.:: باگ بانتی چیست؟ و مقایسه باگ بانتی با تست نفوذ ؟ ::.
با یکی دیگر از مقالات آموزشی امنیتی با شما کاربران محترم هستیم !
در این موضوع و مبحث قصد داریم توضیحات و بررسی کاملی داشته باشیم از باگ بانتی چیست ؟ و مفهموم بانتی هانتر در هک و امنیت با ما همراه باشید !
باگ بانتی چیست ؟ Bug Bounty
باگ بانتی (Bug Bounty) معامله ای است که توسط بسیاری از وب سایت ها و توسعه دهندگان نرم افزار ارائه می شود
و به موجب آن افراد می توانند برای گزارش اشکالات، به ویژه موارد مربوط به سو استفاده از آسیب پذیری ها به مدیریت سایت اطلاع رسانی کنند و مدیریت به میل خود هزینه ای را به عنوان پاداش به کشف کننده بدهد !
- برای مدیریت باگ بانتی ها دو روش وجود دارد: برخی از شرکت ها خود میزبان برنامه های خود را انتخاب می کنند
و برخی دیگر برای راه اندازی و هماهنگی آنها از خدمات Bug Bounty Platform استفاده می کنند. بهترین روش برای ارائه ایده در مورد چگونگی عملکرد Bug Bounty Platform ارائه مثالی است. - بگذارید بگوییم ما یک شرکت نرم افزاری داریم که می خواهد
نرم افزار خود را از نظر آسیب پذیری های امنیتی بررسی کند. ما دو سناریو را نشان خواهیم داد – یکی که در آن شرکتیک شرکت یک امنیت کار سایبری سنتی استخدام می کند و دیگری که شرکت با یک Bug Bounty Platform کار می کند.
در ادامه..
- اولین بار در سال ۱۸۵۱ در ازای باز کردن یک قفل فیزیکی این عبارت مطرح شد که شرکت تولیدکننده قفل، ارزش معادل ۲۰۰ شمش طلا پرداخت کرد.
- در سال ۱۹۸۳ شرکت hunter & ready اولین باگ بانتی دیجیتال رو برگزار کرد.
- این شرکت بعدها با شرکت microtec ادغام شد و این باگ بانتی برای سیستمعامل اختصاصی شرکت اجرا شد و به عنوان جایزه به کسی که باگ گزارش داده بود، ماشین فولکس واگن هدیه دادند.
- در سال ۲۰۰۲ شرکت IDefense به عنوان واسط فنی، پرداخت ۴۰۰ دلار برای مشکلات امنیتی نرمافزارهای مختلف را انجام داد.
- در سال ۲۰۰۴ شرکت Mozilla این برنامه را با ۵۰۰ دلار شروع کرد.
- این روند ادامه پیدا کرد تا در نهایت در سال ۲۰۱۰ شرکت گوگل به همراه ۲ شرکت آلمانی و هلندی و دو شرکت Mozilla و Baracuda پلتفرم باگ بانتی را ایجاد نمودند.
سناریو 1 : استخدام یک امنیت کار سایبری
شرکت یک شرکت مشاور امنیتی یا یک فرد را استخدام می کند تا نرم افزار خود را آزمایش کند.
امنیت کار یا شرکت مسئول بررسی آسیب پذیری چند نفر از متخصصان امنیت سایبری خود را که به مدت 2-4 هفته نرم افزار شرکت درخواست دهنده را آزمایش می کنند، اختصاص می دهد.
پس از ارزیابی، شرکت امنیتی یا امنیت کار گزارشی ارائه می دهد
كه در آن تمام آسیب پذیری هایی را كه كارمندان شرکت امنیتی هنگام ارزیابی یافته اند شرح می دهد
و آن را به شرکت درخواست دهنده تحویل می دهد. مسئول IT و برنامه نویس در شرکت درخواست دهنده مسئول رفع اشکالات خواهد بود.
سناریو 2 : گزارش مردمی (Bug Bounty Platforms)
در این روش افراد دارای علم هک و امنیت شروع به بررسی سایت های
بزرگ و متوسط بدون بستن قرارداد میکنند و پس از پیدا کردن آسیب پذیری آن را به مدیر وبسایت اطلاع میدهند
و مدیر وبسایت هم هدیه ای به عنوان پاداش و باگ بانتی به امنیت کار یا همان هکر کلاه سفید میدهد همانطور که می بینید در سناریوی دوم، بسیاری از محققان با زمینه های مختلف سایت را برای مدت زمان طولانی آزمایش می کنند و. شرکت های مشاوره سنتی امنیتی به راحتی نمی توانند با استعدادیابی که در اختیار Bug Bounty Platforms است رقابت کنند.
- بسیاری از شرکت ها ذهنیت خود را برای ایجاد “دیواری غیر قابل نفوذ” در اطراف دارایی های دیجیتالی دارند.
که باعث صرفه جویی در آنها خواهد شد. واقعیت اما متفاوت است. مهم نیست که دیوار چقدر بزرگ باشد دیر یا زود هکر ها نقطه ضعفی در آن پیدا می کنند و از آن بهره برداری می کنند.
در مورد باگ بانتی بیشتر بدانید !
فناوری همیشه در حال پیشرفت است و دفاع شما باید سرعت خود را حفظ کند. اگر نمی خواهید هک شوید ، طرز فکر صحیح است: این است که دائماً “دیوار” خود را آزمایش کنید ، آسیب پذیری ها را پیدا کنید و آنها را برطرف کنید ، قبل از اینکه هکرهای کلاه سیاه از آنها سواستفاده کنند.
Bug Bounty یک روش راحت و کارآمد برای شرکت ها برای آزمایش مستمر امنیت دارایی های دیجیتالی خود است.
- نکته ای که در سناریو دوم وجود دارد چون قرارداد رسمی بسته نمیشود؛ مدیریت شرکت یا سایت می تواند از شما بخاطر ارزیابی امنیتی شکایت کند.
مقایسه باگ بانتی و تست نفوذ ؟
وجود یک سامانه Bug Bounty مزایای بسیاری نسبت پنتست دارد.
مهم ترین ویژگی آن تبدیل هکرهای کلاه خاکستری و حتی در برخی موارد هکرهای کلاه سیاه به هکرهای کلاه سفید یا به عبارت دیگر ورود هکر ها به یک چرخه مولد است. به عنوان نمونه برخی از ویژگیهای باگ بانتی را با پنتست مقایسه میکنیم :
1. هزینه در روش سنتی آزمون نفوذ نسبت به برنامه بانتی بسیار بالا میباشد
قراردادهای آزمون نفوذ عموما مشروط به کشف آسیبپذیری نمیباشد، درصورتی که در برنامه بانتی، به ازای هر آسیبپذیری، بعد از تائید کارفرما و صدور وصله امنیتی، وجه توافقی پرداخت میشود.
2. در تست نفوذ سنتی، قدرت تست نفوذ محدود به دانش افراد گروه است
اما در باگ بانتی تعداد افرادی که در پروژه مشارکت دارند بسیار زیاد است و در نتیجه قدرت کار به مراتب بیشتر خواهد بود.
3. سرعت کشف آسیبپذیری در باگ بانتی به مراتب بالاتر از تست نفوذ سنتی است که علت آن حضور تعداد افراد بیشتر است.
4. باگبانتی هزینه اولیه ندارد، در حالی که تست نفوذ سنتی حتی در شرایطی که آسیب پذیری شناسایی نشود، هزینه اولیهای را برای شرکت خواهد داشت.
5. در تست نفوذ سنتی به دلیل محدود بودن نیروی انسانی و زمان که 2 عنصر اصلی کار هستند
بررسیها فقط روی بخشهای اصلی کار انجام میشود در حالی که این خود یک ضعف است زیرا در مقوله نفوذ، بخش مهم و غیر مهم برای هکر معنا ندارد و اتفاقا این بخشهای فراموش شده هستند که معمولا توسط هکرها شناسایی و استفاده میشوند، زیرا به روزرسانیها در این بخشها به درستی انجام نمیشود و در اصطلاح رها شده هستند.
نمونه های دیگر
6. مدت در قراردادهای سنتی، محدود میباشد و معمولا بسیاری از سازمان ها به صورت ادواری قرارداد های خود را با پیمانکاران تمدید میکنند، ولی در برنامه بانتی، زمان آزمون بهصورت خیلی آسان قابل تمدید میباشد.
7. در تست نفوذ سنتی ممکن است کارشناس، آسیبپذیری شناسایی شده را گزارش نکند
چون سازوکار مشخصی برای بررسی این مورد وجود ندارد، اما در سامانه بانتی، هکر بدون فوت وقت، آسیبپذیری را گزارش میکند، زیرا اولا انگیزه مالی برای انجام این امر دارد، ثانیا ممکن است هکری دیگر این آسیب پذیری را گزارش کند، و علاوه بر رفع شدن آسیبپذیری، امتیازی به ایشان نرسد.
8. در آزمون نفوذ سنتی، انگیزه کارشناسان قابل اندازه گیری نمیباشد.
بسیاری از کارشناسان ممکن است برای رفع تکلیف آزمون را انجام دهند و تلاشی برای کشف آسیب پذیری نکنند. در سامانه بانتی، هکر برای پیشرفت مالی/کاربری در سامانه، حداکثر تلاش خود را برای انجام آزمون انجام میدهد.
پلتفرم های برتر باگ بانتی
بسته به نوع برنامه ای که شما برای راه اندازی برنامه ریزی کرده اید
ممکن است برای برگزاری نیاز به استفاده از یک بستر متفاوت داشته باشید. نگاهی به پلتفرم های Bug Bounty :
HackerOne مستقر در سانفرانسیسکو یک پلتفرم باگ بانتی را برای مدیریت آسیبپذیری ارائه میدهد.
Bugcrowd مستقر در سان فرانسیسکو یک پلتفرم باگ بانتی را برای مدیریت آسیب پذیری ارائه می دهد.
Synack در رد وودسیتی کالیفرنیا برای مدیریت آسیب پذیری یک پلتفرم باگ بانتی با رویکرد جمعی، و اطلاعات امنیتی را ارائه میدهد.
- البته در این بین ایران هم چندسالی است که وارد حوزه باگ بانتی شده است و پلتفرم هایی همچون کلاه سفید، باگدشت و راورو در این حوزه مشغول فعالیت هستند.
بانتی هانتر کیست ؟
بانتی هانتر به کسی که این ارزیابی امنیتی را انجام میدهد گفته میشود.
ارزیابی امنیتی چیست؟ و تفاوت آن با تست نفوذ چیست ؟ کلیک کنید !