باگبانتی چه نیست؟
پیشتر بارها راجع به اینکه "باگبانتی چه است؟" و در چه مواردی میتوان روی آن حساب کرد، گفته بودیم. اما این بار میخواهیم بگوییم که "باگبانتی چه نیست؟" و چه انتظارهایی را نمیتوان از آن داشت؟ ابتدا به تعریف کوتاهی از باگبانتی میپردازیم و سپس به سراغ شفافسازی برداشتها و پاسخدادن به سوالهای رایج میرویم.
باگبانتی چه است؟
باگبانتی فرآیند پرداخت پاداش در ازای کشف آسیبپذیری است.
در این فرآیند شکارچیها و هکرهای کلاهسفید به بررسی آسیبپذیریهای موجود در سامانهی یک کسبوکار، میپردازند و در ازای کشف هر آسیبپذیری، پاداش دریافت میکنند. در واقع با این کار نقاط آسیبپذیر، راههای نفوذ به سامانه و احتمال هکشدن کاهش مییابد.
با باگبانتی هیچوقت هک نمیشویم؟
قبل از پاسخ به این سوال باید این حقیقت را بپذیریم که امنیت هیچ وقت ۱۰۰ درصدی نیست و بر اساس جملهی معروفی: "شما یا هک شدهاید و یا در آینده هک خواهید شد."
حضور در باگبانتی باعث میشود تا شما آسیبپذیریهای امنیتی بیشتری از کسبوکارتان را بشناسید و آنها را قبل از منجر شدن به رخداد سایبری برطرف کنید.
اگر نگاهی به اخبار بیندازیم، میبینیم که بعضی از کسبوکارهایی که سالها در برنامههای باگبانتی حضور داشتهاند نیز، هک شدهاند. حتی نامهای بزرگ هم در لیست هکشدگان حضور دارند؛ توییتر، فیسبوک، FireEye و... .
توییتر از مِی 2014 به پلتفرم باگبانتی «هکروان» پیوسته است. فیسبوک نیز علاوهبر اینکه نزدیک به 10 سال است که برنامهی باگبانتی خود را بر روی سایت خود داشته است، از آپریل 2020 نیز به هکروان ملحق شده.FireEye نیز یکی از سرآمدان امنیت در دنیای اینترنت است و در پلتفرم باگبانتی «باگکراود» حضور دارد. اما با این وجود، توییتر و FireEye در سال گذشته هک شدند و فیسبوک نیز بهتازگی مورد حمله قرار گرفته است.
باگبانتی یک ابرقهرمان است؟
ابرقهرمانهای فیلم و سریالها را به خاطر دارید؟ در هر قسمت از یکی از این فیلمها قهرمان داستان تمام تلاش خود را به کار میبست و تا حد ممکن برای مبارزه با ناامنیها و برقرارکردن امنیت از جان خود مایه میگذاشت. اما در قسمت بعدی شاهد سربرآوردن ناامنی دیگری بودیم. جدال بین امنیت و ناامنی همواره ادامه داشت... . همانطور که در قصهها نیز امنیت مطلق هیچگاه برقرار نشد، در جهان سایبری نیز نمیتوانیم این انتظار را داشته باشیم. اگر باگبانتی را به سوپرمن هم تشبیه کنیم، نمیتوانیم انتظار برقراری امنیت مطلق را از او داشته باشیم.
آیا باگبانتی اکسیر جاودانگی ست؟
به طور واضحتر و شفافتر سوال بالا را میتوان اینگونه بیان کرد: « آیا با باگبانتی کاملا امن میشویم؟ »
بگذارید واقعیت موجود را صادقانه و از نگاه تخصصی برایتان بگوییم: "خیر". باگبانتی امنیت مطلق را به ارمغان نمیآورد. نهتنها باگبانتی، بلکه هیچ راهکاری برای دستیابی به امنیت مطلق وجود ندارد. چرا که امنیت مطلق به هیچ طریقی امکانپذیر نیست. تنها اقدام ممکن، تلاشی پیوسته برای امنتر کردن است. باگبانتی نیز تنها، راهی برای کمتر کردن ناامنیها و امنتر کردن موقعیت و شرایط است. اگر جایی وعدهای غیر از این را دیدید و یا شنیدید، بدانید و آگاه باشید که دروغی بیش نیست.
باگبانتی جلوی تمامی حملات را میگیرد؟
خیر، وجود بدافزارها، حملات مهندسی اجتماعی، حملات دسترسی فیزیکی و … همیشه جزو پرخطرترین پیشامدها و حملات در سازمانها هستند که اغلب به دلیل خطاهای نیروی انسانی ناآگاه منافع سازمان شما را تهدید میکنند. باگبانتی برخلاف نظر عموم مردم، یک مکانیزم خودکار نیست که بتواند جلوی تمامی حملات سایبری را بگیرد، بلکه مکانیزم آن به گونهای است که تعدادی هکر کلاهسفید بر اساس چهارچوبی مشخص، اقدام به کشف و گزارش آسیبپذیری بر روی سامانههای سازمان شما میکنند. با کشف آسیبپذیریها، گزارش آنها به کسبوکار و رفعشان، نقاط آسیبپذیر سامانه و راههای نفوذ کاهش مییابند. اینگونه احتمال حمله پایین میآید و سامانه امنتر میشود.
باگبانتی، یک بار برای همیشه؟
در طول زمان، روشها و راههای نفوذ جدیدی کشف و ابداع میشوند. مهاجمان و هکرهای کلاهسیاه مسلحتر از قبل میشوند و به همین دلیل نیاز است تا تلاش برای ارتقای امنیت نیز، متوقف نشود. چراکه اگر سامانهی شما بیشتر در برابر تخصص و دانش شکارچیها، هکرهای کلاهسفید و متخصصان امنیت باشد امکان کشف آسیبپذیریهای بیشتری فراهم میشود.
کدهای سامانهی هر کسبوکار همیشه به همان شکل نخواهند ماند. با بهروزرسانی و اعمال هر تغییری بر روی سامانه، آسیبپذیریهای جدیدی نیز متولد میشوند و بدیهی ست که در این شرایط نیاز به ارزیابی امنیتی مجدد نیز احساس میشود. در شرایطی که کسبوکاری حضور طولانیمدتتر و مستمرتری در پلتفرم باگبانتی داشته باشد، در تمام طول مدت حضورش، حتی پس از هر بار اعمال تغییرات، بهروزرسانی و ... نیز ارزیابی امنیتی توسط شکارچیان متوقف نمیشود و باگها و آسیبپذیریهای جدیدی نیز همزمان با تغییرات گزارش میشوند.
همهی آسیبپذیریها کشف میشوند؟
خیر، چون راههای نفوذ محدود نیستند و از الگوهای محدود و معینی پیروی نمیکنند. از طرفی خلاقیت انسان محدودیت نمیشناسد و به تعداد هکرهای روی زمین، راه برای نفوذ به سامانه وجود دارد. هکر کلاهسیاه با انگیزهی تخریب ممکن است با بهرهگیری از روش ابداعی خود به سامانه نفوذ کند و باعث ایجاد خسارت شود. اما در مقابل آن، در باگبانتی، جمعی از شکارچیها، هکرهای کلاهسفید و متخصصین امنیت با انگیزهی ارتقا امنیت در کنار کسبوکار حضور دارند. شکارچیها با بهرهگیری از تخصص، تجربه، دانش و خلاقیت خود، راههای ممکن برای نفوذ به سامانه را بررسی میکنند و نقاط آسیبپذیر در سامانه را پیش از منجر شدن به رخداد مخرب هشدار میدهند. در باگبانتی مجموعهای از خِرَدها یا همان خردجمعی همراه شماست و این به آن معناست که تا حد بسیار بالایی امکان شناسایی بسیاری از راههای نفوذ وجود دارد.
یکی بود، یکی نبود، فقط و فقط باگبانتی بود؟
امنیت تنها در باگبانتی خلاصه نمیشود. تنها در تست نفوذ، تیم قرمز، خرید تجهیزات گران قیمت و… هم خلاصه نمیشود.امنیت باید در نگاه کسبوکار وجود داشته باشد و به عنوان یک اصل همواره موردتوجه قرار گیرد. کسبوکار امنیتاندیش، که به ادامهی بقای خود میاندیشد، در تمامی اقدامات خود نکات امنیتی را موردتوجه قرار میدهد.
لازم است در تکتک مراحل طراحی و توسعهی سامانه، دیدگاه امن را مدنظر داشته باشید؛
اگر از کتابخانههای مختلف برای طراحی و توسعهي سامانهی خود استفاده میکنید، از کتابخانههای بهروز و امنتر استفاده کنید.
بررسی کنید که تیم توسعهی شما در هنگام انتخاب فریمورکها، طراحی و پیادهسازی ساختار برنامه، معماری امن را مورد توجه قرار دهند.
در پیادهسازی ساختار سازمانی و توسعهی بخشهای مختلف سامانه، استفاده از معماری Zero Trust را در اولویت قرار دهید.
درهنگام ارائهی سرویس و یا استفاده از خدمات جانبی، حداکثر محدودیت را اعمال کنید و تنها به دسترسیهای مجاز و مورداطمینان اجازه دهید.
مکانیزم ارزیابی و بررسی مداوم آسیبپذیریهای را در سامانههای خود پیادهسازی کنید. تست نفوذ و باگبانتی دو مدل از این ارزیابی به شمار میروند؛ در تست نفوذ گروه محدودی از افراد به ارزیابی امنیتی سامانه میپردازند اما در باگبانتی گروه نامحدودی از متخصصین دست به کار میشوند. در مطلب «باگبانتی یا تیم امنیت داخلی؟ مسئله این است...» میتوانید بیشتر راجع به تفاوتهای این دو روش، مزایا و معایب هر کدام بخوانید.
با وجود همهی اینها، پس چرا باگبانتی؟
اگر همین حالا سری به پلتفرمهای جهانی باگبانتی نظیر «هکروان» و «باگکراود» بزنید، بیشک نام بسیاری از کسبوکارهای آشنا را در لیست مشتریان این پلتفرمها خواهید دید. و این خود به تنهایی گواهیست بر مقبولیت و محبوبیت باگبانتی در جهان. باگبانتی به عنوان یک راهکار امنیتی بهصرفه و کارآمد در جهان به رسمیت شناخته شده است و مورداستفاده واقع میشود. اما ما نمیخواهیم که تنها اکثریت را دلیل حقانیت بشماریم، پس به طور خلاصه به ذکر برخی از مزیتهای این روش میپردازیم:
در باگبانتی امکان بهرهگیری از تخصص، تجربه و دانش جمع نامحدودی از متخصصان امنیت، شکارچیها و هکرهای کلاهسفید فراهم است. هر یک از این افراد با دیدگاه خود به بررسی و ارزیابی امنیتی سامانهها میپردازد. اینگونه، امکان شناخت و رفع آسیبپذیریها و امکان امنتر شدن آن، بیشتر فراهم میشود. این امکان نیز فراهم است که کسبوکار از میان شکارچیان، شکارچیان موردنظر خود را برای ارزیابی امنیتی سامانهی خود دعوت کند. در کنار آن، این مزیت اقتصادی نیز وجود دارد که در باگبانتی تنها هزینهی گزارش آسیبپذیری موفق پرداخت میشود که در مقایسه با سایر روشهای سنتی هزینهی بسیار کمتری را در عین بازدهی بالاترش به دنبال دارد. به همین دلیل است که میتوان از آن به عنوان راهکاری بهصرفه برای ارتقای امنیت یاد کرد.
میتوانید در مطالب ««یک گام به امنیت واقعی نزدیکتر شوید»» و ««باگبانتی؛ بهصرفهترین راه ارتقای امنیت» » دربارهی باگبانتی و مزیتهایش بیشتر بخوانید.
سخن آخر:
اگر بخواهیم با کمک گرفتن از ضد چیزی به تعریف آن بپردازیم امنیت را نیز میتوانیم حالتی تعریف کنیم که در آن ناامنی حضور نداشته باشد. امنیت و ناامنی دو کفهی یک ترازو هستند. اگر کفهی ناامنی پایین بیاید، قطعا کفهی امنیت بالا خواهد رفت. باگبانتی و سایر راهکارهای امنیتی نیز، راههایی برای ارتقای امنیت هستند، نه دسترسی به امنیت مطلق. امنیت مطلق وجود ندارد و نمیشود آن را برقرار ساخت، تنها میشود برای ایجاد شرایط امنتر تلاش کرد...