ادوبی با رونمایی از مولد ویدیو وارد رقابت با اوپنایآی و متا شد
شرکت ادوبی با رونمایی از ابزارهای هوش مصنوعی جدیدی که امکان ساخت و اصلاح محتوای…
۲۳ مهر ۱۴۰۳
۲۱ شهریور ۱۴۰۰
زمان مطالعه : ۴ دقیقه
تاریخ بهروزرسانی: ۱۷ آبان ۱۴۰۰
۱۸۰ هزار حفره امنیتی تا به امروز با همکاری هکرها در فرآیند باگبانتی کشف و گزارش شدهاند. اگر این اتفاق نمیافتاد، ممکن بود الان به جای این خبر، خبر هکهای صورتگرفته ازطریق آنها را بخوانید.
به گزارش روابط عمومی راورو، ۱۸۰ هزار حفره امنیتی تا به حال با همکاری هکرها در فرآیند باگبانتی کشف و گزارش شدهاند. این آمار فقط مربوط به یکی از پلتفرمهای باگبانتی جهانی است. برای لحظهای تصور کنید که اگر این ۱۸۰ هزار حفره امنیتی، کشف و گزارش نمیشدند، چه اتفاقهایی ممکن بود هر یک از کسبوکارهای مربوط به این حفرههای امنیتی را تهدید کنند؟ این عدد به تنهایی بیان میکند که همکاری هکرها تا چهاندازه میتواند در ارتقای امنیت سایبری سامانه کسبوکارها موثر باشد. همچنین در این گزارش آمده است که کسبوکارهای جهان، تابهحال ۱۰۰ میلیون دلار صرف باگبانتی کردهاند تا گزارشهای آسیبپذیری سامانههایشان را دریافت کنند و امنتر شوند.
باگبانتی (BugBounty) راهکاری برای ارتقای امنیت، و نسل جدیدی از روش آشنای تست نفوذ (Penetration Test) است. نام «باگبانتی» تلفیقی از دو کلمهی باگ (Bug) و بانتی (Bounty) ست و در زبان فارسی میتوان آن را فرآیند «پرداخت پاداش در ازای آسیبپذیری (باگ)های گزارششده» دانست. یک پلتفرم باگبانتی پلی میان نیاز کسبوکارهای آنلاین به آگاهی از آسیبپذیریهای سامانهی خود و تخصص و توانایی هکرهای کلاهسفید است. در باگبانتی کسبوکار، تمایل خود را به پرداخت پاداش در ازای دریافت گزارش از حفرههای امنیتی سامانه خود، اعلام میکند. سپس جمعی از هکرهای کلاهسفید، متخصصان امنیتی و شکارچیان آسیبپذیری، هر یک از دیدگاه خود به ارزیابی امنیتی سامانهی کسبوکار میپردازند. این افراد از دانش هک و تجربههای خود در جهت کشف آسیبپذیریها، باگها و حفرههای امنیتی، بهره میگیرند و آسیبپذیریهای کشفشده را در چارچوبی قانونی به کسبوکار گزارش میدهند. کسبوکار نیز در ازای هر گزارش آسیبپذیری که دریافت میکند پاداش میپردازد.
روزبهروز به طرفداران باگبانتی در جهان افزوده میشود. کسبوکارهای آنلاین کوچک، بزرگ و پیشروان تکنولوژی نیز باگبانتی را راهحل کارآمدی دانستهاند و برای ارتقای امنیت خود از آن کمک گرفتهاند. غول فناوری جهان، گوگل، ۱۲ سالی ست که بهطور مستمر در برنامههای باگبانتی حضور دارد. این شرکت در ۱۰ سال گذشته، ۳۰ میلیون دلار در ازای آسیبپذیریهایی که توسط ۲ هزار متخصص امنیتی روی برنامههای آن کشف شدهاند، پاداش (Bounty) داده است و همچنان نیز حضور مستمری در برنامه باگبانتی دارد. اسپاتیفای نیز از سال ۲۰۱۷ به باگبانتی پیوسته است و تا کنون بالغ بر ۳۱۰ هزار دلار در برنامه باگبانتی خود پاداش (Bounty) داده است.
اما بقیه روشهای ارتقای امنیت چه میشود؟ امنیت یک کالا نیست و تنها با انجام یکی از اقدامهای امنیتی نظیر ردتیم، تست نفوذ یا … کسبوکار مهیا و محقق نمیشود. امنیت تنها در باگبانتی، تست نفوذ، تیم قرمز، خرید تجهیزات گران قیمت و … خلاصه نمیشود. تمامی راهکارهای نامبرده شده در ارتقا امنیت موثر هستند، اما کافی نه. باگبانتی راهکاریست که در آن با بهرهگیری از خردجمعی، بسیاری از باگها و حفرههای امنیتی کسبوکارها کشف میشوند. این گونه بسیاری از نقاط آسیبپذیر سامانه که میتوانستند نقطه نفوذ بیگانگان باشند، رفع میشوند و به این ترتیب امنیت بیشتری برای کسبوکارها فراهم میشود.
راه حل نوآورانه باگبانتی در ایران نیز در حال رشد است. پلتفرم باگبانتی راورو، یکی از ارائهدهندگان این خدمت در کشور است. کسبوکارهایی نظیر فلایتیو، رایتل، شاتل، جیبرس، ابرآروان، نماوا، تسکولو، تپسی، آیدیپی و … نیز از پیشقدمان در بهکارگیری این روش ارتقای امنیت هستند و به پلتفرم باگبانتی راورو پیوستهاند تا با بهرهگیری از تخصص شکارچیان آسیبپذیری، امنیت سامانههای خود را افزایش دهند.
پلتفرم باگبانتی راورو با حمایت معاونت علمی و فناوری ریاست جمهوری، برای شرکتهای دانشبنیان خدمات باگبانتی عرضه میکند. این پلتفرم با همکاری بیش از ۸۰۰ شکارچی آسیبپذیری به ارتقا امنیت کسبوکارها کمک میکند.
افزایش گستره افراد مشارکتکننده در کنار کاهش و بهینهسازی هزینهها دو ویژگی بهبودیافته در نسل جدید تست نفوذ است. همچنین کشف آسیبپذیریهای بیشتر در مدت زمان کوتاهتر از دیگر مزیتهای مهم باگبانتی نسبت به تست نفوذ است. باگبانتی با جمعی نامحدود به کشف حفرههای امنیتی سامانه میپردازند.
تفاوت در هزینه: در تست نفوذ از ابتدای کار، هزینه ثابتی برای کل فرآیند پروژه فارغ از نتیجه درنظر گرفته میشود.
در باگبانتی، مطابق با مدل پرداختی Pay Per Use، کسبوکارها تنها هزینهی آسیبپذیریهای کشفشده را میپردازند.
تفاوت در تعداد دفعات انجام فرآیند: در تست نفوذ، فرآیند ارزیابی امنیتی معمولا یک دور انجام میشود و اغلب در انتهای زمان پروژه نتیجه اعلام میشود.
در باگبانتی، هر متخصص مشارکتکننده به صورت مجزا فرآیند کشف آسیبپذیری را طی میکند و این به این معناست که بررسی آسیبپذیربودن نقاط سامانهی کسبوکار به تعداد افراد مشارکتکننده تکرار میشود. متخصصان به محض کشف آسیبپذیری نیز گزارش آن را به کسبوکار ارائه میدهند.
تفاوت در سرعت اطلاعرسانی آسیبپذیری: در تست نفوذ، اغلب در انتهای زمان پروژه نتیجه اعلام میشود.
در باگبانتی، متخصصان به محض کشف آسیبپذیری نیز گزارش آن را به کسبوکار ارائه میدهند.