باگ‌بانتی یکی از راهکار‌های نوین ارتقای امنیت و مبتنی بر خرد جمعی است. در این راهکار، کسب‌وکارها می‌توانند در راستای ارتقای امنیت، جمعی از شکارچیان را به کشف آسیب‌پذیری‌ها، باگ‌ها و حفره‌های امنیتی سامانه‌ی خود دعوت کنند. اما چه تعداد از شکارچیان آسیب‌پذیری و هکرهای کلاه‌سفید را؟ جمعی محدود یا نامحدود را؟

آن‌چه در این بلاگ‌پست خواهید خواند:

• انواع هدف

• اهداف عمومی

• اهداف خصوصی

• اهداف دعوتنامه‌ای

• چرا انواع هدف؟

پیش‌تر درباره‌ی «چگونگی تعریف هدف در راورو» و «چرایی تعریف هدف در باگ‌بانتی»، نوشته بودیم. این بار می‌خواهیم به معرفی و توضیح انواع هدف بپردازیم:

انواع هدف

بر اساس نیازسنجی‌های انجام‌شده و حساسیت‌های اعلام‌شده از جانب میدان‌ها، در پلتفرم باگ‌بانتی راورو سه مدل هدف با ویژگی‌های زیر تعریف شده‌اند:

• اهداف عمومی

• اهداف خصوصی

• اهداف دعوت‌نامه‌ای

هر کدام از این انواع هدف، ویژگی‌هایی دارند که در ادامه به آن‌ها می‌پردازیم:

اهداف عمومی:

اهداف عمومی نسخه‌ی بدون محدودیتی از لحاظ تعداد شرکت‌کننده در باگ‌بانتی‌اند. ویژگی‌های این نوع هدف عبارت‌اند از:

• تمامی شکارچیان می‌توانند در اهداف عمومی مشارکت کنند و محدودیتی در تعداد شکارچی شرکت‌کننده در شکار آسیب‌پذیری وجود ندارد؛ هر سه گروه شکارچی عادی، شکارچی تاییدهویت‌شده و شکارچی دارای تیک آبی می‌توانند در این اهداف به کشف آسیب‌پذیری و ثبت گزارش بپردازند.

• اهداف عمومی در صفحه‌ی اهداف بدون نیاز به ورود به حساب کاربری برای تمامی شکارچیان قابل‌مشاهده هستند. این اهداف برچسبی ندارند.

اهداف خصوصی:

اهداف خصوصی نسخه‌ي محدودتری از اهداف عمومی در باگ‌بانتی از لحاظ تعداد شرکت‌کننده اند. ویژگی‌های این نوع هدف عبارت‌اند از:

• تنها شکارچیان دارای حداقل امتیاز مشخص‌شده توسط میدان می‌توانند در اهداف خصوصی مشارکت کنند.

• در اهداف خصوصی انتخاب شکارچیان مشارکت‌کننده در هدف، به عهده‌ی میدان است.

• میدان‌ها می‌توانند بر اساس حداقل امتیاز، به انتخاب شکارچیان واجد شرایط از میان سطوح ۱، ۲ یا ۳ بپردازند.

• اهداف خصوصی تنها برای شکارچیان واجد شرایط و بعد از ورود به حساب کاربری قابل‌مشاهده هستند و با برچسب خصوصی از سایر اهداف متمایز شده‌اند.

اهداف دعوت‌نامه‌ای:

اهداف دعوت‌نامه‌ای، محدودترین نوع هدف در باگ‌بانتی از لحاظ تعداد شکارچی مشارکت‌کننده اند. ویژگی‌های این نوع هدف نیز عبارتند از:

• تنها شکارچیان دعوت‌شده توسط میدان می‌توانند در اهداف دعوتنامه‌ای مشارکت کنند؛ میدان مي‌تواند از میان تمامی گروه‌ها و سطوح‌ شکارچیان فعال در راورو به انتخاب خود، شکارچیان مورد نظرش را برای مشارکت در هدف دعوت نماید.

• اهداف دعوت‌نامه‌ای تنها برای شکارچیان دعوت‌شده و بعد از ورود به حساب کاربری قابل‌مشاهده هستند و با برچسب دعوت‌نامه‌ای از سایر اهداف متمایز شده‌اند.

برخی میدان‌ها مسئولیت انتخاب شکارچیان را به عهده‌ی راورو می‌گذارند. راورو بنابر مسئولیت و تعهد خود را موظف می‌داند که شکارچیانی را که شناخت بیش‌تری از آن‌ها دارد و به طور کامل مورداعتماد هستند را به میدان‌ها معرفی نماید. لازم به ذکر است که جلسات مصاحبه برای دریافت تیک‌آبی شکارچیان نیز به همین منظور تدارک دیده شده‌اند.

چرا انواع هدف؟

تا این‌جا به تعریف و توضیح انواع هدف پرداختیم. اهدافی که تنوعشان را در پلتفرم‌های خارجی و داخلی باگ‌بانتی نیز شاهد هستید. حال می‌خواهیم به دلایل فراهم‌سازی امکان ایجاد انواع هدف در راورو بپردازیم:

محدودیت توان تیم فنی میدان در پاسخ‌گویی به گزارش‌های آسیب‌پذیری و رفع آن‌ها: در مورادی میدان‌ها پس از فعال‌شدن با حجم انبوهی از گزارش‌های آسیب‌پذیری مواجه و باگ‌باران می‌شوند. این موضوع ممکن است کسب‌وکار را در روند بررسی گزارش‌های آسیب‌پذیری دریافتی و رفع حفره‌های امنیتی دچار چالش و آشفتگی کند. به همین دلیل است که برخی از کسب‌وکارها ترجیح می‌دهند تا در قدم اول دروازه‌های سامانه‌ی خود را به روی تمامی شکارچیان آسیب‌پذیری باز نکنند، بلکه در را اندک‌اندک و قدم‌به‌قدم باز کنند. این‌گونه فرصت بیش‌تری برای بررسی گزارش‌های آسیب‌پذیری و رفع حفره‌های امنیتی فراهم کنند.

پیشنهاد خواندنی: هر گزارش آسیب‌پذیری در راورو چه مراحلی را طی می‌کند؟

نگرانی در خصوص خطرات بالقوه‌ی آسیب‌پذیری‌های بحرانی و حیاتی: برخی میدان‌ها که پیش‌تر اقدام‌های امنیتی کم‌تری را تدارک دیده‌اند نیز، نگرانی بیش‌تری درخصوص آسیب‌پذیری‌های بحرانی و حساسیت و خطر این‌گونه آسیب‌پذیری‌ها دارند. از همین رو ترجیح می‌دهند ابتدا به جای مواجه شدن با حجم انبوهی از گزارش‌های آسیب‌پذیری که هر یک درجه‌ی خطری را دارا هستند، با گزارش‌های کم‌تری مواجه شوند تا با سرعت و دقت بیش‌تری بتوانند گزارش‌ها‌ی دریافتی را مدیریت کنند و آسیب‌پذیری‌های بحرانی را سریع‌تر رفع کنند.

پیشنهاد خواندنی: از کجا بفهمیم هر آسیب‌پذیری چقدر خطرناک است؟ ( معرفی ۳ سنگ محک جهانی)

ترجیح‌دادن مشارکت شکارچی‌های شناخته‌شده‌تر و مورداطمینان‌تر در قدم اول: برخی میدان‌ها ترجیح می‌دهند فرآیند کشف آسیب‌پذیری‌ها و ارتقای امنیت کسب‌وکار خود را، با جمع شناخته‌شده‌تر و مورداطمینان‌تری آغاز کنند. راورو بنا بر تعهد، خود را موظف می‌داند که سازوکارهایی را جهت شناخت بهتر میدان‌ها از شکارچیان، امین‌بودن و تخصصشان، تدارک ببیند تا در شکل‌‌گیری اعتماد و اطمینان موثر باشد. فراهم‌سازی امکان ایجاد انواع هدف، تدارک‌دیدن سازوکارهای تاییدهویت، دریافت تیک آبی، رده‌بندی و سطح‌بندی شکارچیان نیز به همین منظور تدارک دیده شده‌اند.

شما می‌توانید تمامی اهداف عمومی فعال در راورو را در صفحه‌ی اهداف مشاهده کنید.

سخن آخر

در این بلاگ‌پست، ما به انواع هدف و اینکه در هر هدف کدام دسته از شکارچیان مجاز به شرکت در برنامه‌های خصوصی و دعوت‌نامه‌ای هستند، پرداختیم. هر کسب‌وکار در مورد چگونگی شکل حضور خود در برنامه‌ باگ‌بانتی از میان این گزینه‌ها به انتخاب می‌پردازد. این مسیر می‌تواند تعریف هدف به‌صورت دعوت‌نامه‌ای باشد، یا خصوصی و یا عمومی. بسیاری کسب‌وکارها نیز ترجیح می‌دهند در آغاز حضور خود در برنامه‌ی باگ‌بانتی، به طور دعوت‌نامه‌ای حضور یابند اما در قدم‌های بعدی به صورت خصوصی و عمومی وارد شوند. در هرحالت، راورو در انتخاب مسیر مناسب برای ارتقای امنیت همراه کسب‌وکارهاست تا بهینه‌ترین مسیر را انتخاب کنند.

بلاگ‌پست‌های مرتبط:

VDP؛ صندوق پیشنهادها و انتقادات امنیتی

مدل پرداختی کسب‌وکار در باگ‌بانتی چگونه است؟

معرفی ۹ دسته هکر که احتمالا تاکنون نمی‌شناختید!