در این مطلب، به تجربیات فعالیت در پلتفرم باگ بانتی باگدشت از دیدگاه متخصصین امنیتی سطح اختصاصی (VIP) می‌پردازیم. متخصصین سطح VIP در گفتگویی که با کمیته فنی باگدشت داشته‌اند به چالش‌ها و همچنین فرصت‌های موجود در فعالیت باگ بانتی اشاره نموده‌اند.

۱. مقدمه

کمیته فنی باگدشت با قدردانی از همکاری صمیمانه متخصصین امنیتی در طول سه سال گذشته، سعی نموده است تا با کمک پلتفرم باگدشت، هماهنگی بیشتری را میان سازمان و متخصص امنیت ایجاد نماید و به این مشکلات فایق آید. مهمترین نکته‌ای که در این حوزه وجود دارد هماهنگی بین سازمان و متخصص امنیت است. معمولا سازمان و متخصص امنیت اولویت‌های متفاوتی را برای خود قائل هستند.

بر اساس گزارش عملکرد سال ۱۳۹۹ متخصصین امنیتی VIP باگدشت، با ثبت گزارشات امنیتی در خصوص بانتی های فعال بر روی پلتفرم، مبالغ متفاوتی را به عنوان بانتی دریافت نمودند که با افزایش میزان تعداد متخصصین در سال جدید، میزان گزارشات و بانتی ها و در نتیجه همکاری با سازمانها در جهت ایمن سازی سامانه های کشور افزایش خواهد یافت. متخصصین امنیتی دیگر نیز میتوانند از طریق روال عضویت در تیم VIP باگدشت، همکاری خود و در نتیجه میزان اثرگذاری فعالیت خود در این زمینه را افزایش دهند. برای مشاهده نحوه امتیاز گیری به بخش سطوح کاربران مراجعه کنید.

در ادامه به برخی از مهمترین مسایلی که متخصصین امنیتی در گفتگوهای خود بیان نموده‌اند اشاره شده است تا بتوان با فرهنگ سازی بیشتر در ارایه خدمات امنیتی موثرتر قدم برداشت.

۲. بیان دقیق قوانین در VDP

متخصصین سطح VIP دارای مهارت و تجربه بالایی در حوزه ارزیابی امنیت سامانه‌ها می‌باشند. این متخصصان قوانین مطرح شده از سازمان برای پذیرش باگ‌های امنیتی را مدنظر قرار می‌دهند. از اینرو شفاف سازی و بیان دقیق قوانین پذیرش یا عدم پذیرش نوع یا سطح باگ های امنیتی توسط سازمان بسیار دارای اهمیت است. باگدشت سعی می‌نماید با صرف زمان بیشتر پیش از شروع قراردادهای باگ بانتی، بندهای VDP را با سازمان و تیم فنی مربوطه نهایی نماید. در نتیجه متخصصین امنیتی آسودگی بیشتری در صرف زمان بر انواع مورد پذیرش باگ را داشته باشند. همچنین سازمان در زمان پرداخت بانتی، گزارشات دارای اهمیت بیشتری را بر اساس نیازمندی سازمان در اولویت های بودجه خود قرار می‌دهد.

۲.۱ نمونه VDP

بسیاری از متخصصان امنیت در ابتدای راه باگ بانتی معمولاً به این بخش اهمیت زیادی نمی‌دهند. این روش منجر به هدر رفتن زمان و انرژی متخصص امنیت در شناسایی آسیب‌پذیری می‌شود. برای مثال، به VDP زیر دقت شود:

از اجرای هرگونه تست که منجربه از دسترس خارج شدن سامانه گردد، خودداری شود. باگ‌های مورد قبول سازمان شامل باگ‌های زیر است:

  • Remote Code Execution (RCE)
  • Critically Sensitive Data
  • SQL Injection
  • XML External Entity Injection (XXE)
  • Command Injection
  • Authentication Bypass

اگر متخصص امنیت برای سازمان بالا گزارشی از نوع XSS بدون ربط دادن به موارد بالا ارسال کند به احتمال زیاد گزارش باگ متخصص امنیت رد خواهد شد..

البته قابل ذکر است که طبق مشاهدات متخصصان امنیت و تیم تریاژ باگدشت تعداد معدودی از سازمان‌ها باگ‌های خارج از اهداف باگ بانتی را سریعاً رد می‌کنند. معمولاً این نوع باگ‌ها تأثیر مستقیم روی VDP نمی‌گذارد. ولی با بررسی بیشتر و توسعه سناریو توسط کمیته فنی باگدشت مشخص می‌شود که این باگ‌‌‌ها می‌تواند اهرمی برای باگ‌های دیگر در اهداف VDP باشد. به همین دلیل بهتر است سازمان قبل از رد کامل گزارش به بررسی اثر باگ روی اهداف VDP بپردازد تا  زنجیره حملات را کاهش دهد.

 ۳. متناسب سازی بانتی پرداختی باگ

آسیب‌پذیری‌های وب به دو بخش باگ‌های سمت کاربر و سمت سرور تقسیم می‌شوند. عموما باگ‌های سمت کاربر مانند XSS اگر بدون اجرای فرایند اکسپلویت آسیب‌پذیری گزارش شوند، سازمان این نوع باگ را با اثر پایین تشخیص می‌دهد. متخصص امنیت با ارائه گزارش از سناریوی واقعی در مورد اکسپلویت آسیب‌پذیری نه تنها می‌تواند ارزش باگ خود را افزایش دهد بلکه سازمان راحت‌تر باگ را قبول می‌کند. در نتیجه متخصص امنیت بانتی باگ بیشتری دریافت می‌کند.

گفتن این نکته ضروری است که در صورتیکه سازمان باگ گزارش شده را در دسته باگ های کم ارزش قرار داده باشد و متخصص امنیتی توضیحات لازم را ارایه نموده باشد، کمیته فنی باگدشت فرصت دفاع بیشتری از ارزش باگ گزارش شده را پیدا می‌کند.

بر اساس صحبت‌های متخصصین امنیتی سطح VIP، متناسب نمودن سطح بانتی باگ ها با نوع سازمان می تواند کمک موثرتری به سازمان کند. در نتیجه دسترسی سازمان به مشکلات امنیتی و آسیب‌پذیری‌های یافت شده، سریع‌تر می‌شود.

۴. سرعت در تایید باگ و به‌روزرسانی امنیتی

یکی از مسایلی که حتما باید در قوانین VDP مورد توافق قرار گیرد، میزان زمان مورد نیاز هر سازمان برای تایید نهایی باگ‌های امنیتی و پرداخت آن‌ها می‌باشد. سازمان‌های دارای بانتی پس از دریافت گزارش باگ در پلتفرم باید به سرعت بررسی و تکمیل شوند و در صورت تایید cvss ارزش‌گذاری شده توسط کمیته فنی باگدشت، به رفع آسیب‌پذیری کشف شده بپردازند. برخی از سازمان‌ها به دلیل بروکراسی‌های داخلی و یا نداشتن تیم امنیتی داخلی در این کار تعلل به خرج می‌دهند. در نمونه‌های خارجی، گوگل در پروژه روز صفر خود فرصت نود روزه برای وندورها تعیین کرده است. بعد از اتمام نود روز جزئیات آسیب‌پذیری را در اینترنت منتشر می‌کند. این فرصت محدود وندورها را الزام به رفع باگ‌های خود در طول سه ماه می‌کند.

۴.۱فرایند دفاع از باگ‌های گزارش شده

کمیته فنی و تیم cert باگدشت پس از نهایی سازی باگ‌های امنیتی جلسات تخصصی با تیم فنی سازمان را برگزار می‌کند. در ادامه گزارشات ثبت شده دفاع می‌نمایند. در این جلسات بصورت فنی به بررسی گزارشات و ارایه سناریوهای تکمیلی جهت اکسپلویت و بررسی میزان پیامد باگ پرداخته می‌شود. پس از تایید نهایی سازمان، نتایج و زمان پرداخت بانتی را به اطلاع متخصص امنیتی در پلتفرم می‌رسانند. چالش‌های این مرحله معمولا زمانبر بودن تنظیم جلسات، تایید نهایی مدیران فنی یا امنیت سازمان‌ها و روال پرداخت و تسویه حساب متفاوت در هر سازمان می‌باشد.

برای خواندن تاریخچه‌ای در مورد باگ بانتی می‌توانید مقاله‌ای با عنوان باگ بانتی چیست که در وبلاگ باگدشت منتشر شده است مراجعه کنید. از بزرگترین چالش‌های باگ بانتی می‌توان به ارزشگذاری باگ‌ها از نقطه نظر فنی و دقیق، تعیین مقدار بانتی، انتشار جزئیات و رفع باگ نام برد. پلتفرم‌های باگ بانتی در این زمینه به عنوان واسط فنی مورد اعتماد با سرعت بالاتر عمل می‌نمایند. همچنین پلتفرم‌های باگ بانتی به ارایه خدمات مشاوره ایمن سازی باگ‌ها می‌پردازند. برای بهره برداری از خدمات امنیتی باگدشت شامل باگ بانتی، ارزیابی امنیتی، ایمن سازی و دوره های آموزشی می‌توانید اطلاعات تکمیلی جهت همکاری بیشتر را ملاحظه بفرمایید.