بــــاگ بانــــتی

کشف باگ و آسیب پذیری بصورت عمومی در باگدشت

چرخه فعالیت و نقشه راه بدین صورت می‌باشد که پس از عقد قرارداد و احراز هویت کسب و کار در باگدشت، بر اساس نیازمندی‌ها و سطح پتانسیل امنیتی آن، یکی از طرح‌های خدمات امنیتی باگدشت انتخاب و اختصاص داده خواهد شد. هر یک از طرح‌های مذکور سطح خدمات باگدشت در طول دوره همکاری می‌باشد. جزییات خدمات از سطح پایه تا حرفه ای ارایه شده است. پس از تعیین سطح خدمات باگدشت، بانتی کسب و کار در باگدشت تعیین می‌گردد. این بانتی معرف یک مخزن اعتباری می‌باشد که کسب و کار قصد پرداخت به ازای دریافت باگهای امنیتی به متخصصین امنیتی دارد. بانتی مذکور جزییاتی همچون خط مشی‌ها و قوانین سازمان در خصوص اجرای ارزیابی توسط متخصصین، محدوده تست و همچنین سطح ارزش ریالی هریک از سطوح باگها را ارایه می‌نماید.

برگزاری باگ بانتی

پس از فعال سازی بانتی بصورت عمومی، متخصصین امنیتی باگدشت امکان مشاهده نام کسب و کار و سامانه مورد نظر او برای ارزیابی امنیتی و قوانین بانتی را در فهرست بانتی های فعال خواهند داشت. هریک از افراد متخصص امنیتی با ارزیابی امنیتی و شناسایی آسیب پذیری سامانه می‌تواند کسب امتیاز نماید. پس از اعلام آسیب پذیری، کمیته فنی باگدشت اقدام به صحت سنجی و رتبه بندی آنها می‌نماید و تایید و یا عدم پذیرش آنها صورت می‌گیرد.

bug-bounty-logo

گزارش آسیب پذیری‌ها

در صورت تایید آسیب پذیری پس از بازبینی شواهد توسط کمیته فنی، موارد در اختیار سازمان مخاطب قرار داده خواهد شد تا با دسترسی به اطلاعات و جزییات گزارش نسبت به ایمن سازی اقدام نماید. بر اساس سطح ارزش آسیب پذیری، پرداخت همراهی و همکاری به متخصص امنیتی ارایه می‌گردد. پرداخت مذکور از مخزن اعتباری سازمان برداشت می‌شود. بانتی تا زمان مصرف شده مخزن و یا اتمام زمان فعال سازی آن ادامه می‌یابد.

service-bg service-gif

خدمات

logo-text
service-logo
بــــاگ بانــــتی

میزان دسترسی که متخصصین امنیتی باگ‌بانتی به سامانه دارند دقیقا مشابه دسترسی مشتریان معمول آن سامانه است با این تفاوت که آنها تخصص امنیت اطلاعات داشته و می‌توانند مشکلات امنیتی را شناسایی نمایند. مساله اصلی در باگ بانتی، تحلیل باگها و تسریع در ایمن‌سازی آنها می‌باشد. باگهای جدید یک سناریو تست جدید برای توسعه‌دهندگان سامانه‌ها محسوب می‌شود. باگ‌بانتی بر حسب میزان حساسیت سامانه، به دو دسته عمومی و اختصاصی قابل انجام است.

service-logo
تست نفوذ وب و موبایل

هدف از اجرای تست‌نفوذ یا ارزیابی امنیتی شناسایی آسیب‌پذیرهای احتمالی منطبق بر استاندارد است. تست نفوذ روشی است که توسط آن قادر خواهیم بود تا آسیب‌پذیریهای موجود در سامانه‌ها را شناسایی کرده و امنیت سامانه‌ها را افزایش دهیم. علاوه بر گزارش آسیب‌پذیری امنیتی شناسایی شده، ویدیو نحوه شناسایی آنها و راهکار ایمن‌سازی به سازمان ارائه می‌گردد. پس از ایمن‌سازی موارد توسط تیم سازمان، تست مجدد مسائل امنیتی به منظور اطمینان از رفع آنها صورت می‌پذیرد.

service-logo
تیـــــــم آبـــــی

خدمات امنیتی یک تیم CSIRT بنابر ممیزی سطح بلوغ سازمان اولویت‌بندی خواهد شد. طراحی و پیاده‌سازی فرآیندها، سیستمها و ابزارهای مورد نیاز، آزمایشگاه امنیتی و پیاده‌سازی کنترلهای امنیتی یک تیم آبی انجام و با ارائه آموزش کارگاهی تحویل می‌گردد. تیم CSIRT سازمان می‌تواند، امور مربوط به بررسی و تحلیل بیشتر شواهد امنیتی بر روی سیستم قربانی یا حمله کننده را به متخصصین باگدشت ارجاع نماید. لذا فارنزیک سیستم‌های مختلف از خدمات باگدشت محسوب می‌گردد.

service-logo
تیـــــــم قرمـــــــز

تیم قرمز با شبیه سازی حملات مختلف میزان پتانسیل کنترلهای پیاده سازی شده در سازمان را بررسی می‌کند. بهره برداری از تیم قرمز برای سازمانهایی توصیه می‌شود که حداقل کنترلهای امنیت سایبری را رعایت کرده‌اند و نیازمند امتحان کردن المانهای امنیتی خود در حد بالاتر هستند. در این خدمت امنیتی تیم قرمز با شبیه‌سازی حملات بر اساس سناریوهای MITRE به بررسی میزان نفوذپذیری سازمان می‌پردازد و گزارش خود را در خصوص نتایج اجرای سناریوها در سازمان را ارائه می‌دهد.

service-logo
ارزیابی امنیتی شبـــــــکه

ارزیابی امنیتی شبکه در قالب ارزیابی تجهیزات و سامانه‌های مختلف شبکه سازمان شامل سیستم‌عامل، تجهیزات شبکه، تجهیزات امنیتی و سرویس‌دهنده‌های سازمان می‌باشد. این خدمت توسط کارشناسان باگدشت در قالب ترکیبی از کنترلهای امنیتی CIS و NIST s800 بر اساس شرایط شبکه سازمان و شناخت ایجاد شده بصورت وایت باکس صورت می‌گیرد. با بررسی امنیتی وضعیت حال حاضر شبکه و شناسایی آسیب‌پذیریها، راهکارهای جایگزین برای بهبود معماری شبکه پیشنهاد خواهد شد.

service-logo
مشاوره امنیـــــــــتی

اجرای پروژه های ایمن‌سازی مختلف توسط باگدشت؛ مبنای مناسبی جهت ارائه خدمات مشاوره ایمن‌سازی را مهیا نموده است. مهمترین اقدامات در خدمات مشاوره امنیتی، ارائه مشاوره کدنویسی امن سامانه‌ها، تهیه اسناد توسعه، تدوین نقشه راه امنیت سازمان، نظارت بر پروژه‌ها و مشاوره پیاده‌سازی هریک از خدمات امنیتی است تا سازمان بتواند به نتیجه مطلوب و قابل اطمینان دست یابد. در این سطح از خدمات، باگدشت به عنوان تیم برون سپاری شده امنیت، اقدام به ارائه خدمات مشاوره امنیت می‌پردازد.

service-logo
آموزش امنیــــــــــت

برگزاری دوره تخصصی امنیتی در دو سطح کارکنان کسب و کار و همچنین در سطح پیشرفته از دیگر خدمات باگدشت می‌باشد. دوره‌های مذکور شامل دوره‌های عمومی برای ارتقا سطح آگاهی امنیتی کارکنان سازمان و کاهش رخنه‌های امنیتی داخلی و همچنین دوره تخصصی مختص تیمهای برنامه نویسی، زیرساخت و امنیت می‌باشد. دوره‌ها بر اساس سرفصلهای استاندارد بین‌المللی بصورت کارگاهی و بر اساس سناریوهای کاربردی اجرا می‌گردد.

service-logo
سامانه سونـــــــــار

با دسترسی به خدمات این سامانه، سازمانها می‌توانند با پایش مستمر امنیت داراییهای خود در فضای وب، سطح بلوغ امنیتی خود را بسنجند و وضعیت عملکرد امنیتی خود را در مقایسه با دیگر سازمانها شناسایی نمایند. هر سازمان بصورت مستمر، بدون ارائه دسترسی به سامانه سونار، آسیب‌پذیریهای امنیتی خود را شناسایی نموده و وضعیت امنیتی خود را از دیدگاه یک مهاجم بیرونی شناسایی می‌نماید. همچنین سازمانها، به پایگاه دانش تهدیدات امنیتی ملی و بین المللی دسترسی خواهند داشت.