نقش باگ بانتی در راهکارهای ایمن‌سازی سازمانی

نویسنده: راه پرداخت در تاریخ 11 تیر سال 1399 ساعت 12:59 0

با بررسی و تحلیل بسیاری از رخدادهای نشت اطلاعات اخیر، می‌توان ردپای استفاده از نقاط ضعف شرکت‌های کوچک و متوسط را مشاهده کرد که مهاجمین با ترکیب اطلاعات به‌دست‌آمده از هریک از آن‌ها توانسته‌اند به اطلاعات محرمانه و حریم خصوصی عموم مردم دست پیدا کنند. در سال گذشته ۶۳ درصد از رخدادهای امنیتی، مربوط به مشکلات فنی در توسعه غیراصولی سامانه‌ها از دیدگاه امنیتی در کسب‌وکارهای کوچک و متوسط بوده است که با استفاده از آن‌ها مهاجمین توانسته‌اند در زنجیره تأمین حملات امنیتی و ترکیب آن‌ها با سناریوهای امنیتی دیگر، حملات امنیتی وسیع‌تر را ترتیب دهند.

متوسط میزان خسارت واردشده بر اساس وقوع نشت اطلاعات به سازمان‌ها در سال گذشته برای هر ۲۵ هزار رکورد اطلاعاتی در حدود ۴ میلیون دلار بوده است که در طول ۵ سال گذشته ۱۲ درصد رشد داشته و صنایع مختلفی را به خود اختصاص داده است.

عامل مهمی که هزینه خسارت به سازمان را پس از وقوع نشت اطلاعات چندین برابر کرده، عامل زمان پاسخگویی کند و فرآیندهای غیر شفاف در پاسخگویی به رخدادهای امنیتی بوده است. بطوریکه سازمان‌هایی که توانسته‌اند ۵۰ درصد بهبود در این زمان ایجاد کنند، به میزان ۱ میلیون دلار کمتر خسارت متحمل شده‌اند.

آلمان و آفریقای جنوبی بهترین زمان شناسایی و پاسخگویی را در سال گذشته داشته‌اند و کشورهای خاورمیانه و برزیل آمار نامناسبی در این زمینه‌ دارند. خسارات واردشده به کسب‌وکارها شامل جریمه‌های مراکز رگلاتوری، افت میزان محبوبیت در میان مشتریان و کاهش ناگهانی ارزش سهام آن‌ها است.

راهکارهای متفاوتی برای افزایش میزان منابع اطلاعاتی مدیران امنیت سازمان‌ها برای ارتقا زمان شناسایی و پاسخگویی رخدادهای امنیتی وجود دارند که یکی از راهکارهای نوین در این حوزه مفهوم باگ بانتی است. بر اساس گزارش باگ بانتی «باگدشت»، پراکندگی میزان گزارش‌های آسیب‌پذیری دریافت شده در سال گذشته به‌صورت زیر بوده است.

بر اساس گزارش موسسه Forrester، کسب‌وکارهایی که در سال گذشته از پلتفرم‌های باگ بانتی استفاده کردهاند و خود را مجهز به فرآیند پاسخگویی و ایمن‌سازی شفاف کرده‌اند، به میزان ۱۱۵ درصد نرخ بازگشت سرمایه را ارتقا داده و ۵۰ درصد بهبود در میزان ساعات مصرفی کارکنان خود به‌منظور شناسایی باگ‌ها را ایجاد کرده‌اند.

شرکت‌های به نام مانند Apple، Microsoft، GitHub، Tesla، General Motors، AT&T، Verizon و غیره که خود دارای تیم‌های امنیتی متخصص هستند، مزیت استفاده از اجتماع متخصصین امنیتی به‌واسطه باگبانتی به‌صورت مقرون‌به‌صرفه را درک کرده و در برنامه سالانه خود لحاظ کرده‌اند. معمولاً سازمان‌ها در هنگام دریافت باگ، صرفاً آن را تایید و سپس برای رفع آن اقدام می‌کنند ولی سازمان‌های بالغ پس از دریافت هر باگ امنیتی، آن را به یک تست جدید برای سامانه خود تبدیل کرده و با تیم توسعه خود برای سناریوهای جدید همگام می‌شوند.

باگ بانتی، مفهومی جدید برای ارزیابی مستمر سامانه‌های تجاری سازمان‌هاست که به سازمان کمک می‌کند تا با سرعت بیشتر به مشکلات امنیتی خود به‌صورت مقرون‌به‌صرفه دسترسی یابد. ارزیابی امنیتی توسط هکرهای اخلاقی که برای شناسایی باگ‌های مرتبط با آن سرویس و یا برنامه‌های کاربردی پاداش دریافت می‌کند اجرا می‌شود. این متخصصین دسترسی به سامانه مورد آزمون را شبیه به دیگر مشتریان سازمان دارند.

در برنامه‌های باگ بانتی، پاداش وقتی داده می‌شود که به‌صورت واقعی بر اساس خط‌مشی سازمان یک باگ امنیتی شناسایی شود. حداقل بازه زمانی باگ بانتی ۳ تا ۶ ماه است که بازه‌های زمانی بیشتر ایده‌آل هستند. فرآیندهای شفاف پذیرش باگ، مسائل حقوقی و تخصص در ارزش‌گذاری ازجمله مفاهیم اصلی باگ بانتی‌ها هستند.

رفع باگ سریع درروش باگ بانتی به سازمان کمک می‌نماید تا مشتریان و برند خود را از آسیب‌پذیری دور نماید و همچنین به متخصصین اخلاقی این فرصت را می‌دهد که مشکلات امنیتی را گزارش کرده و اکوسیستم سالم شکل بگیرد. زمانی که باگ رفع می‌شود سازمان در قبال پرداخت به متخصص امنیتی مسئول است. هرچقدر متخصص زمان و تخصص بیشتری را برای شناسایی باگ صرف کرده باشد، باگ مستحق دریافتی بیشتری است که نشان‌دهنده ارزش افزایش میزان جذب متخصصین است. هریک از صنایع بر اساس میزان چابکی خود دارای زمان متوسط پرداخت بانتی هستند.

امنیت سامانه و اطلاعات مشتریان و کارکنان، جایگاهی برای موارد سیاسی سازمان ندارد. پیگیری نقش اساسی در پروسه رفع باگ ایفا میکند. هنگامی‌که یک باگ امنیتی بحرانی شناسایی شد، پروسه ثبت تیکت سازمانی و منتظر ماندن برای بررسی آن‌ها توسط تیم توسعه کافی نیست. حتی اگر ازنظر سازمانی این موضوع در حوزه چند دپارتمان قرار می‌گیرد باید سریعا به‌صورت مسئولیت‌پذیر در زمان کوتاه باگ رفع شود. باگ‌های امنیتی هیچ‌گاه نباید در بخش طراحی و توسعه در صف باقی بماند. زمان متوسط بین‌المللی رفع باگ در سال گذشته در صنایع مختلف که دارای باگ بانتی بوده‌اند، ۱۷ روز است.

در کشور ایران نیز این مفهوم پیاده‌سازی شده است و باگ بانتی باگدشت به‌عنوان پلتفرم امنیتی باگ بانتی ایرانی، از سال ۱۳۹۷ با سرمایه‌گذاری شتاب‌دهنده فینووا آغاز به فعالیت کرده است. در سال گذشته به‌واسطه متخصصین امنیتی کشور بیش از ۴۰۰ گزارش امنیتی را در سریع‌ترین زمان ممکن به سازمان‌ها و کسب‌وکارهای کشور اعلام کرد.

از این میان باگ‌های گزارش‌شده در سال گذشته، ۳۳ در صد از آن‌ها باگ‌های امنیتی با سطح اهمیت بحرانی بوده‌اند و منجر به ایجاد مزیت زیادی برای سازمان‌ها مخاطب شده است. ارتقا تمرکز تیم فنی سازمان‌ها روی ایمن‌سازی، دور ماندن از حواشی قضایی و حقوقی و دسترسی به باگ‌های تائید شده همراه با راهکار رفع از مزیت‌های این سیستم برای همکاران ما در طول یک سال گذشته بوده است.

همچنین همکاری متخصصین امنیتی کشور به‌صورت فریلنسر و افزایش میزان درآمدزایی و استفاده از تخصص هریک در پروژه‌های مختلف بنا بر نوع تخصص موردنیاز از مزیت‌های همکاری متخصصین امنیتی در این پلتفرم است. باگ بانتی باگدشت در تلاش است بافرهنگ سازی بیشتر این مفهوم در کشور، به رشد فضای امنیت کشور کمک کند و همکاری بیشتری از متخصصین را جلب کند.