در پلتفرم باگ‌بانتی راورو، برای هک‌ نشدن از هکرها کمک بگیرید.

 تابه‌حال ۱۸۰ هزار حفره‌ی امنیتی با هم‌کاری هکرها در فرایند باگ‌بانتی کشف و گزارش شده‌اند و این آمار، فقط مربوط به یکی از پلتفرم‌های باگ‌بانتی جهانی است. برای لحظه‌ای، تصور کنید اگر این ۱۸۰ هزار حفره‌ی امنیتی، کشف و گزارش نمی‌شدند، چه اتفاق‌هایی ممکن بود هر ۱ از کسب‌وکارهای مربوط به این حفره‌های امنیتی را تهدید کنند؟ این عدد به‌تنهایی بیان می‌کند که هم‌کاری هکر‌ها تا چه اندازه می‌تواند در ارتقای امنیت سایبری سامانه‌‌ی کسب‌وکارها مؤثر باشد. همچنین در این گزارش آمده است که کسب‌و‌کارهای جهان، تا‌به‌حال ۱۰۰ ملیون دلار صرف باگ‌بانتی کرده‌اند تا گزارش‌های آسیب‌پذیری سامانه‌هایشان را دریافت کنند و امن‌تر شوند.

اما این باگ‌بانتی چیست که عالم همه دیوانه‌ی اوست؟ باگ‌بانتی (BugBounty) راهکاری برای ارتقای امنیت و نسل جدیدی از روش آشنای تست نفوذ (Penetration Test) است. نام «باگ‌بانتی» تلفیقی از دو کلمه‌ی باگ (Bug) و بانتی (Bounty) است و در زبان فارسی می‌توان آن را فرایند «پرداخت پاداش در ازای آسیب‌پذیری (باگ) های گزارش‌شده» دانست. یک پلتفرم باگ‌بانتی پُلی میان «نیاز کسب‌وکارهای آنلاین به آگاهی از آسیب‌پذیری‌های سامانه‌ی خود» و «تخصص و توانایی هکرهای کلاه‌سفید» است. در باگ‌بانتی کسب‌وکار، تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفره‌های امنیتی سامانه‌ی خود، اعلام می‌کند. سپس جمعی از هکرهای کلاه‌سفید، متخصصان امنیتی و شکارچیان آسیب‌پذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانه‌ی کسب‌وکار می‌پردازند. این افراد، از دانش هک و تجربه‌های خود در جهت کشف آسیب‌پذیری‌ها، باگ‌ها و حفره‌های امنیتی، بهره می‌گیرند و آسیب‌پذیری‌های کشف‌کرده را در چارچوبی قانونی به کسب‌وکار گزارش می‌دهند. کسب‌وکار نیز در ازای هر گزارش آسیب‌پذیری‌ای که دریافت می‌کند، به ارائه‌ی پاداش می‌پردازد.

بیشتر بخوانید: آشنایی بیشتر با باگ‌بانتی

روزبه‌روز به طرفداران باگ‌بانتی در جهان افزوده می‌شود. کسب‌وکارهای آنلاین کوچک، بزرگ و پیشروان تکنولوژی نیز باگ‌بانتی را راه‌حل کارآمدی دانسته‌اند و برای ارتقای امنیت خود از آن کمک گرفته‌اند. غول فناوری جهان، گوگل، ۱۲ سالی ست که به‌طور مستمر در برنامه‌های باگ‌بانتی حضور دارد؛ و در ۱۰ سال گذشته، ۳۰ میلیون دلار را در ازای آسیب‌پذیری‌هایی که توسط ۲۰۰۰ متخصص امنیتی روی برنامه‌های آن کشف شده‌اند، پاداش (Bounty) داده است و همچنان نیز حضور مستمری در برنامه‌ی باگ‌بانتی دارد. اسپاتیفای نیز از سال ۲۰۱۷ به باگ‌بانتی پیوسته است و تاکنون بالغ بر ۳۱۰ هزار دلار در برنامه‌ی باگ‌بانتی خود پاداش (Bounty) داده است.

چرا با‌گ‌بانتی؟ پس بقیه‌ی روش‌های ارتقای امنیت چه‌؟ گفتنی است که امنیت یک کالا نیست؛ و تنها با انجام یکی از اقدام‌های امنیتی نظیر؛ ردتیم، تست نفوذ یا … کسب‌وکار مهیا و محقق نمی‌شود. امنیت تنها در باگ‌بانتی، تست نفوذ، تیم قرمز، خرید تجهیزات گران‌قیمت و‌… خلاصه نمی‌شود. تمامی راهکارهای نام‌برده شده در ارتقای امنیت مؤثر هستند، اما کافی نه. باگ‌بانتی راهکاری است که در آن با بهره‌گیری از خرد جمعی، بسیاری از باگ‌ها و حفره‌های امنیتی  کسب‌وکارها کشف می‌شوند. این گونه بسیاری از نقاط آسیب‌پذیر سامانه که می‌توانستند نقطه‌ی نفوذ بیگانگان باشند، رفع می‌شوند و به این ترتیب امنیت بیش‌تری برای کسب‌وکارها فراهم می‌شود.

راه‌حل نوآورانه‌ی باگ‌بانتی در ایران نیز در حال رشد است. پلتفرم باگ‌بانتی راورو، یکی از ارائه‌دهندگان این خدمت در کشور است. کسب‌وکارهایی نظیر فلایتیو، رایتل، شاتل، جیبرس، ابرآروان، نماوا، تسکولو، تپسی، آیدی‌پی و … نیز از پیش‌قدمان در به‌کارگیری این روش ارتقای امنیت هستند و به پلتفرم باگ‌بانتی راورو پیوسته‌اند تا با بهره‌گیری از تخصص شکارچیان آسیب‌پذیری، امنیت سامانه‌های خود را افزایش دهند.

آیا شما نیز مایلید که به کمک باگ‌بانتی، آسیب‌پذیری‌های سامانه‌ی کسب‌و‌کار خود را کشف کنید؟ و در نسخه‌ی بعدی‌ای که از محصول خود به بازار ارائه می‌دهید، خبر ارتقای امنیت را با افتخار به مشتریان خود مژده دهید؟

 

اگر از دسته‌ی شرکت‌های دانش‌بنیان هستید، خبر خوبی برایتان داریم. در این روزها، با حمایت معاونت علمی و فناوری ریاست جمهوری، خدمت باگ‌بانتی با ۵۰% تخفیف در پلتفرم باگ‌بانتی راورو عرضه می‌شود. اگر مایلید که از آسیب‌پذیری‌های سامانه‌ی خود آگاه شوید، فقط لازم است که نیمی از مسیر را بپیمایید؛ و با همراهی بیش از ۸۰۰ شکارچی آسیب‌پذیری، امنیت کسب‌وکار خود را ارتقا دهید.

اما نسل جدید تست نفوذ (باگ‌بانتی) چه مزیت‌هایی نسبت به نسل قدیم آن دارد؟

«افزایش گستره‌ی افراد مشارکت‌کننده» هم‌زمان با «کاهش و بهینه‌سازی هزینه‌ها» را می‌توان دو ویژگی بهبودیافته‌ در نسل جدید تست نفوذ دانست. «کشف آسیب‌پذیری‌های بیشتر در مدت‌زمان کوتاه‌تر» از دیگر مزیت‌های مهم باگ‌بانتی نسبت به تست نفوذ است.

تفاوت در گستره‌ی افراد مشارکت‌کننده

در تست نفوذ، تیمی محدود به چند نفر، مأمور به ارزیابی امنیتی سامانه می‌شوند.

در باگ‌بانتی، جمعی نامحدود به کشف حفره‌های امنیتی سامانه می‌پردازند.

تفاوت در هزینه‌

در تست نفوذ از ابتدای کار، هزینه‌ی ثابتی برای کل فرایند پروژه فارغ از نتیجه در نظر گرفته می‌شود.

در باگ‌بانتی، مطابق با مدل پرداختی Pay Per Use، کسب‌وکارها تنهای هزینه‌ی آسیب‌پذیری‌های کشف‌شده را می‌پردازند.

تفاوت در تعداد دفعات انجام فرایند

در تست نفوذ، فرایند ارزیابی امنیتی معمولا یک دور انجام می‌شود و اغلب در انتهای زمان پروژه نتیجه اعلام می‌شود.

در باگ‌بانتی، هر متخصص مشارکت‌کننده به‌صورت مجزا فرایند کشف آسیب‌پذیری را طی می‌کند و این به این معنا است که بررسی آسیب‌پذیر بودن نقاط سامانه‌ی کسب‌وکار به تعداد افراد مشارکت‌کننده تکرار می‌شود. متخصصان به محض کشف آسیب‌پذیری نیز گزارش آن را به کسب‌وکار ارائه می‌دهند.

تفاوت در سرعت اطلاع‌رسانی آسیب‌پذیری

در تست نفوذ، اغلب در انتهای زمان پروژه نتیجه اعلام می‌شود.

در باگ‌بانتی، متخصصان به محض کشف آسیب‌پذیری نیز گزارش آن را به کسب‌وکار ارائه می‌دهند.

ما در پلتفرم باگ‌بانتی راورو، تلاش می‌کنیم تا پاسخی برای دغدغه‌های امنیتی کسب‌وکارها باشیم. تلاش می‌کنیم شرایطی را فراهم آوریم که کسب‌وکارها بتوانند با خیالی آسوده، ارتقای امنیت کسب‌وکار خود را به ما بسپارند و خود روی حل سایر چالش‌های موجود در مسیر رشد کسب‌وکارشان تمرکز کنند. ما رؤیای ایجاد جهانی امن‌تر با بهره‌گیری از خرد جمعی را در سر داریم.

تابه‌حال ۱۸۰ هزار حفره‌ی امنیتی با هم‌کاری هکرها در فرایند باگ‌بانتی کشف و گزارش شده‌اند. اگر نمی‌شدند، ممکن بود الان به جای این خبر، خبر هک‌های صورت‌گرفته از طریق آن‌ها را بخوانید.