آیا برنامه اسکوپ باز انتخاب درستی است؟

آیا برنامه اسکوپ باز انتخاب درستی است؟

داشتن یک برنامه اسکوپ باز تنها کار موثریست که سازمان شما می تواند در راستای تامین امنیت سطح حمله خارجی تان انجام دهد. دراین حالت شما از قدرت جمعیت کامیونیتی برای یافتن و تشخیص هر نقصی که ممکن است سازمان تان در حالت آنلاین با آن روبه روباشد استفاده می کنید. این نکته را درنظربگیرید که این نقص ها همیشه بیشتر از چیزی هستند که شما فکرش را می‌کنید.

اسکوپ چیست؟

یک اسکوپ مجموعه اهداف معینی است که توسط سازمان به عنوان دارایی‌هایی که قراراست به عنوان یک قرارداد مشخصی مورد تست و بررسی قرار بگیرند، لیست شده است. چیزهایی که داخل “in-scope” فهرست بندی شده اند واجد شرایط تست شدن هستند، و چیزهایی که “out of scope” قرار دارند توسط محقق امنیتی تست نخواهند شد.

اگر اسکوپ را به عنوان یک گستره درنظر بگیریم، براین اساس 3 نوع برنامه داریم که تحت عنوان اسکوپ های مختلف برگزار می‌شوند. هرکدام از این موارد را انتخاب کنید، روی دسترسی محققان امنیتی به برنامه شما و میزان موفقیت برنامه شما تاثیر گذار خواهد بود.
سه نوع اصلی اسکوپ:

1. اسکوپ محدود: یک اسکوپ محدود در برنامه باگ بانتی تنها دربرگیرنده یک هدف یا تعدادی هدف خاص است.

2. اسکوپ گسترده: یک اسکوپ گسترده در برنامه باگ بانتی، دربرگیرنده یک نویسه عام (Wildcard) از اهداف in-scope است.

3. اسکوپ باز: یک اسکوپ باز در برنامه باگ بانتی، اسکوپی است که تازمانیکه هدف یا دارایی متعلق به سازمان است، روی آن هیچ محدودیتی برای محققان امنیتی برای تست کردن یا نکردن آن تعریف نشده است.

بسته به موقعیت تان، ممکن است بخواهید اسکوپ تان را برای امنیت بیشتر دارایی هایتان موردبازبینی قرار دهید و از مزایای مهارت های محققین امنیتی بیشتر بهره مند شوید. اگر زیاد از انتخابتان مطمئن نیستید، نگران نباشید. رویه اکثر سازمان‌ها و برنامه‌های باگ بانتی پیشرفت سیستماتیک در طول زمان است. رویه رایج بدینصورت است که با یک اسکوپ پایه ای یا محدود شروع کنید، و سپس به یک اسکوپ محدود با گستردگی بیشتر منتقل شوید و در آخر به یک اسکوپ باز منتقل شوید.

” به طور متوسط، موارد کشف شده در برنامه های با اسکوپ باز (یا حداقل Wildcard) نزدیک 250% بیشتر از برنامه های با اسکوپ محدود است. این یعنی 250% P1 بیشتر، که هر P1 تشخیص داده شده نشانگر یک نفوذ است که ممکن بود اتفاق بیفتد، ولی با اقدام به موقع نیفتاده است. با استفاده از قدرت جمعیت کامیونیتی برای کمک به شناسایی آسیب‌پذیری‌ها قبل از اینکه توسط بازیگران شرور مورد بهره برداری قرار بگیرند، از اتفاق افتادن این نفوذ جلوگیری شده است. “

 

” چیزی که در تعداد بیشتری از یافته های برنامه هایی با اسکوپ بزرگ تر دیده می‌شود این است که، برنامه های با اسکوپ های وسیع تر اغلب از تعامل طولانی تر و اساسی تر محققان برخوردار هستند، دراین برنامه ها تست کنندگان در مدت زمان طولانی‌تر یافته های بیشتری را ثبت می‌کنند. “

چرا گسترش دادن اسکوپ از اهمیت زیادی برخوردار است؟

بازیگران شرور برای بررسی هر گوشه از سطح موردحمله سازمان از شما اجازه نمی‌گیرند. در فضای سایبری آزاد بازگیران شرور از هیچ قانونی پیروی نمی‌کنند، هرجا که دلشان بخواهد میروند و برای اینکار فقط از در ورودی اصلی شما استفاده نمی‌کنند. محدود کردن محدوده دسترسی بازیگران خوب در نبرد تامین امنیت دارایی‌ها، داده‌ها و ما تنها به ضرر خود ماست. برای عادلانه تر کردن این مبارزه، استفاده از اسموپ باز علاوه بر مفید بودن، ضروری هم است. موارد خیلی کمی وجود دارد که می تواند در کمک به تامین امنیت کلی جای پای خارجی سازمان ما کند که می توان آنها را با اجرای برنامه با اسکوپ کاملا باز برای تمام دارایی هایی که در بستر اینترنت هستند مقایسه کرد.

” JP Morgan Chase از طریق تک سروری که آپدیت متناسب با MFA را دریافت نکرده بود مورد حمله قرار گرفت. دراین حمله 83 میلیون حساب کاربری به خطر افتاد .”

 

” بیش از 70 میلیون رکورد در Verifications.io از طریق یک سرور MongoDB بدون کلمه عبور به بیرون درز کرد.”

 

” میلیون رکورد از Bonobos در سال 2021 بخاطر به خطر افتادن سرور پشتیبان، به بیرون درز کرد.”

آیا اکنون آماده انتقال برنامه باگ بانتی تان به یک اسکوپ باز هستید؟

بهترین و اولین کاری که برای شروع می توانید انجام دهید، مشروت با تیم موفقیت Bugcrowd است. تیم TCSM شما به شما در فراهم آوردن راهنما، پیشنهادات کمک کرده و برای تمام چیزهایی که نیاز دارید از شما پشتیبانی خواهد کرد. Bugcrowd اینجاست تا به شما در تامین امنیت سازمان تان کمک کند. ما میدانیم که انتخاب اسکوپ باز بخش بحرانی سفر امنیتی شماست. برای دریافت اطلاعات بیشتر پست اسکوپ باز در  SecWithMoh را مطالعه کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *