VDP؛ صندوق پیشنهادها و انتقادات امنیتی

VDP؛ صندوق پیشنهادها و انتقادات امنیتی

۲,۴۹۰

امنیت، مقوله‌ای نسبی ست؛ هیچ‌گاه امنیت به طور کامل برقرار نمی‌شود. در عین حال در دنیای پرخطر امروزی، امنیت برای کسب‌وکارها، حیاتی به شمار می‌رود. اقدام در جهت کاهش آسیب‌پذیری‌های سامانه‌ها، یکی از راه‌های موجود برای ارتقای امنیت تا حد ممکن است. کشف و رفع همه‌ی آسیب‌پذیری‌ها ممکن نیست اما تلاش هرچه‌بیش‌تر در جهت کشف و کاهش آسیب‌پذیری‌ها، اقدامی لازم به شمار می‌رود.

اما از میان روش‌های امنیتی مختلفی که برای ارتقای امنیت وجود دارند، کدام یک را انتخاب کنیم؟ ما در این مطلب می‌خواهیم به معرفی یکی از روش‌های موجود بپردازیم: مفهومی به نام سیاست افشای آسیب‌پذیری یا Vulnerability Disclosure Policy که به اختصار با عنوان VDP شناخته می‌شود.

هرچه چشم‌های بیش‌تری متمرکز باشند، حفره‌ها سطحی‌تر به نظر می‌رسند...

بگذارید ابتدا بگوییم که VDP یکی از روش‌های مبتنی بر خرد جمعی است. اما چرا خرد جمعی؟ بگذارید پاسخ را از اریک ریموند بشنویم: او در قانون لینوس می‌گوید: "هرچه چشم‌های بیش‌تری متمرکز باشند، حفره‌ها سطحی‌تر به نظر می‌رسند..." اگر بخواهیم این جمله را با موقعیت و این مطلب تطبیق دهیم، می‌شود گفت؛ هرچه متخصص‌های بیش‌تری در میان باشند، هوش، تخصص و تجربه‌ی بیش‌تری هم در میان است. در چنین شرایطی آسیب‌پذیری‌ها و حفره‌های امنیتی، سریع‌تر و ساده‌تر کشف خواهند شد.

VDP چیست؟ حرف حسابش چیست؟

هدف از ایجاد سیاست افشای آسیب‌پذیری فراهم‌نمودن یک بستر و کانال ارتباطی بین متخصصان امنیت و سازمان‌ها برای دریافت گزارش‌های آسیب‌پذیری بوده است. در یک کلام، حرف حساب VDP این است: متخصص عزیز، اگر چیزی مشاهده کردی، اطلاع بده. به عبارتی دیگر در VDP، کسب‌وکار آغوش خود را برای دریافت گزارش‌های آسیب‌پذیری از سوی افراد باز می‌گذارد و صندوق انتقادات و پیشنهاداتی را مختص توصیه‌های امنیتی تدارک می‌بیند. این‌گونه متخصصین امنیت، هکرهای کلاه‌سفید و … می‌توانند بدون نگرانی از مشکلات حقوقی نظیر جرم‌انگاری و اتهام‌زنی، آسیب‌پذیری‌ها و حفره‌های امنیتی کشف‌کرده‌ی خود را در گزارشی و از طریق این بستر برای کسب‌وکار ارسال کنند. کسب‌وکار نیز در صورت تمایل، مبلغی را به عنوان پاداش به آن‌ها پرداخت می‌کند. به این ترتیب، کسب‌وکار از بسیاری از راه‌های نفوذ، نقاط آسیب‌پذیر و حفره‌های امنیتی خود آگاه می‌شود، می‌تواند با رفع آن‌ها راه ورود هکرهای کلاه‌سیاه را ببندد و نقشه‌های آن‌ها را خنثی کند.

ویژگی‌های VDP:

در VDP یک قانون وجود دارد و آن این است که هیچ قانون مشخصی وجود ندارد:

در VDP کسب‌وکار تعهدی بابت پرداخت پاداش به شکارچی ندارد و شکارچی نمی‌تواند در قبال کشف آسیب‌پذیری، توقع پاداش حتمی داشته باشد. در واقع سازوکاری به طور رسمی در مراتب VDP بابت این مورد درنظر گرفته نشده است و فرمول واحدی نیز برای محاسبه‌ی مبلغ پاداش یا ... وجود ندارد.

در ساختار VDP، به طور اختصاصی به تعیین محدوده‎‌ی هدف و یا تعیین قوانین توسط کسب‌وکار پرداخته نشده است و این موارد جزو الزامات VDP به شمار نمی‌روند. و متخصصین آزادند که بدون هیچ محدودیتی به بررسی هر کجای سامانه‌ی کسب‌وکار بپردازند. مگر این‌که کسب‌وکار خود تمهیداتی را در این باره بیندیشد و به آن‌ها اضافه کند.

تست نفوذ و VDP چه شباهت‌ و چه تفاوتی با هم دارند؟

شاید VDP برای شما آشنا به نظر نرسد، اما اگر از افراد دغدغه‌‌مند در حوزه‌ی امنیت کسب‌وکار خود باشید، بی‌شک با فرآیند "تست نفوذ" آشنایی دارید. در تست نفوذ گروهی محدود و مشخص از متخصصین امنیتی تلاش می‌کنند تا به سامانه‌ی کسب‌وکار نفوذ کنند و از این طریق به ارزیابی امنیتی، کشف نقاط آسیب‌پذیر و حفره‌های امنیتی سامانه‌ي شما بپردازند. در VDP هم ماجرا از همین قرار است و افراد به ارزیابی امنیتی سامانه‌ی شما می‌پردازند، اما چه افرادی؟ VDP و تست نفوذ تفاوت‌های بسیاری دارند اما یک تفاوت مهم تست نفوذ و VDP در متخصصین مشارکت‌کننده در فرآیند است.

در VDP چه کسانی می‌توانند در ارائه‌ی گزارش آسیب‌پذیری مشارکت کنند؟

وب‌سایت Reciprocity سه حالت زیر را بر اساس افرادی که در فرآیند کشف‌ آسیب‌پذیری‌ها و حفره‌های امنیتی مجاز شمرده می‌شوند، در آن دخیل هستند و مشارکت می‌کنند، تعریف کرده است:

Self-Disclosure: خود توسعه‌دهندگان درون سازمان، آسیب‌پذیری‌ها را کشف و افشا کنند.

Third-party Disclosure: فرد یا گروهی از خارج از سازمان آسیب‌پذیری را کشف و به سازمان گزارش کنند.

Vendor Disclosure: افراد دیگری، آسیب‌پذیری‌های مربوط به محصول شرکت دیگری که در توسعه‌ی پروژه‌ی سازمان استفاده شده است را کشف کنند. ( مثلا؛ ماژول‌های CRM ) بنا بر اعلام آسیب‌پذیری از سمت آن شرکت، به‌روزرسانی و نصب وصله‌های امنیتی توسط سازمان استفاده‌کننده نیز انجام شود.

چگونه می‌توانیم برای کسب‌وکار خود VDP راه بیندازیم؟

هر گونه‌ سازوکار تدارک‌دیده‌شده در یک کسب‌وکار به منظور دریافت گزارش‌های آسیب‌پذیری را می‌توان اقدامی منطبق بر مفهوم VDP دانست. حالت Third-party Disclosure ازVDP را می‌توان به روش‌های زیر اجرا کرد:

کسب‌وکار می‌تواند در سامانه‌ی کسب‌وکار خود یک فایل security.txt یا فایل‌های ایستای دیگری مانند robots.txt ایجاد کند که به این وسیله محتوای لازم برای ارتباط با کسب‌وکار را در اختیار مخاطبین قرار دهد. به این ترتیب سایر افراد می‌توانند گزارش‌های آسیب‌پذیری‌های کشف‌کرده‌ی خود را به کسب‌وکار برسانند.

برخی پلتفرم‎‌های باگ‌بانتی صفحه‌ای را جهت ایجاد برنامه‌ی VDP اختصاصی برای کسب‌وکارها تدارک دیده‌اند. کسب‌وکارها به کمک این پلتفرم‌ها صفحه‌ی مربوط به VDP کسب‌وکار خود را ایجاد کنند. (این امکان در پلتفرم‌های هکروان و باگ‎‌کرود فراهم است. اما در هنگام نگارش این مطلب، در پلتفرم‌های باگ‌بانتی داخلی این امکان فراهم نشده است.)

VDP نیز مانند بسیاری از روش‌های ارتقای امنیت، ویژگی‌های مثبت و منفی‌ای دارد. در مطالب بعدی در این باره بیش‌تر خواهیم خواند، با نسخه‌ی تکامل‌یافته‌تر و سازمان‌دهی‌شده‌تری از VDP یا همان باگ‌بانتی آشنا خواهیم شد و به مقایسه‌ی این دو روش خواهیم پرداخت.

سخن آخر

همان‌طور که گفتیم، روش های گوناگونی برای ارتقای امنیت کسب‌وکارها وجود دارند. ما در این مطلب به معرفی سیاست افشای آسیب‌پذیری یا همان VDP پرداختیم که در آن کسب‌وکار با آغوشی باز پذیرای دریافت گزارش‌های آسیب‌پذیری‌ها از سوی متخصصین امنیتی و هکرهای کلاه‌سفید است. VDP تلاشی برای ایجاد پلی میان متخصصان امنیت و کسب‌وکارهاست؛ بستری برای بهره‌گیری از تخصص، تجربه و دانش هکرهای کلاه‌سفید، متخصصین امنیت و ... در جهت ارتقای امنیت کسب‌وکارها و به طور کلی در راستای رقم‌زدن آینده‌ای امن‌تر است.