شکارچی‌ها میدان‌ها اهداف گزارش‌های شکار بلاگ درباره ما
EN
شکارچی‌هامیدان‌هااهدافگزارش‌های شکاربلاگدرباره ما
ENورود ثبت نام
مقایسه تست نفوذ و باگ بانتی

مقایسه تست نفوذ و باگ بانتی

۲,۱۲۲

پاسخ شما به نیاز سامانه‌ی کسب و کار تان به ارتقای امنیت چیست؟ برای آگاهی از آسیب پذیری ها، باگ ها و حفره‌های امنیتی سامانه‌ی خود، چه روشی را مناسب می‌دانید؟ اگر بر سر دوراهی انتخاب میان دو روش پرطرفدار تست نفوذ و باگ بانتی، قرار گرفته‌اید، این بلاگ‌پست می‌تواند در مقایسه‌ی این دو راه کمکتان کند. ؛)

آن‌چه در این بلاگ‌پست خواهید خواند:

• تست نفوذ

• باگ بانتی؛ نسل جدید تست نفوذ

• شباهت‌های باگ بانتی و تست نفوذ

• تفاوت‌های تست نفوذ و باگ بانتی

تست نفوذ

تست نفوذ، معادل فارسی Peneration Test است که گاهی به اختصار، اصطلاح «پن تست» نیز برای آن به کار می‌رود. تست نفوذ همان‌طور که از نامش پیداست، عبارت است از فرآیند تست یا سنجش نفوذپذیری سامانه‌ی کسب و کار شما. در این فرآیند کسب و کار شما طی قراردادی با تیمی از متخصصین امنیت، تست نفوذپذیری سامانه‌ی کسب و کار خود را به آن‌ها می‌سپارد. تیم متخصصین به جست‌وجو و کشف راه‌های نفوذ ممکن برای نفوذ به سامانه‌ی شما می‌پردازند.

کلاه سفید هکر

نسل جدید تست نفوذ؛ باگ بانتی

دوست داشتید که می‌توانستید تست‎ نفوذ‌پذیری سامانه‌ی کسب و کار خود را به جای گروهی محدود، به جمعی نامحدود بسپارید؟ باگ بانتی (BugBounty) یا «پرداخت پاداش در ازای دریافت گزارش آسیب پذیری» ، نسل جدید تست نفوذ است. اما چگونه؟ در باگ بانتی شما به عنوان کسب و کار، تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفره‌های امنیتی سامانه‌ی خود، اعلام می‌کنید. سپس جمعی نامحدود از هکرهای کلاه سفید، متخصصان امنیتی و شکارچیان آسیب پذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانه‌ی کسب و کار شما می‌پردازند. و آسیب پذیری های کشف‌شده را به شما گزارش می‌کنند.

پیشنهاد خواندنی: آیا هر باگی، یک باگ امنیتی ست؟

تست نفوذ پن تست

شباهت باگ بانتی و تست نفوذ:

باگ بانتی، نسل جدید تست نفوذ اما از اهالی همان خانواده است که ویژگی‌هایی را از اجداد خود به ارث برده است؛ به‌خوبی اصالتش را در راستای هدف اجدادی‌اش، ارتقای امنیت، حفظ کرده. برخی از تشابه‌های کلی این دو روش که در نگاه ابتدایی به نظر می‌رسند، عبارتند از:

هدف یکسان:

در هر دو راهکار، هدف نهایی «کشف آسیب پذیری های موجود» در سامانه‌ی کسب و کار شما و «آگاه‌سازی کسب و کار»تان از وجود آن‌ها ست؛ آسیب پذیری هایی که اگر به‌موقع شناسایی و رفع نشوند، ممکن است توسط هکرهای کلاه سیاه و نفوذگران غیرقانونی مورد سوءاستفاده قرار گیرند...

روش مشابه:

در هر دو روش، تست نفوذ و باگ بانتی، تیمی از متخصصین امنیت در سازوکاری قانونی و هماهنگ‌شده با کسب و کار شما تلاش می‌کنند تا سامانه‌ی کسب و کار تان را هک و به آن نفوذ کنند. متخصصین امنیتی در این فرآیند به جست‌وجوی آسیب پذیری ها، باگ ها و حفره‌های امنیتی در زیرساخت و نرم‌افزارهای مورداستفاده‌ی کسب و کار شما می‌پردازند.

باگ بانتی هکر امنیت

تفاوت تست نفوذ و باگ بانتی:

اما این تمام ماجرا نیست، چراکه باگ بانتی در عین حفظ اصالتش، متناسب با شرایط حال و آینده‌ی زمانه‌اش، ویژگی‌هایی را نیز در خود بهبود داده است. تست نفوذ و باگ بانتی در جزئیات تفاوت‌های بسیاری با یکدیگر دارند که برخی از آن‌ها عبارتند از:

تفاوت در گستره‌ی افراد مشارکت‌کننده:

در تست نفوذ، تیمی محدود به چند نفر، مامور به ارزیابی امنیتی سامانه می‌شوند.

در باگ بانتی، جمعی نامحدود به کشف حفره‌های امنیتی سامانه می‌پردازند. باگ بانتی راهکاری مبتنی بر خرد جمعی ست و در آن جمعی نامحدود از افراد مشارکت می‌کنند.

تفاوت در هزینه:

در تست نفوذ از ابتدای کار، هزینه‌ی ثابتی برای کل فرآیند پروژه، فارغ از نتیجه‌ی آن درنظر گرفته می‌شود.

در باگ بانتی، مطابق با مدل پرداختی Pay Per Use، کسب و کار ها تنها هزینه‌ی آسیب پذیری های کشف‌شده را می‌پردازند.

پیشنهاد خواندنی: مدل پرداختی کسب و کار در باگ بانتی چگونه است؟

تفاوت در تعداد دفعات انجام فرآیند:

در تست نفوذ، فرآیند ارزیابی امنیتی معمولا یک دور انجام می‌شود و اغلب در انتهای زمان پروژه نتیجه اعلام می‌شود.

در باگ بانتی، هر متخصص مشارکت‌کننده به صورت مجزا فرآیند کشف آسیب پذیری را طی می‌کند و این به این معناست که بررسی آسیب‌پذیربودن نقاط سامانه‌ی کسب و کار به تعداد افراد مشارکت‌کننده تکرار می‌شود. متخصصان به محض کشف آسیب پذیری نیز گزارش آن را به کسب و کار ارائه می‌دهند.

تفاوت در سرعت اطلاع‌رسانی آسیب پذیری:

در تست نفوذ، اغلب در انتهای زمان پروژه نتیجه اعلام می‌شود.

در باگ بانتی، متخصصان به محض کشف آسیب پذیری نیز گزارش آن را به کسب و کار ارائه می‌دهند.

سخن آخر

تست نفوذ یا باگ بانتی؟ کدام راهکار را بهتر است برای ارتقای امنیت سامانه‌ی کسب و کار خود انتخاب کنید؟ گرچه در این بلاگ‌پست به معرفی و مقایسه‌ی کوتاه این دو راهکار پرداخته‌ایم، اما واقعیت آن است که پاسخ به این سوال و انتخاب راهکار متناسی، بستگی به شرایط کسب‌وکار شما نیز دارد. لازم است که در انتخاب خود، اندازه‌ی کسب و کار تان، اقدام‌های امنیتی‌ای که پیش‌تر در ارتقای امنیت خود به کار برده‌اید و ...، را نیز موردتوجه قرار دهید.

بلاگ‌پست‌های مرتبط:

در باگ بانتی، می‌توانید برای هک‌نشدن از هکرها کمک بگیرید!

VDP؛ صندوق پیشنهادها و انتقادات امنیتی

تعریف هدف در باگ بانتی به چه معناست؟ و چه دلیلی دارد؟

راورو

«راورو» یک واژه‌ی کردی و به معنای شکارچی حرفه‌ای است.
ما در راورو تلاش می‌کنیم پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم با ایجاد پلی میان تخصص متخصصین امنیت و کسب‌وکارها، شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود بر روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند.

اشتراک در خبرنامه

اطلاع از آخرین خبرنامه‌ی راورو

راورو
شکارچی
میدان
روز و روزگارتون امن ؛)© تمامی حقوق برای راورو محفوظ است.