واژگان کلیدی در امنیت جمع سپاری شده

واژگان کلیدی در امنیت جمع سپاری شده

آیا فرق بین باگ بانتی و تست نفوذ هیبرید را متوجه می‌شوید؟

سرعت رشد امنیت سایبری غیرقابل پیش‌بینی شده است. اگر به همان سرعتی که این زمینه درحال پیشرفت است نتوانید خودتان را با تهدیدات همگام کنید، یادگرفتن بهترین روش‌های دفاع دربرابر آنها نیز برایتان پیچیده خواهد شد.

وقتی از امنیت جمع‌سپاری شده حرف می‌زنیم، از زمان مدیریت برنامه‌های باگ بانتی داخلی تا به امروز مسیر بسیار طولانی‌ای را طی کرده‌ایم. اخیرا Intigriti برنامه تست نفوذ هیبرید (Hybrid Pentesting) را منتشر کرده‌است. برداشت ما از چیزی که به عنوان تست نفوذ می‌شناسیم یک نوع سرویس یا خدمت از میان خدماتی که امروزه ارائه می‌دهیم است.

اما چه چیزی بین آنها تفاوت ایجاد می‌کند؟ کدام سوریس برای کسب و کار شما گزینه مناسبی است؟

دراین مقاله، به یک تور دانش درباره جمع‌سپاری امنیتی می‌رویم تا به شما در درک هر سرویس، ویژگی‌های آن و چه زمان‌هایی استفاده از این سرویس‌ها مناسب است، کمک می‌کنیم. درآخر، شما یک متخصص جمعسپاری امنیت سایبری خواهید شد!

قوانین افشای آسیب‌پذیری چیست (VDP)؟

VDP روشی است که با ارائه پشتیبانی از افشای هماهنگ و اصلاح آسیب‌پذیری‌ها قبل ازاینکه توسط مجرمان سایبری ازآنها بهره‌برداری شود به کسب و کارها کمک می‌کند تا خطرات امنیتی را کاهش دهند. VDP ها بیشتر در مورد نحوه گزارش آسیب پذیری ها و سایر «قوانین تعامل» راهنمایی ارائه دهند.

خب چرا یک سازمان باید خودش را با برگزاری برنامه باگ بانتی به زحمت بیاندازد، وقتی می‌تواند یک VDP راه‌اندازی کند؟ مشکل اصلی که در یک VDP خودمیزبان سازمان با آن مواجه می‌شود این است که دراین‌صورت منابع شما پاسخگو نخواهد بود. فرایند مدیریت گزارش‌های دریافتی، تریاژ کردن مشکلات و مهمترازهمه برطرف کردن آنها، همه و همه بردوش تیم امنیتی داخلی شما خواهد بود، که درحالت نرمال هم مشغله این تیم زیاد است. این مساله مخصوصا زمانی مشکل‌ساز می‌شود که قادر به تضمین کیفیت و تایید درستی گزارش‌های دریافتی نیستید، چرا که دربیشتر مواقع وقت شما برای بررسی گزارش‌های بی‌کیففیت ثبت شده تلف شده است.

VDP ها همچنین ممکن است با ماهیت روش ثبت گزارش مشکل داشته باشند. اغلب ممکن است درمقایسه با دیدکاملی که توسط پلتفرم‌های باگ بانتی ارائه می‌کنند، یک ایمیل داخل صندوق ایمیل شرکت از نظرها دور بماند و به آن توجهی نشود. VDP ایده اصلی در قلب برنامه‌های باگ بانتی است که پلتفرم‌های باگ بانتی از یک منظر دیگر به آن نگاه می‌کنند.

مزایای VDP ازطریق پلتفرم‌های باگ بانتی

VDP اساسا یک رویکرد “اگر چیزی دیدی، چیزی بگو” است. درحالیکه به محققان امنیتی اجازه می‌دهد تا امنیت دارایی شما را تست کنند، اما درآنها انگیزه‌ای برای تست مداوم یک کسب و کار را ایجاد نمی‌کنند. در گزارش ارزیابی تست‌نفوذ 2022 دریافتیم که 26% محققان امنیتی اخلاقی با شرکت‌هایی که خارج از پلتفرم‌های باگ بانتی برنامه برگزار می‌کنند اصلا همکاری نمی‌کنند، و 23% هم ترجیح نمی‌دهند با این شرکت‌ها همکاری کنند.

مدیریت و پرورش یک کامیونیتی مزیت دیگر این پلتفرم‌هاست، جاییکه می‌توان محققان امنیتی با مهارت های موردنیاز شما برای تست موثر کسب‌وکارتان را پیدا کنید. این مساله بیشتر زمانی اهمیت پیدا می‌کند که شما به دنبال یک محیط تست کنترل شده مثل محیط تست نفوذ سنتی باشید.

علاوه‌براین، زمانیکه درحال میزبانی برنامه تان روی یک پلتفرم باگ بانتی هستید، از مزیت کلیدی تیم تریاژ هم بهره‌مند می‌شوید، که بین شما و محقق امنیتی قرار می‌گیرد و فشار قرار گرفته روی تیم‌های امنیتی داخلی را کاهش می‌دهد.

فرق بین برنامه باگ بانتی عمومی و خصوصی

برنامه باگ بانتی‌ای که به عناون برنامه باگ بانتی عمومی شناخته می‌شود، برای هر محقق امنیتی اخلاقی قابل دسترسی خواهد بود. این برنامه‌ها بیشتر روی تست دارایی‌هایی که از لحاظ امنیت درسطح بسیار بالایی قرار دارند برگزار می‌شوند، چراکه در به روی همه محققان امنیتی دراین برنامه باز است.

ازطرف دیگر، برنامه باگ بانتی خصوصی به کسب و کار اجازه می‌دهد تا براساس نیازهای خود به محققان امنیتی با مجموعه مهارت های خاص دسترسی داشته باشد. این برنامه‌ها تنها برای افرادی قابل مشاهده هستند که به برنامه دعوت شده‌اند، ولیکن درمواقع لزوم محققان امنیتی بیشتری را می تاون به برنامه اضافه کرد.

وقتی سازمانها تازه، وارد برنامه‌های امنیتی جمع‌سپاری می‌شوند، اکثرا قبل ازاینکه از برنامه‌های باگ بانتی کاملا عمومی استفاده کنند، با برنامه‌های باگ بانتی خصوصی کار خود را آغاز میکنند. دانستن این نکته مهم است که بدون درنظرگرفتن عمومی یا خصوصی بودن برنامه باگ بانتی، هر برنامه با تعیین یک اسکوپ خاص، بودجه محدود و نمودار پاداش خاص آن برنامه قابل اجرا است.

تست نفوذ و سرویس مبنی بر تست نفوذ چیست؟

تست نفوذ یک شبیه سازی کنترل شده و زمانبندی شده از حملات احتمالی است که ممکن است روی سیستم یا شبکه انجام شوند. لازم به ذکر است که برنامه های باگ بانتی جایگزین تست نفوذ سنتی نیستند، بلکه این برنامه‌ها نیازهای دیگر امنیت سایبری را رفع می‌کنند. می‌توان گفت که تست نفوذ مرحله قبل از برگزاری برنامه باگ بانتی خصوصی است، که درآن اسکوپ جمع و جورتراست، مثل بررسی استحکام یا انطباق یک ویژگی جدید در محصول است.

تفاوت کلیدی بین تست نفوذ و سرویس مبنی بر تست نفوذ رویکرد جعبه‌-زمانی است. اینجاست که سرویس تست نفوذ (Pentesting as a Service (PTaaS)) با مدرن‌سازی و بهبود فرمت قدیمی تست نفوذ، وارد عمل می‌شود. PTaaSتست‌های نفوذ را ازطریق پورتال هاست مرکزی و به روزرسانی های بلادرنگ ارائه می‌کند، و با مدیریت سربارهای پشت صحنه راه‌حل‌های مقیاس‌پذیر و مقرون به صرفه ارائه می‌کند.

تست نفوذ هیبرید (ترکیبی) Intigriti

تست نفوذهای هیبرید نام پیشنهادی PTaaS پلتفرم Intigriti است. این همان رویکرد سنتی تست نفوذ است، بااین تفاوت که دراین روش برای انجام بهترین کار و بدست آوردن بهترین نتایج به خزینه مهارت‌های تست نفوذ کامیونیتی محققان امنیتی این پلتفرم دسترسی خواهید داشت.

می‌توانید ازطریق یک پلتفرم ساده، بایک محدودیت زمانی 2 الی 3 هفته‌ی یک تست راه‌اندازی کنید، که دراخر فقط درصورت بدست آمدن نتیجه هزینه پرداخت خواهید کرد.

تست نفوذ هیبرید به منظور پاسخگویی به نیازهای مجزا از برنامه‌های باگ بانتی طراحی شده است. اولا، این روش می‌تواند ثابت کند که تست استفاده شده برای دارایی شما قابل قبول است. ثانیا، تست نفوذهای هیبرید را در مدت زمان کمی می‌توان مدیریت کرد که اینگونه از کسب‌وکارهایی که ازلحاظ زمانی تحت فشار هستند را پشتیبانی می‌کند.

درنهایت اینکه، در تست نفوذهای هیبرید درمقایسه با برنامه های باگ بانتی “رایگان” از متدلوژی‌های خاصی استفاده می‌شود، که درصورتیکه بخواهید وضعیت خودتان را دربرابر چیزهایی مثل OSSTMM ثابت کنید، این متدولوژی ها میتوانند مفید باشند.

رویدادهای تست نفوذ زنده

رویدادهای تست نفوذ زنده دوره‌های زمانی تست نفوذ فشرده هستند که درآنها تعدادی از محققان امنیتی ماهر برای تست یکپارچه دورهم جمع می‌شوند. این رویدادها با به اشتراک گذاشتن ایده‌ها و استراتژی‌های حمله می‌توانند در یک مدت زمان کوتاه حجم انبوهی از گزارش ها را به ارمغان بیاورد. صاحب کسب و کار درکنار برگزاری چنین رویداد سرگرم کننده‌ای، میزان تعهد خود به امنیت کسب و کارش را نشان می‌دهد.

مثلث امنیت جمع سپاری شده

بنابراین، چگونه این راه‌حل‌های امنیتی مختلف را یکپارچه کنیم؟ کدام یک ازاین راه‌حل‌ها برای کسب و کار شما مناسب است؟ برای کمک به درک بهتر نحوه تعامل بین این راه‌حل‌ها، بیایید با مثلث امنیت جمع‌سپاری شده آشنا شویم.

هنگام انتخاب هرراه‌حل امنیتی جمع‌سپاری شده، سه عامل کلیدی دراین میان در بازی نقش دارند: مجموعه مهارت، زمان دردسترس و بودجه. زمانیکه به دنبال یک راه حل امنیتی جمع سپاری هستیم، کسب‌وکارها بیشتر به سمت راه‌حل مناسبی که براساس کششی که به 2 عامل ازبین این 3 عامل دارند، سوق پیدا می‌کنند.

برای مثال، درنظربگیریم که شما می‌خواهید ویژگی های خاص جدید محصولاتان مورد بررسی قراربگیرد، ولیکن نیاز دارید که نتایج این بررسی را در چارچوب زمانی کم و با بودجه کم بدست بیاورید. دراین سناریو، تست نفوذ هیبرید می‌تواند انتخاب مناسبی برای شما باشد.

عاملی که در ین مثال حضور ندارد، عامل مجموعه مهارت‌ها است. اگر میخواهید درزمان کم و با بودجه کم دارایی شما سریع تست شود، ممکن نیست که توجه محققان امنیتی بسیاری را بتوانید جذب کنید. بااینحال، برای سناریو‌هایی مثل این، اسکوپ محدود اغلب دربرگیرنده متدولوژی‌های خاص (مثل  OSSTMM ) است که می‎‌توان به‌راحتی به تعداد اندکی از محققان امنیتی آنها را سپرد.

امنیت جمع سپاری شده

 

به عنوان مثالی دیگر، تصورکنید که می‌خواهید یک دارایی کامل را تست کنید تا 100% مطمئن شوید که این دارایی دربرابر هر تکنیک نفوذ خلاقانه‌ای که دربیرون است مقاوم است. بسته به بودجه ، راه حل انتخابی شما  برنامه باگ بانتی یا یک رویداد زنده تست نفوذ می‌تواند باشد. رویدادهای تست نفوذ برنامه‌های فشرده‌ای هستند که در زمان کم حجم زیادی از گزارش‌های باگ را برای شما می‌آورند، اما هزینه آن زیاد است. برنامه‌های باگ‌بانتی هزینه کمتری دارند، ولیکن برای ضبط این تعداد گزارش‌ درباگ بانتی به زمان بیشتری نیاز دارید.

بدینصورت، هر راه‌حل برای پرکردن محدودیت هایی که برای هر تیم امنیتی تعیین شده است، آماده می‌شود. بااین‌حال حتما باید توجه داشته باشید که در هرمثلث فقط 3 موقعیت وجود ندارد.هر کسب و کاری بودجه، چارچوب زمانی و اسکوپ‌های موردنیاز مخصوص خودش را دارد، حتی اگر ادعا دارید که باگ بانتی را به عنوان راه‌حل انتخاب کرده‌اید، باید این راه‌حل با عوامل گفته شده تعریف شود. ممکن است شما بودجه بیشتری داشته باشید، و تمایل بیشتری برای دسترسی داشتن به مجموعه مهارت‌ها داشته باشید، موقعیت شما در مثلث مذکور موقعیت A باشد. این درحالیست‌که اگر بودجه کمتر و اسکوپ کوچکتری داشته باشید، در موقعیت B قرار می‌گیرید.

امنیت جمع سپاری شده

ازمیان تست نفوذ هیبرید، برنامه باگ بانتی و رویدادهای زنده تست نفوذ، سرویس‌های امنیتی جمع سپاری شده‌ای وجود دارند که می‌توانند به تمام نیازها در هرسطح از بلوغ امنیتی پاسخگو باشند. خوشبختانه این مقاله به شما کمک می‌کند تا بفهمید کدام سرویس امنیتی جمع سپاری برای شما درچه زمانی مناسب است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *