ارتباط با ما

در پناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست

اخبار حمله و نشت اطلاعات سازمان‌ها در هفته‌های اخیر نه به‌صورت رسمی بلکه در بسیاری از شبکه‌های اجتماعی دست‌به‌دست می‌شد. این موضوع به خودی خود نشان‌دهنده اهمیت شناخت باگ‌های سیستم و در نتیجه حفظ امنیت داده‌های سازمان و کاربران است و شاید از همین روست شرکت‌ها تقریبا با افزایش نسبی میزان حمله‌ها به سامانه‌ها و پلتفرم‌های مختلف با افزایش مبالغ باگ‌بانتی مدتی است که سعی کرده‌اند نقاط ضعف و باگ‌های سیستم خود را شناسایی کنند، اما مدیران امنیتی شرکت‌ها به همان میزان که باگ بانتی را کارآمد می‌دانند، افزایش بی‌حساب وکتاب آن را نادرست و حتی از عوامل ناامنی فضای فناوری اطلاعات کشور برمی‌شمرند.

به گزارش پیوست، در پی افشای داده‌های کاربران ایرانی در سال‌های اخیر پلتفرم‌های آنلاین موضوع باگ بانتی را نیز بیش از گذشته جدی گرفته‌اند و برخی از پلتفرم‌ها نیز مدتی است با بالابردن مبالغ باگ‌بانتی در تلاشند تا با راهکارهای تهاجمی امنیت بیشتری را در فضای پلتفرم‌های خود ایجاد کنند. مضاف بر این که شرکت‌ها با افزایش مبالغ باگ بانتی در کنار افزایش امنیت می‌خواهند از اعتماد بیشتر کاربران نیز بهره‌‎مند شوند.

پیوست در گفت‌وگویی با مدیران امنیت سایبریِ پلتفرم‌هایی که به تازگی مبالغ باگ‌بانتی خود را افزایش داده‌اند، راجع به باگ‌بانتی در دوران تحولات اجتماعی و تاثیر آن بر امنیت داده‌های کاربران صحبت کرده است.

دیوار:مبلغ باگ بانتی بیش از دوران بحران، به تورم مرتبط است

پویا رضایی، مدیر فنی (CTO) دیوار راجع به پاداش کشف و گزارش باگ یا همان باگ‌بانتی دیوار به رقم یک میلیارد تومان می‌گوید: امنیت مسئله‌ای مقطعی نیست و بر همین اساس ما در دیوار، آن دسته از پژوهشگران امنیت که با کشف و گزارش آسیب‌پذیری باعث بالا رفتن سطح امنیت محصولات و کاربران می‌شوند را به رسمیت شناخته و از همکاری با آنها استقبال می‌کنیم. علاوه بر اینکه گزارش باگ یا همان باگ‌بانتی دیوار را تا یک میلیارد تومان افزایش داده‌ایم تا هکرهای کلاه سفید(متخصصان امنیت) را تشویق به گزارش باگ‌ها کنیم.

پناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیوپناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیو
پویا رضایی، مدیر فنی (CTO) دیوار

اما به باور رضایی مبالغ باگ‌بانتی بیش از آنکه به دوران بحران مرتبط باشد باشد به شرایط اقتصادی و تورم در جامعه برمی‌گردد. او در این باره می‌گوید: پاداش کشف باگ یا همان باگ‌بانتی قطعا در تشویق پژوهشگران امنیت برای فعالیت و گزارش این موارد به پلتفرم‌ها موثر است، اما مبلغ آن به دوران بحران ارتباطی ندارد و بیشتر به فضای رقابتی و میزان تورم مرتبط است. این‌که به خاطر افزایش ریسک، عکس‌العمل‌های مقطعی نشان داده شود ناشی از نگرش‌های کوتاه‌مدت است و  خود همین موضوع یکی از عوامل ناامنی فضای فناوری اطلاعات کشور است.

او اینگونه گفته خود را ادامه می‌دهد: با توجه به خطراتی که همیشه درباره نشت و افشای اطلاعات کاربران وجود دارد ما در دیوار، تیم‌های خودمان را به نگهداری حداقل دیتا صرفاً در ۲ مورد مشخص ملزم کرده‌ایم. یکی در بازه زمانی تعیین شده از سوی قانون و برای انجام تکالیف قانونی و دیگری داده‌های مورد استفاده در تحلیل فرآیندهای کسب‌و‌کار. در این زمینه نیز دیتا را به صورت ناشناس ذخیره‌سازی می‌کنیم چون استفاده کلان از آنها مورد نیاز ماست و نیازی به ذخیره‌ کردن دیتای شخصی کاربران نداریم.در کنار این همچنین ناشناس کردن دیتای کاربران را نیز تبدیل به یکی از روندهای اصلی دیوار کرده‌ایم.

طبق گفته او: در ناشناس کردن اطلاعات یا همان  Anonymization داده‌ها که برای حفاظت از داده‌های کاربران و حفظ حریم شخصی آنها صورت می‌گیرد به صورت خودکار داده‌های حساس کاربران مثل شماره تلفن، آدرس، مشخصات فردی و پس از پایان مهلت ۶ ماهه قانونی برای نگهداری دیتا حذف می‌شود. این کار باعث می‌شود در رویارویی با هک دیتایی از اطلاعات خصوصی و حساس کاربران در دسترس کسی قرار نگیرد.

اسنپ: هر برنامه‌‎ باگ‎‌‌‌‌ بانتی لزوما مناسب و موثر نیست

امیرحسین قاسمی، مدیر تیم امنیت سایبری گروه اسنپ هم معتقد است اهمیت برنامه‌‎های باگ ‎بانتی در دوران بحران به طور قابل توجهی افزایش پیدا می‎‌کنند، چون در چنین شرایطی، برنامه‎‌های باگ‌‎بانتی نقش حیاتی در شناسایی و رفع سریع آسیب‌‎پذیری‎‌ها ایفا می‎‌کنند. او در این باره توضیح می‌دهد: این برنامه‌‎ها با بهره‌‎گیری از توانایی هکرهای اخلاقی (white hat hackers) که تخصص و دانش عمیقی در زمینه‎ امنیت سایبری دارند، می‌‎توانند نقاط ضعف سیستم‌‎ها را پیش از سواستفاده‎ هکرهای مخرب کشف کنند. این فرآیند باعث می‌‎شود شرکت‌ها بتوانند به سرعت واکنش نشان داده و از بروز خسارت بیشتر جلوگیری کنند.

فضایی جیمز وب اولین سیاره بخارآلود را کشف کرد - آژانس مدیا و مارکتینگ ردی استودیو بیشتر بخوانید: تلسکوپ فضایی جیمز وب اولین سیاره بخارآلود را کشف کرد

1717918778 685 در پناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیو1717918778 685 در پناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیو
امیرحسین قاسمی، مدیر تیم امنیت سایبری گروه اسنپ

او ادامه می‌دهد:البته لزوما هر برنامه‌‎ باگ‎‌‌‌‌ بانتی ممکن است مناسب و موثر نباشد و کیفیت و کارایی آنها می‌تواند بسیار متفاوت باشد. عوامل و معیارهای متعددی وجود دارند که تعیین می‌کنند آیا یک برنامه‎ باگ‌‎‌بانتی خوب و موثر است یا خیر.  در ابتدا باید مشخص شود که کدام سیستم‌ها و سرویس‌ها باید تحت پوشش قرار گیرند.در وهله بعد با افزایش پاداش‌‎های مالی شرکت‌ها می‎توانند انگیزه هکرهای اخلاقی را برای کشف و گزارش سریع‎ و دقیق‎ آسیب‎پذیری‌ها بالا ببرند. موضوع بعد مدیریت و ارزیابی گزارش‌‎هاست. ایجاد تیم‌‎های اختصاصی برای بررسی سریع گزارش‌‎های باگ‎‌‌ها در دوران بحران بسیار حیاتی است و هرگونه تاخیر می‌تواند عواقب جدی به همراه داشته باشد. در نهایت ارتباط موثر با هکرها و حفظ امنیت اطلاعات است. شرکت‌‌ها باید دقت کند که اطلاعات حساس و مهم خود را به درستی مدیریت کرده و از افشای آن‎ها حتی به هکرهای کلاه‌سفید جلوگیری کنند.

نوبیتکس: باگ‌بانتی یکی از راه‌حل هاست

1717918778 125 در پناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیو1717918778 125 در پناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیو
امیرعلی اکبری معاون فنی نوبیتکس

امیرعلی اکبری معاون فنی نوبیتکس هم در این باره توضیح می‌‌دهد: هدف از برنامه باگ بانتی این است که وقتی شرکت‌ها به حد قابل قبولی از امنیت در محصول و سیستم رسیده و تست‌های داخلی را به طور مستمر انجام دادند؛ با اعلام باگ بانتی بتوانند مشکلات احتمالی که تا آن زمان پیدا نشده‌ را بفهمند و در یک روش سالم و عادلانه بابت آن پرداخت داشته باشند.

او ادامه می‌دهد: باگ‌بانتی حتما برای حل برخی مسائل و از همه مهم‌تر به عنوان یک روش سالم و شفاف ارتباطی با افراد متخصص حوزه امنیت موثر است اما تنها یکی از راهکارهای پیشگیری از بحران و به نوعی یک کمربند ایمنی است. او ادامه می‌دهد: باگ‌بانتی باید شیوه‌ای شفاف داشته باشد تا برای افراد متخصص جذابیت بیشتری ایجاد کرده و امکان تعامل را فراهم کند. در واقع باگ بانتیِ بد با اعداد و شروط ناعادلانه و غیر شفاف می‌تواند بیش از فایده برای کسب و کارها مضر باشد. مثلا زمانی که هیچ تست نفوذی روی محصولات انجام نشده باشد برنامه باگ بانتی بحران‌زا هم هست.

مدیرزیرساخت کافه بازار: استانداردها باید رعایت شوند

کوثر بخشی، مدیر زیرساخت کافه‌بازارکوثر بخشی، مدیر زیرساخت کافه‌بازار
کوثر بخشی، مدیر زیرساخت کافه‌بازار

کوثر بخشی، مدیر زیرساخت کافه‌بازار هم در این باره معتقد است هر سال میزان باگ‌بانتی باید بر اساس شرایط روز تنظیم شود. او در این باره می‌گوید: کافه‌بازار در جهت رفع ایرادها و نقایص امنیتی، سال گذشته باگ بانتی را تا یک میلیارد تومان افزایش داد چون با تشدید حمله‌های هکری به کسب و کارهای داخلی و با توجه به اینکه «بازار»  مرجع دانلود هزاران برنامه و مورد استفاده میلیون‌ها کاربر است، باید باگ‌بانتی را در حد استانداردهای بین‌المللی بالا می‌بردیم.

او ادامه می‌دهد:باگ‌بانتی باید در کنار سایر همسان‌سازی‌‌های امنیتی صورت گیرد تا ضمن اینکه هکرها همواره انگیزه‌ بررسی ایراد‌ها و نقایص امنیتی شرکت‌های داخلی را داشته باشند اما شرکت هم از لحاظ زیرساختی آماده باشد.

تپسی: شروع باگ‌بانتی در زمان بحران راهگشا نیست

پناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیوپناه هکرهای اخلاقی؛ باگ‌بانتی‌های بی‌حساب و کتاب بحران‌زاست - آژانس مدیا و مارکتینگ ردی استودیو
مدیر ارشد امنیت اطلاعات تپسی سعید کاظمی

مدیر ارشد امنیت اطلاعات تپسی سعید کاظمی هم در این باره توضیح می‌دهد: اگر شرایط بحرانی را شرایطی در نظر بگیریم که احتمال حمله به شرکت‌ها و زیرساخت‌های کشور زیاد است، اطمینان از نداشتن ضعف امنیتی در تمام لایه‌ها یکی از موارد مهم است و باگ‌بانتی نیز به عنوان یکی از روش‌ها برای ارزیابی امنیتی و کشف ضعف‌های امنیتی که از بیرون از شبکه قابل شناسایی هستند می‌تواند به این هدف کمک‌ کند. البته باید در نظر داشت که اغلب اتفاقات امنیتی که اصطلاحا در زمان‌های پرتنش سیاسی یا اجتماعی واقع می‌شوند، حاصل تلاش تیم‌های هکری در ماه‌ها و حتی سال‌های قبل و دسترسی‌های قبلی است که فقط در زمان بحران سیاسی آشکار شده‌اند، بنابراین اقداماتی که باید در جهت شناسایی و مقابله با حوادث امنیتی اتخاذ شوند، باید اقداماتی بلندمدت و پیوسته باشند تا مؤثر واقع شوند. بنابراین باگ‌بانتی نیز نه فقط در زمان بحران بلکه در زمان‌های قبل از آن و بعد از آن هم باید به صورت جدی مدنظر قرار گیرند.

او ادامه می‌دهد: نکته‌ای که در حوزه باگ‌بانتی وجود دارد این است که در طول زمان تعداد زیادی از افراد با مهارت با توجه به تفاوت بسیار در جوائز اعلام شده در پلتفرم‌های خارجی با پلتفرم‌های داخلی و همچنین اعتبار بیشتری که کار در آنها می‌تواند برایشان به ارمغان بیاورد فقط روی شرکت‌های خارجی کار می‌کنند. بنابراین جذب چنین افرادی برای شرکت‌های داخلی هم کار آسانی نیست. علاوه بر اینکه اگر سازمان فرآیندهای مناسب برای اطمینان از توسعه امن محصول، تست امنیتی داخلی، تست نفوذ و باگ‌بانتی با جوایز قابل‌قبول را داشته باشد، احتمالا نیازی به افزایش جوایز در زمان بحران نخواهد داشت. اما اگر فرآیندهای اولیه را نداشته باشد، از نظر من شروع باگ‌بانتی و یا افزایش آن در زمان بحران کمک خاصی برای حفاظت سازمان نخواهد کرد.

منبع

دیدگاهتان را بنویسید!

آژانس مدیا و مارکتینگ ردی استودیو
سبد خرید
empty basket

هیچ محصولی در سبد خرید نیست.