان شنود کلیدهایی که برای رمزنگاری استفاده می...
یک هکر اخلاقی (Ethical Hacker) با نام «کوزمین یورداچه» که وظیفه پیدا کردن نقاط آسیبپذیر در سیستمهای مختلف و برطرف کردن آنها را داشته و با شناسه “@inhibitor181” در HackerOne (ارایهدهنده پلتفرم برنامههای عیبیابی) فعالیت میکند، حدود یک سال پیش...
Naked Security (اتاق خبر شرکت امنیتی سوفوس) ایمیلی را دریافت کرده که در آن چنین وانمود شده بود از وب سایت “WordPress.com” ارسال شده است. در این ایمیل، به گیرنده اطلاع داده شده که وب سایت او مشمول دریافت به...
با نزدیک شدن به تعطیلات سال نو میلادی و مراجعه مردم برای خریدهای آخر سال که امسال با شیوع بیماری کرونا نیز همزمان شده است، دولتها دائماً به شهروندان گوشزد میکنند که اهمیت ماسک زدن، رعایت فاصله اجتماعی و شستشوی...
بیشتر کارمندانی که با شیوع بیماری کرونا مجبور به دورکاری شده اند، همچنان مایل به ادامه این شرایط هستند؛ زیرا در هنگام دورکاری بیش از قبل از تجهیزات و امکانات سازمانی برای انجام کارهای شخصی شان استفاده میکنند. در این...
جیمی سندرز، مدیر امنیت شرکت Netflix DVD و رئیس شعبه سانفرانسیسکوی اتحادیه امنیت سیستمهای اطلاعاتی (ISSA) به دنبال یک تیم امنیتی است که بتواند اقدامات پیش رو، از پشتیبانی راهبرد امنیتی اعتماد صفر شرکت وی گرفته تا پیادهسازی ابر با...
اطلاعات بیشتر
تست نفوذ – فروشگاه ابزار های هک و امنیت | باگ بانتی
© کليه حقوق محصولات و محتوا متعلق به شرکت تیم سار ” تست نفوذ ” می باشد و هر گونه کپی برداری از محتوا و محصولات سایت پیگرد قانونی دارد.
