مدل پرداختی کسب‌وکار در باگ‌بانتی چگونه است؟

مدل پرداختی کسب‌وکار در باگ‌بانتی چگونه است؟

۱,۳۵۱

مگر می‌شود سخن از خدماتی به میان بیاید و صحبتی از قیمت و هزینه های آن نباشد؟ بررسی جنبه‌های اقتصادی یکی از مراحلی‌ست که همه‌ی ما در بررسی ابعاد مختلف یک محصول یا خدمت سراغ آن می‌رویم. در این بلاگ‌پست قصد داریم به پاسخ این سوال بپردازیم که: در باگ‌بانتی راورو، هزینه‌ها چگونه و بر چه اساسی محاسبه می‌شوند؟

مدل Pay Per Use

ترجمه‌ی تحت‌الفظی این عبارت می‌شود: "به اندازه‌ی مصرف، بپرداز". مدل Pay Per Use، بر اساس همین پرداخت بر اساس میزان استفاده‌ی مشتری از محصول است. درواقع در مدل Pay Per Use، مشتری فقط هزینه‌ی میزان استفاده‌ی خود از بستری را می‌دهد که سرویس‌دهنده آن را فراهم آورده است. بستری که مشتری نیاز ندارد که خود آن را به‌طورکامل در اختیار داشته باشد. راه‌اندازی مستقل آن بستر نیز برای مشتری، هزینه‌ی مالی بالاتری دارد. به عنوان مثالی از این مدل پرداختی می‌شود به کارت مترو و اتوبوس‌های شهری اشاره کرد. بستر حمل‌ونقل توسط ارگانی مانند شهرداری ایجاد شده است. مصرف‌کننده تنها هزینه‌ی تهیه‌ی کارت، و هر بار استفاده‌ی خود از سیستم حمل‌ونقل را می‌پردازد. مهیاسازی امکان حمل‌ونقل نیز هزینه‌ی بالایی برای مصرف‌کننده دارد.

مدل Pay Per Use در باگ‌بانتی

در باگ‌بانتی نیز پرداخت بر اساس مدل Pay Per Use انجام می‌شود. این به این معناست که در باگ‌بانتی، کسب‌وکار پس از تهیه‌ی اشتراک در پلتفرم، تنها هزینه‌ی آسیب‌پذیری‌های کشف‌شده از سامانه‌ی خویش را می‌پردازد. در باگ‌بانتی تیمی متشکل از متخصصین امنیت، هکرهای کلاه‌سفید و شکارچیان به ارزیابی امنیتی سامانه‌ی کسب‌وکار می‌پردازند، اما نیازی به پرداخت دستمزد ثابت یا مشخص به هرکدام نیست. بلکه همان‌طور که گفتیم، پرداخت فقط در ازای هر آسیب‌پذیری کشف‌شده صورت می‌گیرد.

مدل درآمد باگ‌بانتی

Pay Per Bug؛ پرداخت به اندازه‌ی گزارش‌‌های آسیب‌پذیری دریافت‌شده

باگ‌بانتی را "کشف آسیب‌پذیری در ازای دریافت پاداش" نیز می‌نامند. در این فرآیند، شکارچیان، متخصصان امنیت و هکرهای کلاه‌سفید به ارزیابی امنیتی کسب‌وکارها می‌پردازند و باگ‌ها، آسیب‌پذیری‌ها و حفره‌های امنیتی کشف‌کرده‌ی خود را از طریق پلتفرم باگ‌بانتی یا VDP به کسب‌وکار گزارش می‌کنند. کسب‌وکار نیز پس از بررسی گزارش‌ها، هزینه‌ی هر گزارش آسیب‌پذیری کشف‌شده از سامانه‌ی خود را می‌پردازد.

چرا در پلتفرم باگ‌بانتی، محدوده‌ی مبلغ پاداش از جانب کسب‌وکار، در ابتدای ورود به باگ‌بانتی مشخص می‌شود؟

چون جنگ اول به از صلح آخر است. جهت ایجاد شفافیت لازم است در ابتدای ورود هر کسب‌وکار به باگ‌بانتی، محدوده‌ی پاداشی که آن کسب‌وکار برای گزارش‌های آسیب‌پذیری خود در باگ‌بانتی در نظر دارد را برای مخاطبین خود مشخص نماید. این‌گونه، شکارچی‌ها با آگاهی از محدوده‌ی مبلغ درنظرگرفته‌شده توسط کسب‌وکار به ارزیابی امنیتی سامانه‌ی آن کسب‌وکار و کشف آسیب‌پذیری برروی آن می‌پردازند.

در راورو چگونه محدوده‌ی مبلغ پاداش درنظر گرفته‌شده‌ی هر کسب‌وکار، تعیین می‌شود؟

هر کسب‌وکار با ورود به باگ‌بانتی در جلساتی با مشاورین امنیتی راورو به بررسی‌های فنی و تخصصی می‌پردازد و سپس محدوده‌ی پاداش‌های مدنظر خود، برای گزارش‌های آسیب‌پذیری‌ کشف‌شده از روی سامانه‌ی خود، را تعیین می‌کند. در تعیین حداقل و حداکثر میزان این پاداش، عواملی مانند توان مالی کسب‌وکار و حساسیت اطلاعات کسب‌وکار اثرگذار هستند.

هزینه‌ی هر گزارش آسیب‌پذیری ارائه‌شده توسط شکارچی، چگونه تعیین می‌شود؟

هر زمانی که گزارش آسیب‌پذیری‌ای از جانب شکارچیان ارائه شد، هزینه‌ی آسیب‌پذیری کشف‌شده، به طور دقیق و طبق مدل بومی‌سازی‌شده‌ی استانداردهای جهانی، برحسب نسخه‌ی سوم استاندارد CVSS محاسبه می‌شود. در بلاگ‌پست «چگونه آسیب‌پذیری در راورو ارزش گذاری می‌شود؟» به تفصیل از چگونگی ارزش‌گذاری آسیب‌پذیری‌ها در راورو گفته‌ایم. و در بلاگ‌پست «از باگ تا بانتی؛ ۴ مرحله‌ای که هر گزارش آسیب‌پذیری در راورو طی می‌کند» نیز به مسیری که یک گزارش آسیب‌پذیری از لحظه‌ای که شکارچی دکمه‌ی ارسال آن را می‌زند، تا لحظه‌ای که تایید یا عدم تاییدش را دریافت می‌نماید، طی می‌کند، پرداخته‌ایم.

هزینه‌ها در باگ‌بانتی

مقایسه‌ی مدل پرداختی تست نفوذ و باگ‌بانتی

از آن‌جا که باگ‌بانتی نسل جدید روش پرطرفدار تست نفوذ است، اجازه دهید برای روشن‌تر شدن موضوع، در ادامه به مقایسه‌ی مدل پرداختی در این دو روش بپردازیم.

در باگ‌بانتی:

معیار پرداخت، تعداد آسیب‌پذیری‌های کشف‌شده از میدان کسب‌وکار است. در باگ‌بانتی، کسب‌وکارها تنها هزینه‌ی باگ‌ها و حفره‌های امنیتی کشف‌شده از کسب‌وکار خود را می‌پردازند.

در تست نفوذ:

معیار پرداخت قرارداد منعقدشده بین کسب‌وکار و متخصصین امنیت است. در این مدل طرفین (کسب‌وکار و متخصصین امنیت موردنظر) از ابتدای پروژه راجع به هزینه‌ی نهایی و قطعی آن به توافق می‌رسند و کسب‌وکار متعهد به پرداخت آن مبلغ در موعد مقرر می‌شود. تعداد آسیب‌پذیری‌های کشف و ارائه‌شده ‌شده معیار قرار نمی‌گیرند.

ما در این‌جا به مقایسه‌ی باگ‎بانتی و تست نفود، تنها از بُعد مدل پرداختیشان، پرداختیم. این دو روش نوین ارتقای امنیت، در ابعاد دیگر نیز تفاوت‌هایی با یک‌دیگر دارند. که در هر یک از این ابعاد، یکی بر دیگری برتری دارد. در مطلب «باگ‌بانتی یا تست نفوذ....» مفصل‌تر به مقایسه‌ی باگ‌بانتی و تست نفوذ از ابعاد مختلف پرداخته‌ایم.

سخن آخر

ما در این بلاگ‌پست به توضیح دقیق مدل پرداختی، Pay Per Use و چگونگی اجرای آن در باگ‌بانتی پرداختیم. سپس مقایسه‌ی کوتاهی میان روش پرداختی در باگ‌بانتی و تست نفوذ انجام دادیم. تا آگاهی و شفافیت بیش‌تری نسبت به باگ‌بانتی را برای شما فراهم آوریم و ابعاد اقتصادی آن را برای شما واضح کنیم.