فلایتیو و باگ بانتی

فلایتیو و باگ بانتی

۵۳۶

فلایتیو کسب‌وکاری در حوزه‌ی سفر و گردشگری ست که فعالیت خود را از خردادماه سال ۱۳۹۵ به عنوان یک آژانس مسافرتی آنلاین آغاز کرده.، حالا فلایتیو از یک آژانس مسافرتی، به یک «شرکت گردشگری آنلاین» و یکی از رهبران این بازار تبدیل شده‌است. هر ماه بیش از صدها هزار نفر برای انجام سفرهای داخلی و خارجی خود از خدمات فلایتیو بهره می‌برند. در صفحه‌ی درباره‌ی ما وبسایت رسمی فلایتیو، عبارت" ما تصمیم گرفتیم پیش از هر چیزی، اول به خواسته‌ها و  رضایت مشتری‌هایمان توجه کنیم." جلب توجه می‌کند. هدفی که نمودی از آن را می‌شود در میزان توجه این شرکت به امنیت اطلاعات و دارایی کاربرانش، دید. 

فلایتیو از 3 سال پیش، به پلتفرم باگ بانتی راورو پیوسته و برنامه‌ها و اهداف خود را در آن تعریف کرده است. این کسب‌وکار تاکنون نزدیک به ۱۰۰ میلیون تومان بانتی بابت گزارش‌های آسیب پذیری خود به شکارچیان آسیب پذیری پرداخت کرده است. براساس یک پرسش‌نامه‌ی آماری، میدان فلایتیو در میان شکارچیان آسیب پذیری راورو، جزو میدان‌های با بهترین عملکرد شمرده می‎‌شود. 

در این بلاگ‌پست با واهاگ گراگوسیان به نمایندگی از فلایتیو به گفت‌وشنود نشسته‌ایم. 

_ شما به‌عنوان یک کسب‌وکار پیشرو، ماه‌هاست که از خدمت نوین (در ایران) باگ‌بانتی برای ارتقای کسب‌وکار خود استفاده می‌کنید. در جریان هستیم که سازمان‌هایی در ابعاد و لول مجموعه‌ی شما به تیم‌های امنیتی متخصص و باتجربه‌ی دسترسی دارند. چه شد که در کنار سایر راهکارهای امنیتی، باگ بانتی را انتخاب کردید؟

بله، فلایتیو تیم امنیت دارد. همان‌طور که رایج است تیم امنیت ما از نظر عملکردی به دو قسمت تیم آبی و تیم قرمز تقسیم می‌شود؛ تیم آبی کارهای دیفنس را انجام می‌دهد. تیم قرمز تلاش می‌کند از وجود باگ‌ها جلوگیری کند؛ که این هدف را با انجام چندباره‌ی تست نفوذ، کنترل‌های امنیتی، بازنگری کد و چک‌کردن هاردنینگ‌های انجام‌شده توسط تیم آبی پیگیری می کند. 

مسئله‌ی مهم این‌جاست که در شرکت‌ها تعداد محدودی نیرو به‌عنوان نیروی متخصص تیم قرمز (attackerها، نیروی متخصص In House) وجود دارد، به همین دلیل نمی‌توان انتظار داشت که بررسی‌های امنیتی با تنوعی از دیدگاه‌ها، ایده‌ها و نگاه‌های متفاوت انجام شوند. پس نیاز امنیتی سازمان در این زمینه به‌طور کامل برطرف نمی‌شود. 

مسئله‌ی دیگر این است که یک نیروی تمام وقت، به‌اندازه‌ی محدودی می‌تواند تست‌ها و راه‌های نفوذ را پوشش دهد. چرا؟ چون می‌دانیم که اگر یک اپلیکیشن توسط 20 نفر تست شود، ایده‌های تست آن‌ها متفاوت و متنوع است. به همین دلیل، این‌که ما تیم امنیت داریم و یا نداریم، دلیل مناسب و کاملی نیست که از باگ بانتی استفاده کنیم یا نکنیم. چون این دو موضوع جایگزین یکدیگر نیستند، بلکه مکمل همدیگرند. شما ممکن است تیم امنیت نداشته باشید، ولی با باگ بانتی بتوانید وضعیت امنیتتان را تا حد مطلوبی ارتقا دهید.  

ما در فلایتیو از باگ بانتی استفاده می‌کنیم، حتی با وجود این‌که گاهی اوقات برایمان گران‌تر هم تمام می‌شود، به این دلیل که اپلیکیشن از نگاه افراد متفاوتی چک شود و باگ‌هایمان زودتر در بیایند و کشف شوند. هم‌چنین در طی این فرآیند، در کنار باگ‌های امنیتی، متوجه باگ‌هایی که در فرآیند بیزینسمان دارد اتفاق می‌افتد، هم می‌شویم. این‌طور می توانم تکمیل کنم که از نظر مقداری، حدود 95% باگ‌های امنیتی به میان می‌آیند و 5% باگ‌ها بیزینسی هستند. 

پیشنهاد خواندنی: مقایسه تست نفوذ و باگ بانتی

_ قسمت سخت حضور در برنامه‌های باگ بانتی و پروژه‌های برون‌سپاری‌شده‌ی تست‌نفوذ برای شما کجاست؟ راحتی و شیرینی آن را کجا مشاهده کرده‌اید؟

به‌طور کلی، می‌توانم بگویم که برای ما قسمت سختی در استفاده از باگ بانتی یا در کمک‌گرفتن از تیم‌های دیگر برای ایجاد امنیت وجود نداشته است. شاید قسمت سخت آن برایمان شروع حضور در باگ بانتی بود. نمی‌دانستیم تا چه حد اپلیکیشنمان امن است و با چه میزان باگ مواجه خواهیم شد. اگر بخواهم رک و صادقانه بگویم؛ برای این‌که از هزینه‌ی باگ‌ها و بانتی‌های احتمالی مراقبتی کنیم، قبل از حضور در باگ بانتی اپلیکیشن را دو بار پن تست کردیم و باگ های متنوعی که وجود داشت (Critical، High و …) را فیکس کردیم. سپس برنامه‌ی باگ بانتی مان را فعال کردیم تا به‌صورت مداوم تست انجام شود. 

یکی از قسمت های بد در باگ بانتی این است که به دلیل محدودیت تعداد شکارچی‌ها در ایران، بعد از مدتی حضور در باگ بانتی و تست‌شدن، شکارچیان دیگر کمتر علاقه دارند که آن را تست کنند. یک راهکار می‌تواند بالابردن قیمت بانتی‌ها باشد. معمولا کسب‌وکارها تمایل چندانی نسبت به آن ندارند. ولی در هر صورت ما این کار را انجام می‌دهیم. 

شیرین‌ترین قسمت حضور در باگ بانتی برایمان آن‌جایی است که گزارشی از یک باگ دریافت می‌کنیم که اصلا فکرش را هم نکرده بودیم که ممکن است از این طریق آسیب‌پذیر باشیم! از نگاه فنی خوش‌حال می‌شویم که این باگ بهمان گزارش شده. از نگاه مجموعه، لازم است بابت باگی که گزارش‌شده، پرداختی انجام شود. قیمت‌گذاری چالشی ست که گاهی مجموعه‌ها با آن مواجه می‌شوند. اما ما در فلایتیو معمولا چالشی در این زمینه نداریم. 

_ در دریافت گزارش آسیب پذیری، چه معیارهایی  برای شما ارزش‌مند است؟

 اگر گزارشی که دریافت می‌کنیم، همراه با پیام صوتی باشد، خیلی به وضوح آن برای ما کمک می‌کند؛ این‌که شکارچی به‌طور دقیق و مرحله‌به‌مرحله برایمان بگوید که چه روندی را طی می‌کند (کرده‌است) تا به باگ دسترسی پیدا کند. می‌دانم و درک می‌کنم که شکارچی‌ها معمولا این کار را خیلی دوست ندارند. اما واقعیت این است که این کار، خیلی کمک‌کننده و تاثیرگذار است. 

این‌که شکارچی نسبت به باگ گزارش‌شده، واقع‌بین باشد، هم خیلی مهم است. به‌عنوان مثال؛ فایلی داریم که اسمش با 50 کارکتر و به‌طور رندوم تولید می‌شود و یک سری پارامترهای دفاعی هم روی آن وجود دارد. از نگاه منطقی و ریاضی این امکان وجود دارد که این فایل‌ها لیک شوند و در فضای اینترنت در دسترس عموم قرار بگیرند. اما از نگاه عملیاتی این کار شدنی به نظر نمی‌رسد. چون فرد باید برود و برای فایلی که نامش 50 کارکتر دارد، با تعداد ریکوئست بسیار بالا تلاش‌هایی کند. که خب در تعداد ریکوئست بالا، کسب‌وکار می‌تواند متوجه بشود و در تعداد ریکوئست پایین هم شانس موفقیت به شدت کاهش می‌یابد. خلاصه‌ی حرفم این است که از نگاه من خیلی مهم است که گزارش آسیب پذیری‌ای که ارائه می‌شود، "چه‌قدر واقعی و قابل‌بهره‌برداری ست و می‌شود در عمل از آن سوءاستفاده کرد؟".  

درکل این‌که افراد چه میزان خلاقانه به باگ دسترسی پیدا کرده‌اند، هم یکی از پارامترهای قابل‌توجه برای ماست. 

_ در استفاده از باگ‌بانتی، خاطره‌ی جالب‌توجهی دارید؟

خاطراتم در حوزه‌ی دیفنس آن‌چنان زیاد نیستند. یکی از خاطرات تکرارشونده‌‌ام در ارتباط با شکارچیانی ست که اولین تجربه‌ی ارسال گزارش آسیب پذیری‌ را می‌گذرانند. مثلا؛ برای یک باگ در سطح Medium آن‌قدر پیام می‌دهند و پیگیری می‌کنند که … 

خاطره‌ی دیگرم به خود باگ بانتی مرتبط نیست، و مرتبط با بچه‌های تیم پلتفرم باگ بانتی راورو است. مثلا؛ در ایونت خصوصی‌ای که با فلایتیو برگزار شد، حضورشان و برگزاری یک برنامه اختصاصی خاطرات خوبی برایمان همراه داشت. 

**_ خوش‌حالیم که خاطره‌های خوبی از ما دارید. ممنون که وقت خود را به گپ‌وگفت با ما اختصاص دادید. به امید آینده‌‌ای امن برای فلایتیو. ;) **

بلاگ‌پست‌های مرتبط:

داستان موفقیت؛ آونگ ایمیل

باگ‌بانتی در کسب‌وکارهای فین‌تک

باگ‌بانتی در وب‌سایت‌های فروش دوره‌های آموزشی

۱۴+۱ دلیل برای انتخاب باگ بانتی

رابین‌هودهای دنیای صفرویک