finnova
5 دقیقه

نقش باگ بانتی در راهکارهای ایمن سازی سازمانی

نوشته ای ازمجتبی سرانجام پور
14 تیر 1399

دو عبارت یا مفهوم اطلاعات کارت بانکی و پایگاه داده در فضای دارک وب با نرخ بالاتر جستجو شده اند. با بررسی و تحلیل بسیاری از رخدادهای نشت اطلاعات اخیر، می توان ردپای استفاده از نقاط ضعف شرکتهای کوچک و متوسط را مشاهده نمود که مهاجمین با ترکیب اطلاعات بدست آمده از هریک از آنها توانسته اند به اطلاعات محرمانه و حریم خصوصی عموم مردم دست پیدا کنند. در سال گذشته 63 درصد از رخدادهای امنیتی، مربوط به مشکلات فنی در توسعه غیراصولی سامانه ها از دیدگاه امنیتی در کسب و کارهای کوچک و متوسط بوده است که با استفاده از آنها مهاجمین توانسته اند در زنجیره تامین حملات امنیتی و ترکیب آنها با سناریوهای امنیتی دیگر، حملات امنیتی وسیعتر را ترتیب دهند. متوسط میزان خسارت وارد شده بر اساس وقوع نشت اطلاعات به سازمانها در سال گذشته برای هر 25 هزار رکورد اطلاعاتی در حدود 4 میلیون دلار بوده است که در طول 5 سال گذشته 12 درصد رشد داشته است و صنایع مختلفی را به خود اختصاص داده است.

نقش باگ بانتی در راهکارهای ایمن سازی سازمانی 1

عامل مهمی که هزینه خسارت به سازمان را پس از وقوع نشت اطلاعات چندین برابر نموده است عامل زمان پاسخگویی کند و فرآیندهای غیرشفاف در پاسخگویی به رخدادهای امنیتی بوده است. بطوریکه سازمانهایی که توانسته اند 50 درصد بهبود در این زمان ایجاد کنند، به میزان 1 میلیون دلار کمتر خسارت متحمل شده اند. آلمان و آفریقای جنوبی بهترین زمان شناسایی و پاسخگویی را در سال گذشته داشته اند و کشورهای خاورمیانه و برزیل آمار نامناسبی در این زمینه دارند. خسارات وارد شده به کسب و کارها شامل جریمه های مراکز رگولاتوری، افت میزان محبوبیت در میان مشتریان و کاهش ناگهانی ارزش سهام آنها میباشد. راهکارهای متفاوتی برای افزایش میزان منابع اطلاعاتی مدیران امنیت سازمانها برای ارتقا زمان شناسایی و پاسخگویی رخدادهای امنیتی وجود دارند که یکی از راهکارهای نوین در این حوزه مفهوم باگ بانتی می باشد. بر اساس گزارش باگ بانتی باگدشت، پراکندگی میزان گزارشات آسیب پذیری دریافت شده در سال گذشته بصورت زیر بوده است.

نقش باگ بانتی در راهکارهای ایمن سازی سازمانی 2

بر اساس گزارش موسسه Forrester، کسب و کارهایی که در سال گذشته از پلتفرم های باگ بانتی استفاده نموده اند و خود را مجهز به فرآیند پاسخگویی و ایمن سازی شفاف نموده اند، به میزان 115 درصد نرخ بازگشت سرمایه را ارتقا داده و 50 درصد بهبود در میزان ساعات مصرفی کارکنان خود به منظور شناسایی باگ ها را ایجاد نموده اند. شرکتهای به نام مانند Apple، Microsoft، GitHub، Tesla، General Motors، AT&T، Verizon و غیره که خود دارای تیمهای امنیتی متخصص هستند، مزیت استفاده از اجتماع متخصصین امنیتی به واسطه باگ بانتی بصورت مقرون به صرفه را درک نموده و در برنامه سالانه خود لحاظ نموده اند. معمولا سازمانها در هنگام دریافت باگ، صرفا آن را تایید و سپس برای رفع آن اقدام می نمایند ولی سازمانهای بالغ پس از دریافت هر باگ امنیتی، آن را به یک سناریو تست جدید برای سامانه خود تبدیل کرده و با تیم توسعه خود برای سناریوهای جدید تست همگام می شوند.

باگ بانتی، مفهومی جدید برای ارزیابی مستمر سامانه های تجاری سازمانهاست که به سازمان کمک می کند تا با سرعت بیشتر به مشکلات امنیتی خود بصورت مقرون به صرفه دسترسی یابد. ارزیابی امنیتی توسط هکرهای اخلاقی که برای شناسایی باگهای مرتبط با آن سرویس و یا برنامه های کاربردی پاداش دریافت می نمایند اجرا می شود. این متخصصین دسترسی به سامانه مورد تست را شبیه به دیگر مشتریان سازمان دارند. در برنامه های باگ بانتی، پاداش وقتی داده می شود که بصورت واقعی بر اساس خط مشی سازمان یک باگ امنیتی شناسایی گردد. حداقل بازه زمانی باگ بانتی 3 تا 6 ماه می باشد که بازه های زمانی بیشتر ایده ال هستند. فرآیندهای شفاف پذیرش باگ، مسایل حقوقی و تخصص در ارزشگذاری از جمله مفاهیم اصلی باگ بانتی ها هستند.

رفع باگ سریع درروش باگ بانتی به سازمان کمک می نماید تا مشتریان و برند خود را از آسیب پذیری دور نماید و همچنین به متخصصین اخلاقی این فرصت را می دهد که مشکلات امنیتی را گزارش نموده و اکوسیستم سالم شکل بگیرد. زمانیکه باگ رفع می شود سازمان در قبال پرداخت به متخصص امنیتی مسوول می باشد. هرچقدر متخصص زمان و تخصص بیشتری را برای شناسایی باگ صرف نموده باشد، باگ مستحق دریافتی بیشتری است که نشان دهنده ارزش افزایش میزان جذب متخصصین می باشد. هریک از صنایع بر اساس میزان چابکی خود دارای زمان متوسط پراخت بانتی هستند.

نقش باگ بانتی در راهکارهای ایمن سازی سازمانی 3

امنیت سامانه و اطلاعات مشتریان و کارکنان، جایگاهی برای موارد سیاسی سازمان ندارد. پیگیری نقش اساسی در پروسه رفع باگ ایفا می نماید. هنگامیکه یک باگ امنیتی بحرانی شناسایی گردید، پروسه ثبت تیکت سازمانی و منتظر ماندن برای بررسی آنها توسط تیم توسعه کافی نمی باشد. حتی اگر از نظر سازمانی این موضوع در حوزه چند دپارتمان قرار می گیرد باید سریعا بصورت مسولیت پذیر در زمان کوتاه باگ رفع گردد. باگ های امنیتی هیچگاه نباید در بخش طراحی و توسعه در صف باقی بماند. زمان متوسط بین المللی رفع باگ در سال گذشته در صنایع مختلف که دارای باگ بانتی بوده اند، 17 روز می باشد.

 

نقش باگ بانتی در راهکارهای ایمن سازی سازمانی 4

در کشور ایران نیز این مفهوم پیاده سازی شده است و باگ بانتی باگدشت به عنوان پلتفرم امنیتی باگ بانتی ایرانی، از سال 1397 با سرمایه گذاری شتاب دهنده فینوا آغاز به فعالیت نموده است. در سال گذشته به واسطه متخصصین امنیتی کشور بیش از 400 گزارش امنیتی را در سریعترین زمان ممکن به سازمانها و کسب و کارهای کشور اعلام نمود. از این میان باگهای گزارش شده در سال گذشته، 33 در صد از آنها باگ های امنیتی با سطح اهمیت بحرانی بوده اند و منجربه ایجاد مزیت زیادی برای سازمانها مخاطب شده است. ارتقا تمرکز تیم فنی سازمانها بر روی ایمن سازی، دور ماندن از حواشی قضایی و حقوقی و دسترسی به باگ های تایید شده همراه با راهکار رفع از مزیت های این سیستم برای همکاران ما در طول یک سال گذشته بوده است. همچنین همکاری متخصصین امنیتی کشور بصورت فریلنسر و افزایش میزان درآمدزایی و استفاده از تخصص هریک در پروژه های مختلف بنابر نوع تخصص مورد نیاز از مزیت های همکاری متخصصین امنیتی در این پلتفرم می باشد. باگ بانتی باگدشت در تلاش است با فرهنگ سازی بیشتر این مفهوم در کشور، به رشد فضای امنیت کشور کمک نماید و همکاری بیشتری از متخصصین را جلب نماید

نقش باگ بانتی در راهکارهای ایمن سازی سازمانی 5

منبع: راه پرداخت

ارسال نظر