This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است...

باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این‌ است...

4501

نیاز پایداری به اسم "امنیت"

رشد سریع فناوری اطلاعات و به وجود آمدن فرصت‌های بزرگ در این فضا، سبب شده که اغلب کسب‌و‌کارهای سنتی جای خود را به کسب‌وکارهای آنلاین و به‌روز بدهند. این کسب‌وکارهای آنلاین، همان‌ طور که از عنوان آن‌ها مشخص است، خدمات خود را در بستر اینترنت ارائه می‌کنند. شاید شما هم از آن دسته افرادی باشید که تجربه‌ی مدیریت یک کسب‌وکار اینترنتی را در گذشته داشته‌اید یا در حال حاضر مدیر یک کسب‌وکار آنلاین هستید. قریب‌به‌یقین در چنین جایگاهی امنیت سازمان و مجموعه‌‌ی شما در لیست مهم‌ترین دغدغه‌هایتان حضور دارد و در پی یافتن بهترین روش برای ارتقای امنیت سازمان خود هستید. کسب‌وکارهای سنتی اغلب بسته به ماهیت فیزیکیِ ابزار کار و محصولات خود، تنها با پایین‌کشیدن کرکره‌ی حجره و مغازه‌ی خود و چندقفله‌کردن آن، امنیت لوازم و محصولات خود را حفظ می‌کردند و خاطر خود را آسوده می‌ساختند. اما همان طور که ماهیت و جنس دارایی‌های ارزشمند کسب‌وکار امروز با کسب‌وکار دیروز تفاوت دارد، در زمینه‌ی حفظ امنیت نیز این نیاز احساس می‌شود تا اقدام‌های امنیتی نیز هم‌سرعت با رشد و تغییر کسب‌وکارها به‌روز شوند و روش‌های نوین و روز دنیا در این زمینه به کار گرفته شوند. چرا که «امروزه کسب‌وکارهای آنلاین باید از داده‌های حساسی مراقبت کنند» تا اعتماد مشتریان به عنوان بزرگ‌ترین سرمایه‌ی آن‌ها در گستره‌ی وب از بین نرود.

امنیت لازمه تضمین بقای سازمان است

کسب‌وکار شما چطور؟

ارزش دارایی‌های کسب‌وکار شما چقدر است؟ در کسب‌و کار شما چه اطلاعاتی و یا خدماتی، محرمانه و حیاتی محسوب می‌شود؟ چه میزان از اطلاعات مشتریانتان در سامانه‌های شما ذخیره می‌شود؟ نشت کدام اطلاعات و یا اختلال در کدام خدمات بیش‌ترین ضربه را به کسب‌وکار شما وارد خواهد‌ کرد؟ این سوالات تنها تعدادی از سوالاتی است که شما باید برای ارتقای امنیت سازمان خود پاسخ دهید. سوالات و گفتنی‌‌های بسیار دیگری وجود دارند که در مطلب «تنها یک گام با امنیت واقعی فاصله دارید» می‌توانید در این باره، کمی بیش‌تر بخوانید.

سوالاتی که باید برای امنیت از خود بپرسید

امنیت دیجیتال؛ نبض کسب‌وکارهای امروز

خوش‌بختانه در سال‌های اخیر، برخی سازمان‌ها و کسب‌وکارها بیش از پیش به اهمیت امنیت دیجیتالی خود پی بردند و به دنبال آن ایجاد بخش امنیت اطلاعات درون سازمان و اجرای تست نفوذ به گزینه‌های روی میز مدیران کسب‌وکارها اضافه شدند. گرچه در یک یا دو دهه‌ی گذشته، این روش از جدیدترین و پرطرفدارترین روش‌های ارتقای امنیت در ایران به شمار می‌رفت اما در چند سال اخیر و با ظهور روش‌های جدیدتر، دیگر در دسته‌ی روش‌های سنتی ارتقای امنیت جای می‌گیرد. این روزها در کنار روش سنتی تیم امنیت داخلی و تست نفوذ، روش باگ‌بانتی روش به‌روزتری است که تهدیدهای سایبری را به یک فرصت و سود دوجانبه برای سازمان‌ها و هکرها تبدیل کرده است. البته شایان ذکر است که باگ‌بانتی و تیم امنیت داخلی ناسازگار با یک‌دیگر نیستند و حتی می‌توانند مکمل یک‌دیگر نیز باشند؛ با توجه به اینکه امنیت یک مقوله‌ی نسبی است، می‌توان هر دو را هم‌زمان، در یک سازمان جهت تامین امنیتِ هرچه‌بیشتر به کار گرفت. لازم به ذکر است که این رویکرد عموما به دلایل اقتصادی و هزینه‌های توأمان این دو روش، توسط سازمان‌های بزرگ و با مقیاس بالا در نظر گرفته می‌شود.

امنیت دیجیتال نبض کسب‌وکارهای امروز

تست نفوذ و باگ‌بانتی از چه قرارند؟

در سازمان‌هایی که در آن‌ها امنیت در جایگاه مناسب خود قرار گرفته است، معمولا دو روش برای مدیریت امنیت دیجیتالی در نظر گرفته می‌شوند؛ روش اول مربوط به سازمان‌هایی است که تمایل دارند خودشان با تشکیل یک گروه هکر و متخصص امنیت، از طریق فرآیند تست نفوذ به ارزیابی امنیتی سامانه‌ی خود بپردازند. روش دوم مربوط به سازمان‌هایی است که باگ‌بانتی را انتخاب می‌کنند و برای ارزیابی امنیتی سامانه‌ی خود را به گروه نامحدودی از هکرها و متخصصان امنیت می‌سپارند و تنها بر روی فرآیندها نظارت دارند. اکنون، به تفاوت‌های باگ‌‌بانتی و تست نفوذ تیم امنیت داخلی سازمان دقیق‌تر نگاه می‌کنیم. پس از آن نیز به تجزیه و تحلیل موردیِ جزئیات و نکات مربوط به هر یک از این دو روش، باگ‌بانتی و تست نفوذ توسط تیم امنیت داخلی، خواهیم پرداخت.

دوراهی باگ‌بانتی یا تست نفوذ

بیایید برای روشن‌ و واضح‌تر شدن موضوع و دانستن این که کدام یک تجویز بهتری برای بهبود امنیت در سامانه‌ی ماست، ادامه‌ی مقایسه را با دو داستان پیش ببریم:

داستان اول

سازمان A خدمات و محصولات خود را بر بستر اینترنت ارائه می‌کند. گروه مدیران این سازمان میلاد، فرزانه و محسن را شامل می‌شود.

پرده‌ی اول

چندی پیش میلاد پیشنهاد به‌کارگیری راه‌کارهایی جهت ارتقای امنیت دیجیتالی کسب‌وکارشان را در گروه مدیران مطرح کرد. پس از بررسی‌های اولیه، تصمیم جمعی این سازمان بر این شد که راه‌کار تست نفوذ را برگزینند.

پرده‌ی دوم

این سازمان یک گروه مشاوره‌ی امنیتی را فرا می‌خواند و سپس از آن‌ها می‌خواهد که با تعداد مشخص و محدودی از کارکنان داخلی و یا متخصصانی از خارج سازمان، ساختار ارزیابی امنیتی موردنظر خود را طراحی کنند تا آسیب‌‌پذیری‌ها کشف شوند.

پرده‌ی سوم

این گروه مشاوران امنیتی که در اختیار این سازمان قرار گرفته‌اند، ماموریت می‌یابند که تعداد محدودی هکر را با مبلغ قراردادشده‌ی مشخصی برای ارزیابی امنیت اطلاعات شرکت مذکور دعوت ‌کنند تا این افراد در یک بازه‌ی زمانی محدود(به طور مثال ۲ تا ۴ هفته) تمام محصول را مورد ارزیابی امنیتی قرار دهند.

پرده‌ی چهارم

پس از اتمام زمان مشخص‌شده جهت فرآیند ارزیابی، گزارشی از سوی گروه مشاوران امنیتی به سازمان ارائه می‌شود که محتوای آن شامل همه‌ی آسیب‌پذیری‌های کشف‌شده توسط گروه هکرها است. مبلغ قراردادشده پرداخت و در انتها نیز، مسئولیت رفع مشکلات امنیتی کشف‌شده به مدیر مربوطه سپرده می‌شود.

داستان دوم

سازمان B خدمات و محصولات خود را بر بستر اینترنت ارائه می‌کند. گروه مدیران این سازمان شامل سارا، مجتبی و علی است.

پرده‌ی اول

چندی پیش مجتبی پیشنهاد به‌کارگیری راه‌کارهایی جهت ارتقای امنیت دیجیتالی کسب‌وکارشان را در گروه مدیران مطرح کرد. پس از بررسی راه‌کارهای روز جهانی، تصمیم جمعی این سازمان بر برون‌‌سپاری فرآیند ارزیابی امنیتی و سپردن آن به پلتفرم باگ‌بانتی شد.

پرده‌‌ی دوم

مدیران این سازمان جلساتی را با پلتفرم باگ‌بانتی برگزار می‌کنند که در نتیجه‌ی این جلسات، سیاست برنامه باگ‌بانتی با توافق طرفین مشخص می‌شود که در آن جزئیات همه‌ی بخش‌های برنامه باگ‌بانتی آمده است و از موارد آن می‌توان به توافق با سازمان در خصوص چگونگی ارزش‌گذاری آسیب پذیری‌های مختلف اشاره کرد.

پرده‌ی سوم

کسب‌وکار B به عنوان یک «میدان» در پلتفرم باگ‌بانتی ثبت می‌شود و حالا صدها هکر، شکارچی و متخصص امنیت از ورود این میدان به پلتفرم باگ‌بانتی مطلع می‌شوند.

پرده‌ی چهارم

شکارچیان مشغول به کار می‌شوند؛ هر یک دانش، تخصص و تجربه‌ی خود را به کار می‌گیرند و از منظر خود به بررسی و ارزیابی میدان می‌پردازند. تعداد عمدتا نامحدودی از آن‌ها برای روزها، ماه‌ها و حتی سال‌ها محصول این سازمان را مورد ارزیابی قرار می‌دهند. شکارچیان پس از کشف هر آسیب‌پذیری، گزارش مستندی از آسیب‌پذیری کشف شده تهیه و در پلتفرم باگ‌بانتی ثبت می‌کنند تا به مرحله داوری برسد.

پرده‌ی پنجم

گروه داوری متشکل از متخصصان خبره، صحت گزارش‌ها، حساسیت و سطح آسیب‌پذیری‌ها را بررسی و ارزیابی می‌کنند.

پرده‌ی ششم

همه آسیب‌پذیری‌های تاییدشده توسط پلتفرم باگ‌بانتی به مسئول مرتبط در سازمان اطلاع‌رسانی می‌شود و با توجه به تعداد و ارزش آسیب‌پذیری‌های گزارش‌شده مبلغ قابل پرداخت، محاسبه و پرداخت می‌شود. گروهی در سازمان مسئولیت بررسی و رفع هر گزارش آسیب‌پذیری تاییدشده را به عهده می‌گیرند.

«چگونه آسیب‌پذیری در راورو ارزش گذاری می‌شود؟»

گفتنی است، میدان می‌تواند در هر ساعت از شبانه‌روز و در تمام روزهای هفته، تمام فعالیت‌های صورت‌گرفته در برنامه‌ی باگ‌بانتی خود را رصد کند و به صورت لحظه‌ای در جریان میزان آسیب‌پذیری‌های کشف‌شده و میزان هزینه‌ی صرف‎شده قرار گیرد. با بررسی اجمالی دو داستانی که بیان کردیم و مواردی که تا این جای مطلب در خصوص باگ‌بانتی و تست نفوذ برشمردیم، می‌توان نقاط تمایز بارز این دو روش را دریافت که به آن می‌پردازیم.

باگ‌بانتی یا تست نفوذ؟

باگ‌بانتی و تیم امنیت داخلی از نظر محتوا و اعتبار چه تفاوتی با یک‌دیگر دارند؟

آنچه در داستان اول گذشت و ما ندیدیم...

در داستان اول، روش تست نفوذ با توجه به تشریفات خاص خود جنبه رسمی‌تری دارد و گزارش حاصل از تست نفوذ نیز، می‌تواند سندی قابل ارائه توسط میدان مورد نظر به منظور افزایش اعتبار محصول خود و اثبات برتری امنیتی آن نسبت به رقبایش باشد. این گزارش به دلیل محتوای آن عموما کیفیت بالاتری دارد؛ محتوای گزارش تست نفوذ صرفا شامل موارد فنی نیست و مواردی نظیر راه‌حل‌های پیشنهادی برای رفع هر آسیب‌پذیری را نیز شامل می‌شود. این ویژگی مهم ارزش محتوای گزارش را بالا می‌برد. در این روش تمرکز هکرها یا شکارچیان به طور ویژه بر روی بخش‌های از پیش تعیین‌شده خواهد بود و امکان پویایی در کشف آسیب‌پذیری‌ها از شکارچیان سلب می‌شود. نقش‌آفرینان داستان اول، معمولا شکارچیان شناخته شده، از اعضای سازمان و تعداد محدودی هستند. حجم اشتباه یا False Positive در گزارش آسیب‌پذیری کم و در صورت وجود نیز در گزارش کلی قابل‌اصلاح است. در نهایت نیز ارتباط بین سازمان و شکارچیان می‌تواند به رفع سریع‌تر مشکلات امنیتی منجر شود. نکته‌ی قابل توجه در داستان اول این است که هزینه پرداختی به شکارچیان بدون در نظر گرفتن و توجه به تعداد آسیب‌پذیری‌های کشف‌شده و گزارش‌های ثبت‌شده، ثابت است و این موضوع می‌تواند هزینه‌ای اضافه را به سازمان متحمل کند. موارد بالا مزیت‌های موجود در روش اول یا همان انجام تست نفوذ توسط تیم امنیت داخلی بودند که دلایل انتخاب این روش توسط بعضی سازمان‌ها به ویژه سازمان‌های دولتی نیز از این قبیل هستند.

تیم امنیت داخلی در سازمان چه مزایایی دارد؟

آنچه در داستان دوم گذشت و ما ندیدیم...

در داستان دوم، برخی محدودیت‌های موجود در روش تیم امنیت داخلی سازمان حذف شده‌اند. شکارچیان، هکرها و متخصصان امنیت بیشتری مشغول کشف آسیب‌پذیری‌ها می‌شوند و طبیعتا آسیب‌پذیری‌های بیشتری نیز کشف خواهند شد. همان‌‌طور که در قانون لینوس نقل می‌شود: «اگر تعداد مردمک‌های خیره کافی باشند، همه باگ‌ها سطحی به نظر می‌رسند». محدوده زمانی گسترده‌تر است و زمان بیشتری صرف کشف آسیب‌پذیری‌های میدان می‌شود. انتخاب بخش موردنظر میدان برای کشف آسیب‌پذیری به اختیار شکارچیان است و قابل‌تغییر خواهد بود اما به شرطی که در چارچوب بخش‌های مجاز تعریف‌شده در سیاست برنامه باگ‌بانتی میدان مورد نظر باشد. در واقع، ملاک ارزیابی گزارش شکارچیان، قوانین تعیین‌شده در اهداف میدان است. کسب‌وکار فقط هزینه‌ی آسیب‌پذیری‌های کشف و ارزیابی‌شده را می‌پردازد که این یک مزیت اقتصادی باگ‌بانتی نسبت به تست نفوذ به شمار می‌رود. برنامه‌ی باگ‌بانتی تا حد بسیاری می‌تواند از نشت اطلاعات جلوگیری کند چراکه هر مشکل امنیتی کشف‌شده‌ی جدید با قیمت خوبی از شکارچی خریداری می‌شود. نکته مهمی که در این روش نهفته است، آن است که به شکارچیان متخصص این امکان را می‌دهد تا به صورت قانونی میدان‌های موجود در پلتفرم باگ‌بانتی را ارزیابی کنند و راه را برای هر شکارچی که خواهان گزارش یک مشکل امنیتی در میدان است، هموار می‌کند. این مهم، فرهنگ افشای مسئولانه(VDP) را ارتقا می‌بخشد و شکارچیان را تشویق می‌کند تا با اقدام قانونی به جای اتهام، از سوی میدان پاداش دریافت کنند و شکارچی و سازمان را در جهت ایجاد امنیتی پایدارتر همراه و هم‌قدم می‌سازد.

باگ‌بانتی چه مزایایی نسبت به روش‌های دیگر دارد؟

سخن آخر:

همان‌طور که در ابتدای مطلب گفته شد، باگ‌بانتی و تست نفوذ دو راه‌کار مرسوم برای ارتقای امنیت دیجیتالی کسب‌وکارها، سازمان‌ها و ... هستند که هر یک به نوبه‌ی خود مزایا و معایب خاصی را در بردارند و کوشش ما بر آن بوده که بتوانیم این دو روش را به طور اجمالی مقایسه کنیم و گفتنی‌ها را با شما در میان بگذاریم. به عبارت بهتر، ما آنچه شرط بلاغ بود با شما گفتیم.

Image