VDP؛ صندوق پیشنهادها و انتقادات امنیتی
امنیت، مقولهای نسبی ست؛ هیچگاه امنیت به طور کامل برقرار نمیشود. در عین حال در دنیای پرخطر امروزی، امنیت برای کسبوکارها، حیاتی به شمار میرود. اقدام در جهت کاهش آسیبپذیریهای سامانهها، یکی از راههای موجود برای ارتقای امنیت تا حد ممکن است. کشف و رفع همهی آسیبپذیریها ممکن نیست اما تلاش هرچهبیشتر در جهت کشف و کاهش آسیبپذیریها، اقدامی لازم به شمار میرود.
اما از میان روشهای امنیتی مختلفی که برای ارتقای امنیت وجود دارند، کدام یک را انتخاب کنیم؟ ما در این مطلب میخواهیم به معرفی یکی از روشهای موجود بپردازیم: مفهومی به نام سیاست افشای آسیبپذیری یا Vulnerability Disclosure Policy که به اختصار با عنوان VDP شناخته میشود.
هرچه چشمهای بیشتری متمرکز باشند، حفرهها سطحیتر به نظر میرسند...
بگذارید ابتدا بگوییم که VDP یکی از روشهای مبتنی بر خرد جمعی است. اما چرا خرد جمعی؟ بگذارید پاسخ را از اریک ریموند بشنویم: او در قانون لینوس میگوید: "هرچه چشمهای بیشتری متمرکز باشند، حفرهها سطحیتر به نظر میرسند..." اگر بخواهیم این جمله را با موقعیت و این مطلب تطبیق دهیم، میشود گفت؛ هرچه متخصصهای بیشتری در میان باشند، هوش، تخصص و تجربهی بیشتری هم در میان است. در چنین شرایطی آسیبپذیریها و حفرههای امنیتی، سریعتر و سادهتر کشف خواهند شد.
VDP چیست؟ حرف حسابش چیست؟
هدف از ایجاد سیاست افشای آسیبپذیری فراهمنمودن یک بستر و کانال ارتباطی بین متخصصان امنیت و سازمانها برای دریافت گزارشهای آسیبپذیری بوده است. در یک کلام، حرف حساب VDP این است: متخصص عزیز، اگر چیزی مشاهده کردی، اطلاع بده. به عبارتی دیگر در VDP، کسبوکار آغوش خود را برای دریافت گزارشهای آسیبپذیری از سوی افراد باز میگذارد و صندوق انتقادات و پیشنهاداتی را مختص توصیههای امنیتی تدارک میبیند. اینگونه متخصصین امنیت، هکرهای کلاهسفید و … میتوانند بدون نگرانی از مشکلات حقوقی نظیر جرمانگاری و اتهامزنی، آسیبپذیریها و حفرههای امنیتی کشفکردهی خود را در گزارشی و از طریق این بستر برای کسبوکار ارسال کنند. کسبوکار نیز در صورت تمایل، مبلغی را به عنوان پاداش به آنها پرداخت میکند. به این ترتیب، کسبوکار از بسیاری از راههای نفوذ، نقاط آسیبپذیر و حفرههای امنیتی خود آگاه میشود، میتواند با رفع آنها راه ورود هکرهای کلاهسیاه را ببندد و نقشههای آنها را خنثی کند.
ویژگیهای VDP:
در VDP یک قانون وجود دارد و آن این است که هیچ قانون مشخصی وجود ندارد:
در VDP کسبوکار تعهدی بابت پرداخت پاداش به شکارچی ندارد و شکارچی نمیتواند در قبال کشف آسیبپذیری، توقع پاداش حتمی داشته باشد. در واقع سازوکاری به طور رسمی در مراتب VDP بابت این مورد درنظر گرفته نشده است و فرمول واحدی نیز برای محاسبهی مبلغ پاداش یا ... وجود ندارد.
در ساختار VDP، به طور اختصاصی به تعیین محدودهی هدف و یا تعیین قوانین توسط کسبوکار پرداخته نشده است و این موارد جزو الزامات VDP به شمار نمیروند. و متخصصین آزادند که بدون هیچ محدودیتی به بررسی هر کجای سامانهی کسبوکار بپردازند. مگر اینکه کسبوکار خود تمهیداتی را در این باره بیندیشد و به آنها اضافه کند.
تست نفوذ و VDP چه شباهت و چه تفاوتی با هم دارند؟
شاید VDP برای شما آشنا به نظر نرسد، اما اگر از افراد دغدغهمند در حوزهی امنیت کسبوکار خود باشید، بیشک با فرآیند "تست نفوذ" آشنایی دارید. در تست نفوذ گروهی محدود و مشخص از متخصصین امنیتی تلاش میکنند تا به سامانهی کسبوکار نفوذ کنند و از این طریق به ارزیابی امنیتی، کشف نقاط آسیبپذیر و حفرههای امنیتی سامانهي شما بپردازند. در VDP هم ماجرا از همین قرار است و افراد به ارزیابی امنیتی سامانهی شما میپردازند، اما چه افرادی؟ VDP و تست نفوذ تفاوتهای بسیاری دارند اما یک تفاوت مهم تست نفوذ و VDP در متخصصین مشارکتکننده در فرآیند است.
در VDP چه کسانی میتوانند در ارائهی گزارش آسیبپذیری مشارکت کنند؟
وبسایت Reciprocity سه حالت زیر را بر اساس افرادی که در فرآیند کشف آسیبپذیریها و حفرههای امنیتی مجاز شمرده میشوند، در آن دخیل هستند و مشارکت میکنند، تعریف کرده است:
Self-Disclosure: خود توسعهدهندگان درون سازمان، آسیبپذیریها را کشف و افشا کنند.
Third-party Disclosure: فرد یا گروهی از خارج از سازمان آسیبپذیری را کشف و به سازمان گزارش کنند.
Vendor Disclosure: افراد دیگری، آسیبپذیریهای مربوط به محصول شرکت دیگری که در توسعهی پروژهی سازمان استفاده شده است را کشف کنند. ( مثلا؛ ماژولهای CRM ) بنا بر اعلام آسیبپذیری از سمت آن شرکت، بهروزرسانی و نصب وصلههای امنیتی توسط سازمان استفادهکننده نیز انجام شود.
چگونه میتوانیم برای کسبوکار خود VDP راه بیندازیم؟
هر گونه سازوکار تدارکدیدهشده در یک کسبوکار به منظور دریافت گزارشهای آسیبپذیری را میتوان اقدامی منطبق بر مفهوم VDP دانست. حالت Third-party Disclosure ازVDP را میتوان به روشهای زیر اجرا کرد:
کسبوکار میتواند در سامانهی کسبوکار خود یک فایل security.txt یا فایلهای ایستای دیگری مانند robots.txt ایجاد کند که به این وسیله محتوای لازم برای ارتباط با کسبوکار را در اختیار مخاطبین قرار دهد. به این ترتیب سایر افراد میتوانند گزارشهای آسیبپذیریهای کشفکردهی خود را به کسبوکار برسانند.
برخی پلتفرمهای باگبانتی صفحهای را جهت ایجاد برنامهی VDP اختصاصی برای کسبوکارها تدارک دیدهاند. کسبوکارها به کمک این پلتفرمها صفحهی مربوط به VDP کسبوکار خود را ایجاد کنند. (این امکان در پلتفرمهای هکروان و باگکرود فراهم است. اما در هنگام نگارش این مطلب، در پلتفرمهای باگبانتی داخلی این امکان فراهم نشده است.)
VDP نیز مانند بسیاری از روشهای ارتقای امنیت، ویژگیهای مثبت و منفیای دارد. در مطالب بعدی در این باره بیشتر خواهیم خواند، با نسخهی تکاملیافتهتر و سازماندهیشدهتری از VDP یا همان باگبانتی آشنا خواهیم شد و به مقایسهی این دو روش خواهیم پرداخت.
سخن آخر
همانطور که گفتیم، روش های گوناگونی برای ارتقای امنیت کسبوکارها وجود دارند. ما در این مطلب به معرفی سیاست افشای آسیبپذیری یا همان VDP پرداختیم که در آن کسبوکار با آغوشی باز پذیرای دریافت گزارشهای آسیبپذیریها از سوی متخصصین امنیتی و هکرهای کلاهسفید است. VDP تلاشی برای ایجاد پلی میان متخصصان امنیت و کسبوکارهاست؛ بستری برای بهرهگیری از تخصص، تجربه و دانش هکرهای کلاهسفید، متخصصین امنیت و ... در جهت ارتقای امنیت کسبوکارها و به طور کلی در راستای رقمزدن آیندهای امنتر است.