باگ‌بانتی چه نیست؟

باگ‌بانتی چه نیست؟

۴,۷۹۳

پیش‌تر بارها راجع به این‌که "باگ‌بانتی چه است؟" و در چه مواردی می‌توان روی آن حساب کرد، گفته بودیم. اما این بار می‌خواهیم بگوییم که "باگ‌بانتی چه نیست؟" و چه انتظارهایی را نمی‌توان از آن داشت؟ ابتدا به تعریف کوتاهی از باگ‌بانتی می‌پردازیم و سپس به سراغ شفاف‌سازی برداشت‌ها و پاسخ‌دادن به سوال‌های رایج می‌رویم.

باگ‌بانتی چه است؟

باگ‌بانتی فرآیند پرداخت پاداش در ازای کشف آسیب‌پذیری‌ است.

در این فرآیند شکارچی‌ها و هکرهای کلاه‌سفید به بررسی آسیب‌پذیری‌های موجود در سامانه‌ی یک کسب‌وکار، می‌پردازند و در ازای کشف هر آسیب‌پذیری، پاداش دریافت می‌کنند. در واقع با این کار نقاط آسیب‌پذیر، راه‌های نفوذ به سامانه و احتمال هک‌شدن کاهش می‌یابد.

Image

با باگ‌بانتی هیچ‌وقت هک نمی‌شویم؟

قبل از پاسخ به این سوال باید این حقیقت را بپذیریم که امنیت هیچ وقت ۱۰۰ درصدی نیست و بر اساس جمله‌ی معروفی: "شما یا هک شده‌اید و یا در آینده هک خواهید شد."

حضور در باگ‌بانتی باعث می‌شود تا شما آسیب‌پذیری‌های امنیتی بیشتری از کسب‌وکارتان را بشناسید و آن‌ها را قبل از منجر شدن به رخداد سایبری برطرف کنید.

اگر نگاهی به اخبار بیندازیم، می‌بینیم که بعضی از کسب‌وکارهایی که سال‌ها در برنامه‌های باگ‌بانتی حضور داشته‌اند نیز، هک شده‌اند. حتی نام‌های بزرگ هم در لیست هک‌شدگان حضور دارند؛ توییتر، فیس‌بوک، FireEye و... .

توییتر از مِی 2014 به پلتفرم باگ‌بانتی «هکروان» پیوسته است. فیس‌بوک نیز علاوه‌بر این‌که نزدیک به 10 سال است که برنامه‌ی باگ‌بانتی خود را بر روی سایت خود داشته است، از آپریل 2020 نیز به هکروان ملحق شده.FireEye نیز یکی از سرآمدان امنیت در دنیای اینترنت است و در پلتفرم باگ‌بانتی «باگ‌کراود» حضور دارد. اما با این وجود، توییتر و FireEye در سال گذشته هک شدند و فیس‌بوک نیز به‌تازگی مورد حمله قرار گرفته است.

باگ‌بانتی یک ابرقهرمان است؟

ابرقهرمان‌های فیلم و سریال‌ها را به خاطر دارید؟ در هر قسمت از یکی از این فیلم‌ها قهرمان داستان تمام تلاش خود را به کار می‌بست و تا حد ممکن برای مبارزه با ناامنی‌ها و برقرارکردن امنیت از جان خود مایه می‌گذاشت. اما در قسمت بعدی شاهد سربرآوردن ناامنی دیگری بودیم. جدال بین امنیت و ناامنی همواره ادامه داشت... . همان‌طور که در قصه‌ها نیز امنیت مطلق هیچ‌گاه برقرار نشد، در جهان سایبری نیز نمی‌توانیم این انتظار را داشته باشیم. اگر باگ‌بانتی را به سوپرمن هم تشبیه کنیم، نمی‌توانیم انتظار برقراری امنیت مطلق را از او داشته باشیم.

Image

آیا باگ‌بانتی اکسیر جاودانگی ست؟

به طور واضح‌تر و شفاف‌تر سوال بالا را می‌توان این‌گونه بیان کرد: « آیا با باگ‌بانتی کاملا امن می‌شویم؟ »

بگذارید واقعیت موجود را صادقانه و از نگاه تخصصی برایتان بگوییم: "خیر". باگ‌بانتی امنیت مطلق را به ارمغان نمی‌آورد. نه‌تنها باگ‌بانتی، بلکه هیچ راهکاری برای دست‌یابی به امنیت مطلق وجود ندارد. چرا که امنیت مطلق به هیچ طریقی امکان‌پذیر نیست. تنها اقدام ممکن، تلاشی پیوسته برای امن‌تر کردن است. باگ‌بانتی نیز تنها، راهی برای کم‌تر کردن ناامنی‌ها و امن‌تر کردن موقعیت و شرایط است.‌ اگر جایی وعده‌ای غیر از این را دیدید و یا شنیدید، بدانید و آگاه باشید که دروغی بیش نیست.

باگ‌بانتی جلوی تمامی حملات را می‌گیرد؟

خیر، وجود بدافزار‌ها، حملات مهندسی ‌اجتماعی، حملات دسترسی فیزیکی و … همیشه جزو پرخطرترین پیشامدها و حملات در سازمان‌ها هستند که اغلب به دلیل خطاهای نیروی انسانی ناآگاه منافع سازمان شما را تهدید می‌کنند. باگ‌بانتی برخلاف نظر عموم مردم، یک مکانیزم خودکار نیست که بتواند جلوی تمامی حملات سایبری را بگیرد،‌ بلکه مکانیزم آن به گونه‌ای است که تعدادی هکر کلاه‌سفید بر اساس چهارچوبی مشخص، اقدام به کشف و گزارش آسیب‌پذیری بر روی سامانه‌های سازمان شما می‌کنند. با کشف آسیب‌پذیری‌ها، گزارش آن‌ها به کسب‌وکار و رفعشان، نقاط آسیب‌پذیر سامانه و راه‌های نفوذ کاهش می‌یابند. این‌گونه احتمال حمله پایین می‌آید و سامانه امن‌تر می‌شود.

باگ‌بانتی، یک بار برای همیشه؟

در طول زمان، روش‌ها و راه‌های نفوذ جدیدی کشف و ابداع می‌شوند. مهاجمان و هکرهای کلاه‌سیاه مسلح‌تر از قبل می‌شوند و به همین دلیل نیاز است تا تلاش برای ارتقای امنیت نیز، متوقف نشود. چراکه اگر سامانه‌ی شما بیشتر در برابر تخصص و دانش شکارچی‌ها، هکرهای کلاه‌سفید و متخصصان امنیت باشد امکان کشف آسیب‌پذیری‌های بیش‌تری فراهم می‌شود.

کدهای سامانه‌ی هر کسب‌وکار همیشه به همان شکل نخواهند ماند. با به‌روزرسانی و اعمال هر تغییری بر روی سامانه، آسیب‌پذیری‌های جدیدی نیز متولد می‌شوند و بدیهی ست که در این شرایط نیاز به ارزیابی امنیتی مجدد نیز احساس می‌شود. در شرایطی که کسب‌وکاری حضور طولانی‌مدت‌تر و مستمرتری در پلتفرم باگ‌بانتی داشته باشد، در تمام طول مدت حضورش، حتی پس از هر بار اعمال تغییرات، به‌روزرسانی و ... نیز ارزیابی امنیتی توسط شکارچیان متوقف نمی‌شود و باگ‌ها و آسیب‌پذیری‌های جدیدی نیز هم‌زمان با تغییرات گزارش می‌شوند.

همه‌ی آسیب‌پذیری‌ها کشف می‌شوند؟

خیر، چون راه‌های نفوذ محدود نیستند و از الگوهای محدود و معینی پیروی نمی‌کنند. از طرفی خلاقیت انسان محدودیت نمی‌شناسد و به تعداد هکرهای روی زمین، راه برای نفوذ به سامانه وجود دارد. هکر کلاه‌سیاه با انگیزه‌ی تخریب ممکن است با بهره‌گیری از روش ابداعی خود به سامانه نفوذ کند و باعث ایجاد خسارت شود. اما در مقابل آن، در باگ‌بانتی، جمعی از شکارچی‌ها، هکرهای کلاه‌سفید و متخصصین امنیت با انگیزه‌ی ارتقا امنیت در کنار کسب‌وکار حضور دارند. شکارچی‌ها با بهره‌گیری از تخصص، تجربه، دانش و خلاقیت خود، راه‌های ممکن برای نفوذ به سامانه را بررسی می‌کنند و نقاط آسیب‌پذیر در سامانه را پیش از منجر شدن به رخداد مخرب هشدار می‌دهند. در باگ‌بانتی مجموعه‌ای از خِرَدها یا همان خردجمعی همراه شماست و این به آن معناست که تا حد بسیار بالایی امکان شناسایی بسیاری از راه‌های نفوذ وجود دارد.

Image

یکی بود، یکی نبود، فقط و فقط باگ‌بانتی بود؟

امنیت تنها در باگ‌بانتی خلاصه نمی‌شود. تنها در تست نفوذ، تیم قرمز، خرید تجهیزات گران قیمت و‌… هم خلاصه نمی‌شود.امنیت باید در نگاه کسب‌وکار وجود داشته باشد و به عنوان یک اصل همواره موردتوجه قرار گیرد. کسب‌وکار امنیت‌اندیش، که به ادامه‌ی بقای خود می‌اندیشد، در تمامی اقدامات خود نکات امنیتی را موردتوجه قرار می‌دهد.

لازم است در تک‌تک مراحل طراحی و توسعه‌ی سامانه، دیدگاه امن را مدنظر داشته باشید؛

اگر از کتاب‌خانه‌های مختلف برای طراحی و توسعه‌ي سامانه‌ی خود استفاده می‌کنید، از کتاب‌خانه‌های به‌روز و امن‌تر استفاده کنید.

بررسی کنید که تیم توسعه‌ی شما در هنگام انتخاب فریمورک‌ها، طراحی و پیاده‌سازی ساختار برنامه، معماری امن را مورد توجه قرار ‌دهند.

در پیاده‌سازی ساختار سازمانی و توسعه‌‌ی بخش‌های مختلف سامانه، استفاده از معماری Zero Trust را در اولویت قرار دهید.

درهنگام ارائه‌ی سرویس و یا استفاده از خدمات جانبی، حداکثر محدودیت را اعمال کنید و تنها به دسترسی‌های مجاز و مورداطمینان اجازه دهید.

مکانیزم ارزیابی و بررسی مداوم آسیب‌پذیری‌های را در سامانه‌های خود پیاده‌سازی کنید. تست نفوذ و باگ‌بانتی دو مدل از این ارزیابی به شمار می‌روند؛ در تست نفوذ گروه محدودی از افراد به ارزیابی امنیتی سامانه می‌پردازند اما در باگ‌بانتی گروه نامحدودی از متخصصین دست به کار می‌شوند. در مطلب «باگ‌بانتی یا تیم امنیت داخلی؟ مسئله این است...» می‌توانید بیشتر راجع به تفاوت‌های این دو روش، مزایا و معایب هر کدام بخوانید.

Image

با وجود همه‌ی این‌ها، پس چرا باگ‌بانتی؟

اگر همین حالا سری به پلتفرم‌های جهانی باگ‌بانتی نظیر «هکروان» و «باگ‌کراود» بزنید، بی‌شک نام بسیاری از کسب‌‌وکارهای آشنا را در لیست مشتریان این پلتفرم‌ها خواهید دید. و این خود به تنهایی گواهی‌ست بر مقبولیت و محبوبیت باگ‌بانتی در جهان. باگ‌بانتی به عنوان یک راه‌کار امنیتی به‌صرفه و کارآمد در جهان به رسمیت شناخته شده است و مورداستفاده واقع می‌شود. اما ما نمی‌خواهیم که تنها اکثریت را دلیل حقانیت بشماریم، پس به طور خلاصه به ذکر برخی از مزیت‌های این روش می‌پردازیم:

در باگ‌بانتی امکان بهره‌گیری از تخصص، تجربه و دانش جمع نامحدودی از متخصصان امنیت، شکارچی‌ها و هکرهای کلاه‌سفید فراهم است. هر یک از این افراد با دیدگاه خود به بررسی و ارزیابی امنیتی سامانه‌ها می‌پردازد. این‌گونه، امکان شناخت و رفع آسیب‌پذیری‌ها و امکان امن‌تر شدن آن، بیش‌تر فراهم می‌شود. این امکان نیز فراهم است که کسب‌وکار از میان شکارچیان، شکارچیان موردنظر خود را برای ارزیابی امنیتی سامانه‌ی خود دعوت کند. در کنار آن، این مزیت اقتصادی نیز وجود دارد که در باگ‌بانتی تنها هزینه‌ی گزارش آسیب‌پذیری موفق پرداخت می‌شود که در مقایسه با سایر روش‌های سنتی هزینه‌‌ی بسیار کم‌تری را در عین بازدهی بالاترش به دنبال دارد. به همین دلیل است که می‌توان از آن به عنوان راه‌کاری به‌صرفه برای ارتقای امنیت یاد کرد.

می‌توانید در مطالب ««یک گام به امنیت واقعی نزدیک‌تر شوید»» و ««باگ‌بانتی؛ به‌صرفه‌ترین راه ارتقای امنیت» » درباره‌ی باگ‌بانتی و مزیت‌هایش بیشتر بخوانید.

سخن آخر:

اگر بخواهیم با کمک گرفتن از ضد چیزی به تعریف آن بپردازیم امنیت را نیز می‌توانیم حالتی تعریف کنیم که در آن ناامنی حضور نداشته باشد. امنیت و ناامنی دو کفه‌ی یک ترازو هستند. اگر کفه‌ی ناامنی پایین بیاید، قطعا کفه‌ی امنیت بالا خواهد رفت. باگ‌بانتی و سایر راه‌کار‌های امنیتی نیز، راه‌هایی برای ارتقای امنیت هستند، نه دسترسی به امنیت مطلق. امنیت مطلق وجود ندارد و نمی‌شود آن را برقرار ساخت، تنها می‌شود برای ایجاد شرایط امن‌تر تلاش کرد...