ساختار پلتفرمهای باگ بانتی مثل یک کوه یخ است: برنامههای باگ بانتی عمومی که دیده میشوند فقط بخش کوچکی از این کوه یخ هستند. باگ بانتی اختصاصی با روشهای مختلف در پذیرش و دعوت از متخصصین امنیتی، روی دیگر پلتفرم باگ بانتی میباشد.
باگدشت در این صفحه به بررسی باگ بانتی خصوصی یا VIP پرداخته است. امیدواریم اطلاعات لازم را بدست بیاورید.
در سالهای اخیر رشد روشهای خلاقانه دسترسی و نفوذ به اطلاعات محرمانه سازمانها و کاربران باعث رشد میزان استفاده از پتانسیل خردجمعی و ایجاد پلتفرمهای باگ بانتی شده است. همانطور که در مطلب قبل ارایه شد، تاریخچه ایجاد باگ بانتی به سال ۱۹۸۳ باز میگردد و پس از سال ۲۰۱۰ ترند این فناوری بسیار چشمگیر شده است. پلتفرمهای باگ بانتی دسترسی وسیعتری به متخصصان امنیتی دارند و از این رو نسبت به شرکتهای امنیتی سایبری بزرگ استعدادهای بیشتری را میتوانند دورهم جمع کنند. اجرای باگ بانتیها روشهای متفاوتی را دارند و بر اساس نیازمندیهای سازمانها طراحی شدهاند. از انواع باگ بانتیها می توان به باگ بانتی عمومی، باگ بانتی اختصاصی اشاره نمود.
باگ بانتی عمومی به معنای این است که مسابقه برای تمامی متخصصین امنیتی پلتفرم قابل مشاهده میباشد و میتوانند شانس خود را برای دریافت بانتی امتحان کنند. ایجاد بانتی برای سامانه تحت ارزیابی باگ بانتی توسط تمامی متخصصین امنیتی پلتفرم قابل مشاهده بوده و افراد میتوانند گزارشات امنیتی خود را از طریق پلتفرم ارسال نمایند.
در باگ بانتی خصوصی، دسترسی محدود به مسابقه بانتی ایجاد میشود و متخصصین امنیتی با دعوتنامه برای بررسی مشکلات سامانه پذیرش میشوند. مشاهده شرایط بانتی و ارسال گزارش تنها برای برخی از متخصصین امنیتی قابل مشاهده میباشد که شرایط خاصی مانند سطح امتیاز، تخصص، مصاحبه و یا آیتمهای دیگر را در نظر دارند.
ساختار پلتفرمهای باگ بانتی مثل یک کوه یخ هستند: برنامههای باگ بانتی عمومی که دیده میشوند فقط بخش کوچکی از این کوه یخ هستند. هنگامیکه فردی در برنامههای باگ بانتی عمومی شرکت میکند و دارای سابقه و یا عملکرد خوبی میشود، به برنامه باگ بانتی VIP یا اختصاصی دعوت میشوند. در برنامههای باگ بانتی VIP شما اجازه مطرح کردن عمومی باگها را ندارید و در حقیقت اصلا در مورد وجود این برنامه نباید به شکل علنی اعلام صورت گیرد.
باگ بانتی VIP، مداوم و درخواست شده به شدت در میان شرکتها برای ایمنسازی محصولات خود رایج است و میتوانند برای بررسی امنیتی زیرمجموعههای خود با استفاده از حمله از سطح نیازهای سازمانهای زیرمجموعه خود بررسی کرده و برنامه متناسب با نیاز زیرمجموعه، برنامه باگ بانتی متناسب را درخواست کنند.
در برنامه باگ بانتی VIP برخلاف باگ بانتی عمومی، پلتفرم باگ بانتی تضمین میکند که فقط باگ امنیتی با اهمیت به شرکت گزارش شود. مزیت بعدی باگ بانتی VIP برای سازمانها، تعامل و آموزش به توسعه دهنگان در مورد برنامه نویسی امن و ایمن سازی است و از طریق تشکیل کمیته مشترک باگ بانتی و سازمان، میتوانند ساختار کد محصول بررسی شود و متدهای برنامهنویسی بر اساس برنامهنویسی امن تنظیم میشوند.
بر اساس گزارش باگ بانتیهای مطرح دنیا مانند HackerOne و BugCrowd، رشد اجرای باگ بانتی خصوصی در سالهای اخیر بسیار چشمگیر بوده است و به دلیل استفاده سازمان از مزیتهای این اجتماع بنابر شرایط و خط مشیهای داخلی خود، بسیاری از سازمانهای بزرگ با همکاری پلتفرمهای باگ بانتی اجرای اختصاصی آن را انجام میدهند. در نمودار زیر میزان رشد باگ بانتیهای خصوصی را در گزارش BugCrowd مشاهده مینمایید.
بر اساس آخرین گزارش HackerOne، در سال گذشته بیش از ۷۹ درصد از باگ بانتیها بصورت اختصاصی برگزار گردید. که منجربه افزایش کیفیت گزارشات باگ و کاهش میزان نویز گزارشات به معنای عدم تطابق گزارش با اهداف سازمان گردید. هنگامی که سازمان بصورت اختصاصی به شناسایی باگ میپردازد، تیم امنیت سازمان میتواند با افراد شناخته شده به بررسی مشکلات امنیتی بپردازد و در مرحله اول میزان اعتماد بیشتری را جلب نماید.
بر اساس گزارش Synack رویکرد ارزیابی امنیتی از حالت سنتی مبتنی بر آسیبپذیریها به استفاده از تخصص و خلاقیت تعداد بالای متخصصین امنیتی تغییر یافته است. این باگ بانتی بصورت مشترک با مراکز نظامی امریکا، به برگزاری باگ بانتی از افراد متخصص امنیتی با استفاده از دعوتنامه می پردازد.
برنامه باگ بانتی VIP را میتوان برای هر سازمانی در هر سطح گستردگی پیاده سازی کرد. از این طریق میتوانند با استفاده از یک جمع محدود متخصص و متعهد از افراد با استعداد قبل از اینکه محصولات را منتشر کنند، تستهای امنیتی را از طریق باگ بانتی VIP اجرا کنند.
