آشنایی با دو روش ارزیابی امنیتی، تست نفوذ و باگ بانتی

شهریور ۵, ۱۳۹۹

با گسترش اینترنت و راه افتادن تعداد زیادی کسب و کار در فضای اینترنت و همچنین به دلیل همه‌گیری کووید ۱۹ و دورکاری کارمندان شرکت‌ها، در این دوران امنیت سایبری بیش از پیش اهمیت پیدا کرده است.

شرکت‌ها راه‌های زیادی برای امن کردن سامانه‌ها و سرویس‌های خود دارند مانند تحلیل کد، ارزیابی انطباق، ارزیابی آسیب‌پذیری، تست‌نفوذ و باگ بانتی . فرایند امنیت، یک فرایند مداوم و بدون وقفه است.

استانداردی برای اجرای فرایند امنیت تعریف شده است که با نام ۲۰ کنترل امنیت CIS شناخته می‌شود و برنامه تست نفوذ و برنامه باگ بانتی در حلقه آخر این ۲۰ مرحله قرار دارد. زمانی باید برنامه باگ بانتی یا تست نفوذ انجام شود که که سازمان و یا شرکت مراحل Basic که شامل شش کنترل امنیتی پایه است و Foundational که مزیت‌های CIS را واضح می‌کند، طی کرده باشد. سپس می‌تواند به مرحله پیاده سازی Organization از فرایندهای CIS برسد که این مرحله به نام Penetration Tests and Red Team Exercises شناخته می‌شود و هدف آن اجرای تست نفوذ و برگزاری باگ بانتی است. برای جزئیات بیشتر در مورد CIS control می توانید به پستی با همین عنوان در وبلاگ باگدشت مراجعه کنید.

روش سنتی تست نفوذ و روش مدرن برنامه‌های باگ بانتی از رایج‌ترین روش‌های ایمن‌سازی سیستم‌های سازمان‌ است. از یک سو تست نفوذ راهی برای به چالش کشیدن امنیت سرویس یا محصول سازمان است و شرکت ارائه دهنده محصول یا سرویس با یک شرکت متخصص در زمینه تست نفوذ قرارداد تست نفوذ می‌بندد و شرکت امنیتی شروع به بررسی امنیت محصول یا سرویس مورد نظر می‌کند. از سوی دیگر پلتفرم‌های باگ بانتی به شرکت‌ها و سازمان‌ها فرصت همکاری با هکرهای مستقل را می‌دهد.

اولین پلتفرم باگ بانتی در آمریکا شکل گرفت و در ادامه در اروپا گسترش پیدا کرد. در ایران هم به دلیل گسترش کسب و کارهای اینترنتی، نیاز به ایمن سازی بیش از پیش احساس می‌شود و در همین راستا پلتفرم باگدشت از سال ۱۳۹۷ با هدف امن سازی فضا‌ی کسب و کار اینترنتی کشور فعالیت خود را شروع کرد.

سوال اصلی اینجا مطرح می‌شود که کدام روش برای بررسی امنیت چه از نظر هزینه و چه از نظر زمانی برای سازمان‌ها به صرفه‌تر است. هر دو روش تست نفوذ و برنامه باگ بانتی راهی مطمئن در امن سازی سیستم‌ها و سامانه‌های سازمان‌ها و شرکت‌ها است ولی عدم امکان کنترل خروجی توسط کارفرما در قراردادها و تست توسط تعداد محدودی از افراد متخصص در تست نفوذ، دلیل اصلی تولد باگ بانتی است.

تست نفوذ:

زمانی که یک شرکت تصمیم به اجرای برنامه تست نفوذ می‌گیرد، در اصل به سراغ یک ساختار ثابت برای بررسی امنیت شبکه‌های کامپیوتری خود رفته است. شرکت‌های تست نفوذ با ایجاد یک ‌تیم متخصص متشکل از افراد با تجربه در تست نفوذ، این عملیات را انجام می‌دهند.

هدف شرکت اجرا کننده پیدا کردن تمام آسیب‌پذیری‌های احتمالی منطبق بر استاندارد است و طبق مفاد قرار داد بین دو شرکت دارای یک آغاز و پایان ثابت با بودجه مشخص است. این قرارداد بنا به نیاز شرکت می‌تواند زمان و بودجه متغییر داشته باشد. همچنین قرارداد تست نفوذ بیشتر به طول زمان صرف شده توسط تیم متخصص بستگی دارد و کیفیت باگ و آسیب‌پذیری‌های پیدا شده در درجه بعدی قرار می‌گیرند.

باگ بانتی:

برخلاف برنامه تست نفوذ، پتلفرم‌های باگ بانتی به ازای هر باگی که قابل اکسپلویت باشد هزینه پرداخت می‌کنند. درنتیجه شرکت کارفرما فقط به باگ‌هایی پول پرداخت می‌کند که برای او دارای اهمیت و اولویت کسب و کار است و باعث آسیب‌زدن به سرویس‌ها یا نرم‌افزار‌های آن شرکت شود. در فرایند بررسی باگ، متخصص امنیت سامانه تجاری شده را مستمر تست می‌کند و درگیر مسائل دیگر نمی‌شود. پلتفرم باگ بانتی با تشکیل یک تیم تریاژ متشکل از متخصص‌های با تجربه، مسئولیت داوری باگ‌ها را به عهده می‌گیرند. همچنین تعداد متخصصانی که در برنامه باگ بانتی شرکت می‌کنند بنابر کیفیت حرفه‌ای پلتفرم باگ بانتی، بسیار بیشتر از تعداد متخصصان در برنامه تست نفوذ است. به علاوه طیف تجربیات و مهارت متخصصان بسیار متنوع است.

روند برنامه‌های تست نفوذ:

برای اجرای برنامه تست نفوذ قراردادی بین شرکت درخواست کننده و شرکت امنیتی بسته می‌شود. شرکت امنیتی اجرا کننده متعهد به به افشا نشدن اطلاعات محرمانه و آسیب ندیدن محصول و یا سرویس در طول تست می‌شود و همچنین کیفیت ارزیابی خود را تضمین می‌کند. در تست نفوذ، کارفرما از حملاتی که انجام می‌شود و مراحل تست اطلاع دارد. در این شیوه ایمن سازی، کارفرما می‌تواند درخواست یک سری محدودیت در اجرا یا تمرکز بر بخش‌های خاصی از محصول یا سرویس را داشته باشد. کارفرما می‌تواند ارتباط مستقیم با تیم متخصص داشته باشد. اگر شرکتی دنبال سرویس ایمن سازی مطابق با زمینه کسب و کار خود باشد برنامه تست نفوذ انتخاب مناسبی برای شرکت درخواست کننده ایمن‌سازی است.

روند برنامه‌های باگ بانتی:

مزیت اصلی باگ بانتی، تست مداوم محصول یا سرویس هدف توسط طیف بزرگی از متخصصان امنیتی است و در این برنامه شرکت بابت ارزش باگ پول پرداخت می‌کند و نه زمان طی شده در برنامه. برنامه باگ بانتی برای شرکت‌هایی مناسب است که از امنیت محصول یا سرویس خود اطمینان بالاتری دارند و خواستار ارتقا سطح امنیتی محصول خود از طریق اجرای برنامه باگ بانتی هستند. همچنین سازمانهایی که دارای محرمانگی اطلاعات بالاتری می‌باشند و یا درخواست اجرای باگ بانتی بصورت اختصاصی دارند نیز می‌توانند از مزایای تست توسط باگ بانتی بهره مند شوند.

در باگ بانتی هدف تعریف می‌شود و متخصص امنیت بعد از یافتن باگ، فرایند اثبات اکسپلویت آسیب‌پذیری را انجام می‌دهد که به آن POC(Proof Of Concept) گفته می‌شود. متخصص امنیت باگ پیدا شده را به پلتفرم باگ بانتی می‌فرستد. تیم تریاژ پلتفرم باگ بانتی بعد از بررسی POC و تعیین ارزش باگ، مستندات را به شرکت طرف قرارداد می‌دهد و این شرکت مبلغ تعیین شده توسط پلتفرم باگ بانتی را به متخصص امنیت پرداخت می‌کند. عموما در برنامه‌های باگ بانتی، باگ‌هایی پیدا می‌شود که از دید متخصصین امنیت در برنامه تست نفوذ مخفی مانده است.

برای بسیاری از سازمان‌ها، اجرای تست امنیتی دارای چالش‌های بسیاری است. هزینه شناسایی، گردآوری و مدیریت و استخدام و نگهداری کارشناسان متخصص امنیتی بسیار پرهزینه و زمان‌بر است. فرآیندهای پیچیده قراردادی و روال‌های اداری بسیار برای اجرای پروژه‌های ارزیابی امنیتی، به روز نبودن تیم داخلی نسبت به آخرین دانش و تهدیدات به دلیل بوروکراسی‌های سازمانی مهمترین چالش‌های اجرای ارزیابی به روش سنتی است.

این تصور که تست نفوذ، باگ بانتی و ارزیابی امنیتی داخلی در مقابل هم قرار می گیرند اشتباه است. هیچ کدام از آن‌ها به تنهایی نمی‌توانند تمامی آسیب‌پذیری‌های سیستم را شناسایی کنند. در واقع، قبل از اینکه یک سامانه تجاری سازی شود و یا پس از تغییرات اساسی در خدمات، پیشنهاد می‌شود که ارزیابی امنیتی توسط تیم داخلی و همچنین تست نفوذ دقیق بصورت جعبه سفید صورت می‌پذیرد و پس از آن برای شناسایی مشکلات حیاتی مانند نشت اطلاعات و یا دسترسی‌های غیرمجاز از باگ بانتی خصوصی و یا عمومی استفاده گردد.

وبلاگ

آخرین مطالب

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.