Gerdab.IR | گرداب

پرونده: رویکرد Bug Bounty و افزایش امنیت سایبری (+عکس و فیلم)

تاریخ انتشار : ۱۷ خرداد ۱۴۰۰

امنیت؛ الفبای اصلی هر حرکت و اقدام در فضای مجازی است. اصلی‌ترین و ضروری‌ترین نیاز و انتظار هر کاربر از برنامه کاربردی یا وبسایت یا هر پلتفرمی که از آن استفاده می‌کند.

به گزارش گرداب،  امروزه تمرکز و سرمایه‌گذاری بر امنیت محصولات در حوزه فناوری اطلاعات به‌قدری افزایش‌یافته که یکی از اصلی‌ترین و بزرگ‌ترین واحدهای توسعه برنامه‌ها و اپلیکیشن‌ها در هر شرکت و کمپانی به این امر اختصاص داده می‌شود. ازاین‌رو شرکت‌ها و واحدهای فناوری قبل از عرضه محصولات خود بر بستر مجازی در یک محیط آزمایشگاهی تست‌های امنیتی را انجام می‌دهند که از بابت نفوذ هکرها و نشت اطلاعات و خارج ساختن کنترل اپلیکیشن جلوگیری به عمل آورند.

در این ویدئو به انواع خطرات و حملات سایبری گوناگون به کسب‌وکارها و شرکت‌هایی که بر بستر مجازی عمل می‌کنند اشاره شده است.

پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری
بازار تست امنیت و پاداش عیب‌یابی

ابتدای امر قصد داریم با نگاهی آماری به حوزه امنیت سایبری بپردازیم. گردش مالی بازار تست امنیتی نرم‌افزارها در سال ۲۰۲۰ چیزی در حدود ۶.۱ میلیارد دلار است و باتوجه‌به گسترش و توسعه روزافزون تمامی پلتفرم های نرم‌افزاری و به‌تبع آن امنیت این نرم‌افزارها، این‌چنین برآورد می‌شود که در سال ۲۰۲۵ حجم این بازار به ۱۶.۹ میلیارد دلار برسد.

پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری

جالب است بدانید در مقابل هزینه کرد سالی ۶.۱ میلیارد دلار برای تأمین امنیت پلتفرم های نرم‌افزاری، صدمه‌ای حدود ۶ تریلیون دلاری در اثر جرائم سایبری شامل هک و نفوذ و ... به صنعت فناوری اطلاعات تحمیل می‌شود[2]. بخش اعظمی از این جرائم سایبری به طور ویژه در حوزه نرم‌افزاری (حوزه سخت‌افزاری و زیرساخت به دلیل شرایط حفاظت فیزیکی کمتر مورد حملات نسبت به حوزه نرم‌افزاری قرار می‌گیرد) توسط هکرهای کلاه‌سیاه یا Black Hat Hackers انجام می‌شود. هکرهای کلاه‌سیاه در اصطلاح به هکرهایی گفته می‌شود که افعال مجرمانه و غیرقانونی مرتکب می‌شوند. جرایم آنها شامل سرقت اطلاعات سازمان‌ها، ورود به حریم شخصی افراد، صدمه زدن به سیستم‌های اطلاعاتی، قطع و اختلال در شبکه‌های ارتباطی و غیره می‌شود.

در مقابل این دسته از نفوذگران یا هکرها، دسته‌ای به نام هکرهای کلاه‌سفید وجود دارند که به آنها هکرهای اخلاقی یا هکر دوست نیز گفته می‌شود و دارای نیت بد نیستند و قصد ایجاد مشکل برای سیستم‌ها را ندارند. هکرهای کلاه‌سفید با مشخص نمودن آسیب‌پذیری‌های سیستم یا شبکه، سعی در کشف نقایص در جریان فعالیت‌هایی نظیر تست نفوذپذیری و یا ارزیابی امنیتی را دارند. بدین ترتیب این متخصصین خود را در جایگاه هکرهای بدخواه می‌گذارند و سعی می‌کنند قبل از آنکه سیستم به‌صورت واقعی مورد مخاطره قرار بگیرد، آسیب‌پذیری‌ها را یافته و به سازمان اعلام نمایند. هک اخلاقی غیرقانونی نمی‌باشد و به‌عنوان یکی از صدها عنوان شغلی موجود در صنعت فناوری اطلاعات محسوب می‌شود. بسیاری از افراد و شرکت‌ها خدمات مربوط به هک اخلاقی را در قالب تست نفوذپذیری و یا ارزیابی امنیتی ارائه می‌دهند.

این ویدئو پیرامون انواع هکرها توضیحاتی را ارائه می‌دهد.

 

پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری

طبق یک رویه مرسوم در میان شرکت‌های ارائه‌دهنده خدمات و محصولات نرم‌افزاری بزرگ مانند گوگل، اپل، مایکروسافت و ... چنانچه هر یک از هکرهای کلاه‌سفید بتواند ایراد و اشکالی و در اصطلاح تخصصی آن، یک باگ (Bug) را پیدا و به شرکت مربوطه اطلاع دهند، به‌ازای آن پاداشی را دریافت می‌کنند. در این باره آمارها نشان می‌دهد که هکرهای کلاه‌سفید در سال ۲۰۱۸ و ۲۰۱۹ به ترتیب چیزی حدود [3]۱۹ و [4]۴۰ میلیون دلار درآمد از این پاداش‌ها (Bounty) داشته‌اند.

پاداش عیب‌یابی یا Bug Bounty

حال که آمارها نشان از درآمد نسبتاً بالا در عیب‌یابی و اخذ پاداشِ آن از شرکت مربوطه دارد، باید گفت که متخصصین امور امنیت سایبری که در ارگان یا سرویس‌های دولتی و قانونی‌ای به خدمت گرفته نشده‌اند، عیب‌یابی و دریافت پاداش را به‌نوعی تنها راه برای کسب درآمد از حرفه و تخصص خود می‌دانند. ازاین‌رو اصطلاح باگ باونتی (Bug Bounty) اصطلاحی رایج در فضای امنیت سایبری و نرم‌افزاری شده که هم روش درآمد هکرها است و هم روشی بسیار ارزان و مناسب برای کمپانی‌ها برای ارزیابی و عیب‌یابی محصولاتشان. گزارش‌های جدید خبر از رشد و ثبات درآمدی و عملکردی باگ باونتی دارد به‌نحوی‌که در ژوئن ۲۰۲۰ رشد ۶۹ درصدی باگ باونتی را نسبت به بازه مشابه در سال ۲۰۱۹ شاهد بوده‌ایم.

 

پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری

طرح‌های تشویقی باگ باونتی به دلیل گزارش باگ‌ها، به‌خصوص باگ‌هایی که باعث سو استفاده و آسیب‌پذیری می‌شوند، موردتوجه بسیاری از وب سایت‌ها و توسعه دهندگان نرم‌افزاری قرار گرفته است. این طرح‌ها به توسعه دهندگان اجازه می‌دهند که باگ‌ها را قبل از اینکه عموم مردم از آن‌ها مطلع شوند کشف کنند، و مانع از حوادثی چون سو استفاده گسترده شوند. طرح‌های باگ باونتی توسط تعداد زیادی از سازمان‌ها، از جمله Mozilla، Facebook، Yahoo، Google، Reddit، Square و Microsoft اجرا می‌شوند؛ حتی شرکت‌های صنعتی که با تکنولوژی سروکار چندانی ندارند. از جمله سازمان‌هایی که برای اولین‌بار استفاده از باگ باونتی را آغاز کرد، وزارت دفاع امریکا است.

پنتاگون و چندین آژانس دولتی آمریکا از طرح‌های تشویقی باگ باونتی استفاده می‌کنند که در این طرح‌ها از هکرهای کلاه‌سفید (در زمینه امنیت کامپیوتری) دعوت می‌شود تا در افشای آسیب‌پذیری‌های امنیتی مشارکت کنند.

پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری

هکروان (Hackerone) بزرگ‌ترین سرویس باگ باونتی

در سال ۲۰۱۲ اولین و بزرگ‌ترین سرویس ارائه‌دهنده خدمات امنیتی به‌صورت باگ باونتی به نام هکروان به آدرس اینترنتی www.hackerone.com تأسیس شد. هکر وان در کنار ارائه سرویس‌های امنیتی و دوره‌های آموزشی به دانشگاه‌ها از جمله دانشگاه UC Berkeley بستری را برای شرکت‌ها و سازمان‌ها فراهم کرده که سیستم‌ها و سامانه‌های اینترنتی خود را بدون محدودیت‌های جغرافیایی در معرض مسابقات کشف باگ و تست بهترین متخصصین نفوذ از سراسر دنیا قرار دهند. دراین‌بین هکروان به طور سالانه گزارش‌های جامعی را در بخش‌های مختلف تهیه می‌نماید که حاوی مطالب بسیار مفید و آموزنده‌ای است که آگاهی از آنها برای هر فعال امنیت سایبری مفید خواهد بود و گستردگی و ابعاد مختلف این مسابقات را تبیین می‌کند.

در واقع امروزه هکروان به علت ارائه خدمات صفر تا صدی به هکرها و متخصصینی که در آن عضو هستند، تبدیل به دروازه ورود هکرها به زمینه باگ باونتی شده است. از نگاه مجله FastCompany، هکروان به‌عنوان پنجمین شرکت نوآوری جهان انتخاب شده است. این مجله در این باره می‌گوید:

«وقتی شرکت Capital One از کشف نقص داده در جولای ۲۰۱۹ باخبر شد که می‌توانست منجر به افشای اطلاعات بیش از ۱۰۰ میلیون کارت اعتباری و حساب کاربری این شرکت شود، یکی از هکرهای شرکت هکروان این نقض و باگ را کشف کرد. هکروان شرکتی است که به آژانس‌های تجاری و دولتی دسترسی داشته و شبکه‌ای متشکل از ۶۰۰ هزار هکر دارد. وظیفه اصلی این هکرها ارزیابی و آزمایش سیستم‌های این شرکت‌ها و ارگان‌ها (دولتی و خصوصی و بعضاً نظامی) است و در ازای یافتن نقص‌ها و رسوخ‌های امنیتی، مبالغی را دریافت می‌کنند، مبالغی که گاهاً برخی از هکرها را میلیونر می‌کند.»


پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری

علاوه بر این، هکروان به طور سالیانه گزارش‌های و راهنمایی‌هایی پیرامون جوانب مختلف امنیت سایبری و ... منتشر می‌کند که برای همه متخصصین امنیتی به‌عنوان یک مرجع و پایگاه استنادی معتبر و کاربردی شناخته می‌شود. راهنمایی‌هایی شامل معرفی مراحل عضو شدن و آشنا شدن با باگ باونتی که برای تازه کاران این مسیر بسیار مفید است.

پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری

طبق آخرین گزارش سالیانه هکروان:

  • این شرکت بیش از ۸۳۰ هزار هکر دارد
  • بیش از ۱۸۱ هزار آسیب‌پذیری را برطرف کرده
  • بیش از ۱۰۷ میلیون دلار به‌عنوان باگ باونتی پرداخت کرده
  • بیش از ۳۷ هزار گزارش و مشکل را برطرف ساخته.

 

نتیجه گیری

البته امروزه سرویس دهندگان دیگری در حوزه باگ باونتی وجود دارند که به‌صورت تخصصی به پلتفرم ها می‌پردازند؛ مانند پلتفرم های گوشی‌های تلفن همراه، اینترنت و غیره که ما در نوشتار به معروف‌ترین و پرکاربردترین آن پرداختیم.

دانش ورود به این حیطه از امنیت سایبری که همان‌طور که گفته شد تبدیل به یک شغل تثبیت شده و پردرآمد شده، حول آشنایی و فراگیری زبان‌های تحت وب نظیر java script و HTML و ... است. همچنین تسلط به اصول امنیت شبکه شامل زیرساخت‌ها و پروتکل‌ها و حملات امنیتی و مکانیسم‌های آنها مثل حملات فیشینگ (Phishing)، انکار سرویس (DoS) و ... از مقدمات و پایه‌های ورود به این زمینه است. بعد از فراگیری این دانش‌های پایه نیاز به فراگیری ابزارهای این زمینه است که غالباً نرم‌افزارهای رایگان و متن‌باز (Open Source) هستند، نرم‌افزارهایی نظیر BurpSuite، OWASP ZAP، Aqua Tone. اما مسئله بسیار مهم ایجاد، رشد و توسعه این رویکرد خاص از تأمین امنیت سایبری است؛ هکروان نام این سیستم تأمین امنیت را رویکرد Hacker-Powerd می‌گذارد و در توصیف آن می‌گوید: «تمام تکنیک‌های منحصربه‌فردی که جامعه هکرهای خارج از آن سیستم برای یافتن آسیب‌پذیری‌های امنیتی ناشناخته به‌منظور کاهش خطرات سایبری انجام می‌دهند.»


پرونده - رویکرد Bug Bounty و افزایش امنیت سایبری
این نوع از امنیت که مبتنی بر هکرها است به‌وضوح نشان داده که بسیار کاراتر و هزینه‌های آن به‌مراتب بسیار کمتر است و علاوه بر افزایش امنیت و کاهش خطرات سایبری، منجر به ایجاد اشتغال در جامعه مهندسان امنیت سایبری و جلوگیری از سوق دادن آنها به ارتکاب اعمال مجرمانه می‌شود. ازاین‌رو لازم است مسئولان حوزه فناوری اطلاعات و امنیت سایبری کشور نسبت به ایجاد ساختار تأمین امنیت سایبری مردم پایه اقدام کنند؛ مقوله‌ای که اگر چنانچه کوتاهی و قصوری در آن صورت بپذیرد، آسیب‌های جبران‌ناپذیری به کشور وارد می‌شود.

 

______________________________

منابع:

 

https://www.marketsandmarkets.com/Market-Reports/security-testing-market-۱۵۰۴۰۷۲۶۱.html

https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-۲۰۱۶/

https://hostingtribunal.com/blog/hacking-statistics/

https://thenextweb.com/security/۲۰۲۰/۰۲/۲۵/hacker-bug-bounty/

https://www.scmagazine.com/home/security-news/vulnerabilities/new-report-suggests-the-bug-bounty-business-is-recession-proof/

https://www.hackerone.com/

http://www.securityweek.com/mozilla-revamps-bug-bounty-program

https://www.google.com/about/appsecurity/reward-program/

https://www.xda-developers.com/microsoft-windows-bug-bounty/

https://www.wired.com/story/hack-the-pentagon-bug-bounty-results/

https://www.justice.gov/criminal-ccips

https://b۲n.ir/۱۹۶۸۳۳

https://www.fastcompany.com/۹۰۴۵۷۵۲۸/hacker-one-most-innovative-companies-۲۰۲۰