This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
قبل‌ترها، چه سرنوشتی نصیب گزارش‌های آسیب پذیری می‌شد؟

قبل‌ترها، چه سرنوشتی نصیب گزارش‌های آسیب پذیری می‌شد؟

330

 

پلتفرم باگ بانتی راورو بستری ست که تلاش می‌کند تا ارائه‌ی خدمات امنیت سایبری برای خدمات‌دهنده و خدمات‌گیرنده را تسهیل کند. و در این راستا می‌کوشد تا در جهت کاهش چالش‌های ارائه‌ی خدمات و افزایش وضوح و شفافیت قدم بردارد. به بیان دیگر تمرکز اصلی راورو برروی این است که دانش و تجربه‌ی متخصصان امنیت سایبری به نیاز سازمان‌ها مرتبط شود. در این بلاگ‌پست، کمی از تجربه‌هایی که به‌عنوان یک پلتفرم باگ بانتی، با آن مواجه شده‌ایم را با شما درمیان گذاشته‌ایم. 

آن‌چه در این بلاگ‌پست خواهید خواند:

مجمع‌الجزایر گروه‌های هکری 

بی‌اعتمادی بین هکرها و سازمان‌ها 

تسهیل ارتباط و چالش‌های آن 

نقش پلتفرمی راورو بین دو گروه مخاطب 

مجمع‌الجزایر گروه‌های هکری

این مسیر از روز اول هموار نبوده است. در این مسیر ناهموار، چالش‌های فرهنگی و زیرساختی بسیاری در این زمینه وجود داشته است. در سال‌های گذشته، متخصصان امنیت و هکرها به صورت جزیره‌ای فعالیت می‌کردند. آن‌ها دورهم گروه‌هایی را تشکیل می‌دادند و در این گروه‌های چندنفره فعالیت‌های مرتبط به کشف آسیب پذیری انجام می‌دادند. این جریزه‌ای‌بودن گروه‌ها و عدم وجود یک شبکه‌ی بزرگ‌تر، یکی از دلایلی بود که سازمان شناخت کم‌تری از پتانسیل‌های جمع هکرها داشته باشد و گروه‌های هکری را نیز به رسمیت نشناسند. این موضوع، خود باعث ایجاد یک فضای غیرشفاف و دامن‌زدن به رقابت‌های ناسالم می‌شد. درحالی‌که با درکنارهم‌قرارگرفتن و تشکیل یک شبکه‌ی بزرگ‌تر از متخصصین امنیت، می‌شد به مجمع‌الجزایر یا قاره‌ای فکر کرد که سخت می‌شود آن را نادیده گرفت یا به رسمیت نشناخت. 

پیشنهاد خواندنی: قوانین و فرهنگ باگ بانتی در ایران 

بی‌اعتمادی بین هکرها و سازمان‌ها 

به‌علاوه به دلیل برخوردهای غلطی که برخی سازمان‌ها با متخصصان داشتند، فضای عدم‌اعتماد بین متخصصان و سازمان‌ها شکل گرفته بود و ارتباط بین این دو گروه به‌خوبی پیش نمی‌رفت. که این خود، کار را سخت‌تر می‌کرد. به این معنی که در سال‌های اول، وقتی یک متخصص می‌خواست یک گزارش آسیب پذیری را برای سازمانی ارسال کند، تصور قالب این بود که سازمان قرار است حق او را بخورد. شفافیتی در این‌باره هم وجود نداشت که این حق چه‌قدر معتبر است و چه عددی دارد. جای خالی یک بستر ارتباطی و زبان مشترک بین هکر و سازمان به چشم می‌خورد. 

نسترن سلیمان، راهبر دپارتمان شکارچیان راورو خاطره‌ای در این باره را این‌طور نقل می‌کند: 

"یک‌بار یک شکارچی خیلی زیاد از رد شدن دو گزارشش ناراحت بود و خیلی به من اعتراض کرد. در آخر هم گفت اصلا نمی‌خواهم اعتراضم را پیگیری کنید. اما از آن‌جایی که ما تلاش می‌کنیم، کار درست را انجام بدهیم، من هر دو گزارش را پیگیری کردم و مشخص شد که اشتباهی رخ داده و هردو گزارش صحیح بوده‌اند و بهشان بانتی تعلق می‌گرفته. شکارچی بهم پیام داد و گفت:" باورم نمی‌شد، وقتی که گفتید پیگیری می‌کنم، واقعا پیگیری کنید!" 

پیشنهاد خواندنی: رفتار کسب‌وکارها نسبت به دریافت گزارش آسیب پذیری 

تسهیل ارتباط و چالش‌های آن

 راورو در چنین فضایی شروع به کار کرد. قدم اولش ارتباط گرفتن با متخصصان امنیت و تلاش برای ایجاد فضایی قابل‌اعتماد برای آن‌ها بود. بخشی از سختی و هم‌چنین شیرینی این کار این‌جا بود که در میان متخصصین امنیت و هکرها، تنوع زیادی به چشم می‌خورد؛ هر متخصص با تجربیات زیسته‌ی متفاوت، پیش‌زمینه‌ی قبلی، انتظارات و تصورات مخصوص به خود بود. افرادی که تعدد قابل‌توجهی را در روش ارتباط داشتند و با توجه به تجربه‌های گذشته‌شان حس ناامنی و بی‌اعتمادی را تجربه می‌کردند. لازم بود که بیش‌ترین انعطاف‌پذیری برای ارتباط درنظر گرفته شود. این تفاوت زبان و فرهنگ ارتباطی در سمت مخاطب دیگر پلتفرم، یعنی سازمان‌ها، نیز به چشم می‌خورد. سازمان‌ها نیز به نوبه‌ی خود، شکل های متفاوتی داشتند و نیاز بود این تنوع موردتوجه باشد. هر سازمان ادبیات سازمانی، روال و رویه‌ی خاص خودش را داشت. البته در بسیاری از موارد سازمان‌ها هم برای ارتباط با پلتفرم‌ سازوکار مشخصی نداشتند. یک نیاز پررنگ این بود که از سطوح بالای مدیریت در سازمان، اهمیت و ضرورت نیاز به امنیت سایبری به رسمیت شناخته شود. در فضای سازمان‌ها نیز، به دلایل فرهنگی بی‌اعتمادی‌ها و دیدگاه‌های غلطی نسبت به هکرها وجود داشت. لازم بود برای مرتبط‌شدن با سازمان‌ها، بتوانیم نگرانی‌های آن‌ها را بشنویم، به رسمیت بشناسیم و هم ضمانت‌هایی که مورد نیازشان هست را ارائه دهیم. و هم‌زمان توجه آن‌ها را به امنیت سایبری بیش از پیش جلب کنیم. قدم اصلی اولیه، ایجاد بستر و زبانی مشترک بین طرفین این ماجرا بود. 

پیشنهاد خواندنی: گفتنی‌هایی راجع به نقش پلتفرمی راورو بین شکارچی آسیب پذیری و میدان (گپ‌وگفتی با کاظم فلاحی؛ هم‌بنیان‌گذار راورو) 

نقش پلتفرمی راورو بین دو گروه مخاطب

در سال‌های اول حتی ارسال پیام مستقیمی بین متخصص امنیت و سازمان چالش‌ساز بود؛ در بسیاری از اوقات، نوع ادبیاتی که سازمان در تعامل به کار می‌برد، و یا ادبیاتی که متخصص به کار می‌برد، باعث تشدید اختلاف و ایجاد فضای ناامنی می‌شد. یکی از نقش‌های راورو تسهیل این تعاملات بود. در آن روزها موارد بسیاری را داشتیم که بابت به نتیجه‌رسیدن یک گزارش، هم‌زمان از سمت سازمان و متخصص امنیت، موردسرزنش و انتقاد قرار می‌گرفتیم. یکی از کارهای ما این بود که تلخی یک سمت به سمت دیگر منتقل نشود. گاهی سعی می‌کردیم مترجم و معتدل‌کننده‌ی گفته‌ی یک سمت برای سمت دیگر باشیم. تلاشمان این بود که نیاز هردوطرف را بشنویم، بشناسیم و با طرف دیگر در این‌باره وارد گفت‌وگو شویم. چشم‌اندازمان این بود که دو طرف بتوانند دور یک میز بنشیند، درخواست‌هایشان را به‌طور فنی بیان کنند و به صورت شفاف به توافقی برسند. شکل‌دادن به این فضا بسیار پرچالش و نیازمند صرف زمان و انرژی زیادی بود. 

پیشنهاد خواندنی: گپ‌وگفتی با نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو 

سخن آخر:

می توانیم بیان کنیم که اکثر تلاش‌ها و چالش‌های راورو در سال‌های اول فعالیت، در راستای بهبود این فضا بوده است. این‌که چه کار کنیم تا بتوانیم پلی ارتباط دهنده باشیم و در جهت رفع نیاز دو گروه، از طریق تسهیل فرآیند ارتباط، قدمی برداریم؛ تا متخصصان بتواند دانششان را بهتر منتقل کنند و سازمان ها نیز بتواند فرآیندهایشان را در راستای ارتقای امنیت را بهتر تسهیل کنند. به عنوان مثال لازم بود کاری کنیم که متخصص بتواند انتظاراتش را با واقعیت تطبیق دهد و سازمان بتواند میزان تهدید آسیب پذیری‌های دریافتی را منصفانه‌تر شناسایی کند.  

از این رو پشت بسیاری از فیچرها، رویدادها، سیاست‌ها، محتواها و برنامه های راورو، اهدافی برای بهبود این فضا نهفته است. فکر می کنیم این مسیر برای پلتفرم راورو، مسیری بی‌انتها باشد و به تناسب نیازهای هر زمان لازم است در این جهت اقدام هایی متنوع داشته باشیم.  

بلاگ‌پست‌های مرتبط: 

کافه روز صفر ۱ 

آرزوهای جمعی برای حوزه‌ی امنیت سایبری 

در مسیر شکل‌گیری باگ بانتی به راورو چه گذشته است؟ 

یک پلتفرم باگ بانتی چه می‌کند؟ 

نقاط آسیب پذیر رایج در سامانه‌ی کسب‌وکارها