ساختار پلتفرم‌های باگ بانتی مثل یک کوه یخ است: برنامه‌های باگ بانتی عمومی که دیده می‌شوند فقط بخش کوچکی از این کوه یخ هستند. باگ بانتی اختصاصی با روشهای مختلف در پذیرش و دعوت از متخصصین امنیتی، روی دیگر پلتفرم باگ بانتی می‌باشد.

باگدشت در این صفحه به بررسی باگ بانتی خصوصی یا VIP پرداخته است. امیدواریم اطلاعات لازم را بدست بیاورید.

در سال‌های اخیر رشد روش‌های خلاقانه دسترسی و نفوذ به اطلاعات محرمانه سازمان‌ها و کاربران باعث رشد میزان استفاده از پتانسیل خردجمعی و ایجاد پلتفرم‌های باگ بانتی شده است. همانطور که در مطلب قبل ارایه شد، تاریخچه ایجاد باگ بانتی به سال ۱۹۸۳ باز می‌گردد و پس از سال ۲۰۱۰ ترند این فناوری بسیار چشمگیر شده است. پلتفرم‌های باگ بانتی دسترسی وسیع‌تری به متخصصان امنیتی دارند و از این رو نسبت به شرکت‌های امنیتی سایبری بزرگ استعدادهای بیشتری را می‌توانند دورهم جمع کنند. اجرای باگ بانتی‌ها روش‌های متفاوتی را دارند و بر اساس نیازمندی‌های سازمان‌ها طراحی شده‌اند. از انواع باگ بانتی‌ها می توان به باگ بانتی عمومی، باگ بانتی اختصاصی اشاره نمود.

باگ بانتی عمومی به معنای این است که مسابقه برای تمامی متخصصین امنیتی پلتفرم قابل مشاهده می‌باشد و می‌توانند شانس خود را برای دریافت بانتی امتحان کنند. ایجاد بانتی برای سامانه تحت ارزیابی باگ بانتی توسط تمامی متخصصین امنیتی پلتفرم قابل مشاهده بوده و افراد می‌توانند گزارشات امنیتی خود را از طریق پلتفرم ارسال نمایند.

در باگ بانتی خصوصی، دسترسی محدود به مسابقه بانتی ایجاد می‌شود و متخصصین امنیتی با دعوتنامه برای بررسی مشکلات سامانه پذیرش می‌شوند. مشاهده شرایط بانتی و ارسال گزارش تنها برای برخی از متخصصین امنیتی قابل مشاهده می‌باشد که شرایط خاصی مانند سطح امتیاز، تخصص، مصاحبه و یا آیتم‌های دیگر را در نظر دارند.

 ساختار پلتفرم‌های باگ بانتی مثل یک کوه یخ هستند: برنامه‌های باگ بانتی عمومی که دیده می‌شوند فقط بخش کوچکی از این کوه یخ هستند. هنگامی‌که فردی در برنامه‌های باگ بانتی عمومی شرکت می‌کند و دارای سابقه و یا عملکرد خوبی می‌شود، به برنامه باگ بانتی VIP یا اختصاصی دعوت می‌شوند. در برنامه‌های باگ بانتی VIP شما اجازه مطرح کردن عمومی باگ‌ها را ندارید و در حقیقت اصلا در مورد وجود این برنامه نباید به شکل علنی اعلام صورت گیرد.

باگ بانتی VIP، مداوم و درخواست شده به شدت در میان شرکت‌ها برای ایمن‌سازی محصولات خود رایج است و می‌توانند برای بررسی امنیتی زیرمجموعه‌های خود با استفاده از حمله از سطح نیاز‌های سازمان‌های زیرمجموعه خود بررسی کرده و برنامه متناسب با نیاز زیرمجموعه، برنامه باگ بانتی متناسب را درخواست ‌کنند.

در برنامه باگ بانتی VIP برخلاف باگ بانتی عمومی، پلتفرم باگ بانتی تضمین می‌کند که فقط باگ امنیتی با اهمیت به شرکت گزارش شود. مزیت بعدی باگ بانتی VIP برای سازمان‌ها، تعامل و آموزش به توسعه دهنگان در مورد برنامه نویسی امن و ایمن سازی است و از طریق تشکیل کمیته مشترک باگ بانتی و سازمان، می‌توانند ساختار کد محصول بررسی شود و متدهای برنامه‌نویسی بر اساس برنامه‌نویسی امن تنظیم می‌شوند.

بر اساس گزارش باگ بانتی‌های مطرح دنیا مانند HackerOne و BugCrowd، رشد اجرای باگ بانتی خصوصی در سال‌های اخیر بسیار چشمگیر بوده است و به دلیل استفاده سازمان از مزیت‌های این اجتماع بنابر شرایط و خط مشی‌های داخلی خود، بسیاری از سازمان‌های بزرگ با همکاری پلتفرم‌های باگ بانتی اجرای اختصاصی آن را انجام می‌دهند. در نمودار زیر میزان رشد باگ بانتی‌های خصوصی را در گزارش BugCrowd مشاهده می‌نمایید.

نمودار مقایسه تعداد باگ‌بانتی عمومی و خصوصی
نمودار مقایسه تعداد باگ‌بانتی عمومی و خصوصی

بر اساس آخرین گزارش HackerOne، در سال گذشته بیش از ۷۹ درصد از باگ بانتی‌ها بصورت اختصاصی برگزار گردید. که منجربه افزایش کیفیت گزارشات باگ و کاهش میزان نویز گزارشات به معنای عدم تطابق گزارش با اهداف سازمان گردید. هنگامی که سازمان بصورت اختصاصی به شناسایی باگ می‌پردازد، تیم امنیت سازمان می‌تواند با افراد شناخته شده به بررسی مشکلات امنیتی بپردازد و در مرحله اول میزان اعتماد بیشتری را جلب نماید.

بر اساس گزارش Synack رویکرد ارزیابی امنیتی از حالت سنتی مبتنی بر آسیب‌پذیری‌ها به استفاده از تخصص و خلاقیت تعداد بالای متخصصین امنیتی تغییر یافته است. این باگ بانتی بصورت مشترک با مراکز نظامی امریکا، به برگزاری باگ بانتی از افراد متخصص امنیتی با استفاده از دعوتنامه می پردازد.

برنامه باگ بانتی VIP را می‌توان برای هر سازمانی در هر سطح گستردگی پیاده سازی کرد. از این طریق می‌توانند با استفاده از یک جمع محدود متخصص و متعهد از افراد با استعداد قبل از اینکه محصولات را منتشر کنند، تست‌های امنیتی را از طریق باگ بانتی VIP اجرا کنند.

منابع:

  1. Hacker one
  2. Dark reading