This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
آیا هزینه باگ بانتی می‌ارزد؟

آیا هزینه باگ بانتی می‌ارزد؟

125

از دیدگاه یک کسب‌وکار، آیا باگ بانتی هزینه‌ی به‌صرفه‌ای دارد؟ مبلغی که در برنامه باگ بانتی درازای هر آسیب پذیری پرداخت می‌شود، بالا نیست؟ با چه نگاهی، چنین هزینه‌هایی توجیه‌پذیر و ارزش‌مند به نظر می‌رسند؟ چانه‌زنی، پایین‌تر دانستن ارزش آسیب پذیری گزارش‌شده و عدم پذیرش تاثیرات یک آسیب پذیری، از رفتارهایی هستند که گاهی از سوی برخی کسب‌وکارها، هنگام اعلام ارزش مالی آسیب پذیری کشف‌شده، شاهدش بوده‌ایم. در این بلاگ‌پست می‌خواهیم از دلایلی بگوییم که نشان می‌دهند چرا اختصاص هزینه به یک برنامه باگ بانتی، ارزشی بسیار بیش‌تر از هزینه‌اش دارد. می‌خواهیم بگوییم که با این حرکت دوربینانه، درواقع داریم از چه موارد جانبی‌ای مراقبت و در آن‌ها سود می‌کنیم.

داخل پرانتز: آن‌چه در این بلاگ‌پست می‌خوانید، برگرفته از مطلب Why Bug Bounty Payouts Are Worth Far More Than Their Cost از بلاگ bugcrowd است. به‌اضافه‌ی افزودنی‌ها و گفته‌هایی از افراد دارای تجربه‌ی مرتبط با این موضوع، که در جهت بومی‌سازی و نگاه تجربی به این موارد است. 

آن‌چه در این بلاگ‌پست خواهید خواند:

راهکاری برای امنیت در دنیای دیجیتال 

مطالعه موردی: MOVEit Transfer Vuln 

فکرکردن به آینده 

  • صرفه‌جویی در هزینه‌های بلندمدت 

  • حفاظت از شهرت برند 

  • مزیت رقابتی 

  • اجتناب از جریمه‌های احتمالی، هزینه‌های قانونی و حق بیمه 

  • دسترسی به تخصص متناسب با تقاضا

راهکاری برای امنیت در دنیای دیجیتال

این روزها کوه‌هایی متشکل از کد که زیربنای تمدن دیجیتال هستند، زندگی روزمره‌ی ما را شکل می‌دهند. برای ایمن‌سازی این حجم انبوه برنامه‌های اجراشده و زیرساخت‌های دیجیتال، برنامه‌های باگ بانتی پدید آمده‌اند؛ که راهکاری مؤثر و اخلاقی برای تعامل با هکرها باهدف مقابله با تهاجم  و تهدیدها محسوب می‌شوند. اما از گذشته تا به‌حال، بی‌میلی‌‌ها و بی‌رغبتی‌هایی در برخی از کسب‌وکارها نسبت به پرداخت بانتی و پاداش به هکرهای مشارکت‌کننده وجود داشته است. که بیشتر به دلیل درک قدیمی آن کسب‌وکارها از ROI است. 

نسترن سلیمان: 

بزرگ‌ترین آرزوی من برای امنیت سایبری بلوغ امنیتی در سازمان‌هاست. من از جایگاهی که خودم در این شغل در آن ایستاده‌ام، بزرگ‌ترین مشکلی که می‌بینم این است که شکارچی‌ها باگی را پیدا می‌کنند، میدان در اکثر اوقات با چانه‌زنی بر سر گزارش‌ یا حتی ردکردنش، شکارچی را دلسرد می‌کند. به نظرم یکی از دلایل این رفتار میدان‌ها و کسب‌وکارها، نداشتن بلوغ امنیتی ست. بسیاری از سازمان‌ها از این موضوع آگاه نیستند که امنیت سایبری چقدر برایشان اهمیت دارد، نمی‌دانند که اگر سایتشان هک شود چه اتفاقی برایشان می‌افتد. این‌ها چیزهایی هستند که اگر کسب‌وکارها بدانند، چانه‌زنی‌ها بر سر گزارش‌ها کم‌تر می‌شود. و به‌الطبع آن شکارچیان نیز با انگیزه و اشتیاق بیش‌تر و راحت‌تر فعالیت می‌کنند و به بانتی‌هایشان هم می‌رسند. 

پیشنهاد خواندنی: گپ‌وگفتی با نسترن سلیمان؛ راهبر دپارتمان شکارچیان راورو 

در پلتفرم باگ بانتی Bugcrowd، ما عمیقا معتقدیم که:  

اختصاص‌دادن پاداش مناسب به هکرها، یک شرط مطلق برای موفقیت همه‌جانبه در یک برنامه باگ بانتی است. مزایای اقتصادی پرداخت‌های منصفانه و با نرخ رایج در بازار، بسیار بیشتر از هزینه‌ی آن‌هاست. به این فکر می‌کنید که " چطور؟ " و " چرا؟" ؟ بگذارید توضیح دهیم. 

مطالعه موردی: MOVEit Transfer Vuln 

آسیب پذیری بدنام MOVEit Transfer (CVE-2023-35708) مثال خوبی برای این مورد محسوب می‌شود. این مثال نشان می‌دهد که چگونه یک پاداش نسبتاً متوسط باگ بانتی می‌تواند چندین و چند برابر ارزش خود، بیارزد. درواقع اگر مبلغ پاداشی برای شناسایی و رفع این باگ پرداخت شده بود، این هزینه بارها و بارها خودش را جبران می‌کرد، بسیار توجیه‌پذیر بود و به سودآوری بسیار بالاتری منجر می‌شد. 

گستردگی داستان هنگامی مشخص شد که گروه سایبری روسی‌زبان به نام Clop موجی از اخاذی را علیه شرکت‌های مختلف انجام داد؛ این طور روایت می‌شود که سازمان‌های مختلفی مورد تخریب قرار گرفته بودند، داده‌های شخصی میلیون‌ها نفر حذف شده بود و حجم زیادی از اطلاعات حساس در دارک‌وب نشت پیدا کرده بود. 

در این حمله از یک آسیب پذیری روز صفر استفاده شده بود. احتمال دارد این آسیب‌پذیری حاصل بررسی‌های سایبری خود Clop باشد، یا محتمل‌تر به نظر می‌رسد که از یک انجمن دارک وب تهیه شده باشد. مرور پست‌های انجمن‌های دارک وب این موضوع را نشان می‌دهد که مهاجمان، معمولا مبالغ زیادی برای خرید آسیب‌پذیری‌های با تأثیر بالا پرداخت می‌کنند. 

حال بیایید نگاهی آماری به تاثیر کشف‌شده‌ی MOVEit Transfer بر سازمان‌ها و افراد تا به امروز بیندازیم: 

سازمان‌های تحت‌تأثیر: 2.561 

افراد تحت‌تأثیر: 67.174.909 

در اقتصاد امنیت سایبری، تبدیل پیامدهای مالی حوادث امنیتی به مقدارهای کمّی و در قالب اعداد یا اندازه‌گیری عواقب مالی حوادث سایبری، محاسباتی ساده است. با استفاده از آمارهای گزارش‌شده در گزارش هزینه نقض داده IBM در سال 2023، ترسیم یک تصویر مالی گویا بسیار امکان‌پذیر است. اگر میانگین تلفات نقض داده‌ها برای هر رکورد در معرض خطر (165 دلار آمریکا) را به تعداد افراد تایید شده، اعمال کنیم، تأثیر مالی تخمین‌زده‌شده‌ی این حادثه 11.08 میلیارد دلار آمریکا است. این رقم به‌تنهایی حرف‌های زیادی برای گفتن دارد. 

فکرکردن به آینده 

هنگامی که با مدیران ارشد امنیت اطلاعات صحبت می‌کنیم، یک نگرانی رایج در بین گفته‌هایشان به چشم می‌خورد؛ این که اجرای یک برنامه باگ بانتی قوی و اثرگذار، نیاز به سرمایه‌گذاری‌ مالی‌ای دارد که می‌تواند بودجه‌های محدود را تحت فشار قرار دهد. این جا، دقیقا جای توجه به این نکته است که تفکر کوتاه‌مدت، اغلب منجر به مشکلات طولانی‌مدت می‌شود. 

برای استدلال، فرض کنیم که یک برنامه متعهد می‌شود که به‌ازای هر آسیب پذیری حیاتی، بالاتر از محدوده‌ی پاداش پیشنهادی ما پرداخت کند؛ مبلغ 20000 دلار آمریکا، نه 5000 دلار (و فرض را هم بر این می‌گذارد که فقط یک آسیب پذیری پیدا شود). تأثیر بلندمدت این تصمیم، شامل موارد زیر می‌شود: 

صرفه‌جویی در هزینه‌های بلندمدت 

 سرمایه گذاری در یک برنامه باگ بانتی جامع می‌تواند منجر به صرفه‌جویی قابل‌توجهی در هزینه‌های بلندمدت شود. زیرا هزینه‌ی رسیدگی به یک نقض امنیتی بسیار بیشتر از هزینه‌ی پرداخت یک پاداش 20000 دلاری است. به ازای گزارش هزینه‌ی نقض داده‌ها در سال 2023، میانگین کل هزینه‌ی نقض داده‌ها، بیش از 4 میلیون دلار است. 

حفاظت از شهرت برند 

یک حمله‌ی سایبری می‌تواند تاثیر مخرب و طولانی‌مدتی برای شهرت یک شرکت داشته باشد و تا مدت‌ها در اذهان مشتریان باقی بماند. مشتریان اعتماد خود را به برندهایی که از داده‌های خود محافظت نمی‌کنند، از دست می‌دهند. این روند به‌سادگی منجر به کاهش و از دست رفتن درآمد می‌شود. اعتماد مشتری، دارایی ارزشمندی است که پس از از دست دادن، بازیابی آن سخت و هزینه‌بر است؛ بسیار هزینه‌برتر از 20.000 دلار! 

رضا شریف‌زاده: 

اگر بخواهم بر اساس تجربه‌ام یک توصیه برای امنیت کسب و کارها کنم، آن این است: 

برای امنیت و ارزیابی امنیتی هزینه کنید! نترسید از این‌که سامانه‌تان ناامن باشد! از این بترسید که برندینگتان ضربه بخورد! 

پیشنهاد خواندنی: گپ‌وگفتی با شکارچی آسیب‌پذیری؛ رضا شریف‌زاده 

مزیت رقابتی 

امنیت بیش‌تر، می‌تواند یک تمایز رقابتی برای یک کسب‌وکار باشد. کسب‌وکارهایی که تعهد خود را به امنیت سایبری نشان می‌دهند، مشتریان و مشارکت‌های بیشتری را جذب می‌کنند. اجرای یک برنامه باگ بانتی با بودجه‌ی خوب توسط یک کسب‌وکار، به بازار این پیام را نشان می‌دهد که یک کسب‌وکار در مورد مسئله‌ی امنیت جدی است و به آن اهمیت می‌دهد. این عمل، آن کسب‌وکار را نسبت به رقبا برتری می‌دهد.  تصویری که با این کار از کسب‌وکار در ذهن مخاطب ایجاد می‌شود، بسیار متفاوت است. شما هرگز نمی‌توانید چنین نیک‌نامی‌ای را با یک کمپین بازاریابی ناچیز 20.000 دلاری بخرید. 

اجتناب از جریمه‌های احتمالی، هزینه‌های قانونی و حق بیمه 

 همان‌طور که در پست قبلی توضیح دادیم، یک تخلف قابل‌توجه می‌تواند منجر به میلیون‌ها هزینه پایین‌دستی شود که باعث می‌شود آن 20.000 دلار سرمایه‌گذاری واقعاً به‌صرفه‌ و ارزش‌مند به نظر برسد. 

علیرضا رضایی: 

به‌نظرم موضوع خیلی مهمی ست که شما به‌عنوان یک کسب‌وکار، اطلاعات افراد کاربر را نگه می‌دارید در صورتی که قفلی هم به این اطلاعات نزده‌اید! خیلی حساس است! اگر مسئولین صدای ما را می‌شنوند، بیشتر به سازمان‌ها گیر بدهند تا حداقل امنیت‌هایی را برای سازمان‌های خود داشته باشند.  

من با CTO یکی از استارتاپ‌ها صحبت می‌کردم. بهشان گفتم:" ببینید با این آسیب‌پذیری‌ای که الان در این‌جا دارید، دیتاهای تمام کاربرانتان در خطر است. من به راحتی از طریق این آسیب‌پذیری می‌توانم به تمام دیتاها دسترسی داشته باشم." گفتند:" برایمان مهم نیست!" وقتی دیتای کاربران کسب‌وکارشان برایشان مهم نباشد، من دستم واقعا برای توضیح فواید امنیت برایشان خالی است! حقیقتا دیگر چیزی نمی‌توانم بهشان بگویم! نمی‌توانم بگویم "شما باید امنیت برایتان مهم باشد" یا "شما باید به امنیت سایبری توجه کنید!"  

پیشنهاد خواندنی:گپ‌وگفتی با شکارچی؛ علیرضا رضایی 

حریم خصوصی داده‌ها در ایران و کسب‌وکارهای ایرانی 

دسترسی به تخصص متناسب با تقاضا 

برنامه‌های باگ بانتی تخصص جامعه‌ی متخصصان امنیتی گسترده‌ای را در کنار هم جمع می‌کند و دسترسی به طیف متنوعی از مهارت‌ها و دیدگاه‌ها را برای کسب‌وکارها ممکن می‌سازند. باگ بانتی، خرد جمعی‌ای را فراهم می‌آورد که ممکن است تیم‌های امنیت داخلی فاقد آن باشند. این دسترسی به یک مجموعه‌ی دانش گسترده‌تر در مقایسه با حالتی که کسب‌وکار فقط بر منابع داخلی خود برای امنیت تکیه می‌کند، می‌تواند تیم امنیتی یک شرکت را بسیار مؤثرتر برای تقویت، گسترش و ارتقا دهد. بدون باگ بانتی، آیا شما می‌توانید از چنین جمع گسترده‌ای از کارشناسان با مهارت‌های متنوع، برای ارتقای امنیت سامانه کسب‌وکارتان بهره‌مند شوید؟ آیا بودجه‌ی لازم برای به‌کارگیری این تعداد از افراد را در تمام 365 روز سال در کسب‌وکارتان دارید؟ 

علی جلال‌نژاد، مدیر تضمین امنیت ایرانسل: 

هر قدر هم شرکت ما بزرگ باشد، امکان ندارد که ما این جامعه‌ی بزرگتر متخصصان امنیت و شکارچیان آسیب پذیری که ذهنیت کنجکاوی دارند را تماما استخدام کنیم و از نگاهشان بهره بگیریم. هر قدر هم تیم امنیت ما بزرگ باشد، بالاخره افرادی هستند که دیدگاه و خلاقیت و سناریوهایی در ذهن دارند که ما به آن دسترسی نداشته باشیم. به همین ترتیب ما تمایل داریم در سطح کشور و یا فراتر اگر کسی آسیب پذیری‌ای از وبسایت ما پیدا می‌کند، بتواند گزارش کند و ما هم در قبالش پاداشی که عنوان‌شده را پرداخت کنیم. 

پیشنهاد خواندنی: ایرانسل و باگ بانتی 

واهاگ گراگوسیان: 

ما در فلایتیو از برنامه باگ بانتی استفاده می‌کنیم، حتی با وجود این‌که گاهی اوقات برایمان گران‌تر هم تمام می‌شود، به این دلیل که اپلیکیشن از نگاه افراد متفاوتی چک شود و باگ‌هایمان زودتر در بیایند و کشف شوند. هم‌چنین در طی این فرآیند، در کنار باگ‌های امنیتی، متوجه باگ‌هایی که در فرآیند بیزینسمان دارد اتفاق می‌افتد، هم می‌شویم. این‌طور می توانم تکمیل کنم که از نظر مقداری، حدود 95% باگ‌های امنیتی به میان می‌آیند و 5% باگ‌ها بیزینسی هستند. 

پیشنهاد خواندنی: فلایتیو و باگ بانتی 

سخن آخر:

باگ‌بانتی راهکار نسبتا نوینی در دنیای امنیت سایبری ایران به شمار می‌رود. قبل‌ترها، نیاز به شناخت و پذیرش این راهکار در میان کسب‌وکارها دیده می‌شد. این روزها، خوش‌بختانه بسیاری از کسب‌وکارها با این راهکار تاحدی آشنا شده‌اند ( البته که بسیاری از کسب‌وکارها نیز هنوز با آن آشنایی ندارند و مسیر تلاش براش شناساندن این راهکار، همچنان ادامه دارد.) امید داریم که در قدم بعدی که در حال حاضر در آن به سر می‌بریم، ارزش این راهکار، برای کسب‌وکارها بیش‌تر و بیش‌تر مشخص شود. و باگ‌بانتی آن‌طور که شایسته است، موردتوجه قرار گیرد. 

بلاگ‌پست‌های مرتبط: 

۱۴+۱ دلیل برای انتخاب باگ بانتی 

نکاتی درباره‌ی ارزش‌گذاری مالی گزارش‌های آسیب پذیری 

آیا قیمت خدمات امنیت سایبری می‌ارزد؟ 

رفتار کسب‌وکارها نسبت به دریافت گزارش آسیب پذیری