اسکوپ‌ها:  هرچقدر بزرگتر بهتر!

اسکوپ‌ها:  هرچقدر بزرگتر بهتر!

امروز دراین مقاله می خواهیم درمورد اسکوپ ها با شما صحبت کنیم، مخصوصا درباره چگونگی و چرایی اهمیت استفاده از اسکوپ باز به عنوان تک راه حل موثر برای سازمان‌ها که به ایمن سازی سطح حمله خارجی شما کمک می‌کند. اما قبل ازاینکه به آن بپردازیم، ابتدا تعدادی از مفاهیم پایه را باهم بررسی می‌کنیم.

اسکوپ چیست؟

یک اسکوپ مجموعه اهداف معینی است که توسط سازمان به عنوان دارایی‌هایی که قراراست به عنوان یک قرارداد مشخصی مورد تست و بررسی قرار بگیرند، لیست شده است. چیزهایی که داخل “in-scope” فهرست بندی شده اند واجد شرایط تست شدن هستند، و چیزهایی که “out of scope”  قرار دارند تست نخواهند شد. اسکوپ ها برای پن تست ها، باگ بانتی ها و تقریبا برای هرنوع تعامل امنیتی فعال قابل تعمیم است. هرچند دراین مقاله راهنما، ما بیشتر روی اسکوپ های مرتبط با برنامه های باگ بانتی صحبت می‌کنیم. در زمینه باگ بانتی، چیزهایی که داخل محدوده “in-scope” هستند درواقع چیزهایی هستند که محققان تشویق می شوند تا باگ ها و آسیب‌پذیری هایی که دراین محدوده پیدا کرده اند را گزارش کنند و درازای آن پاداش دریافت کنند. و چیزهایی که خارج از اسکوپ هستند جز منطقه ممنوعه هستند و درصورتی که محقق باگ یا آسیب پذیری ای دراین ناحیه کشف کند هیچ پاداشی درازای آن دریافت نمی کند.

در ادامه به معرفی 3 نوع اصلی اسکوپ می پردازیم:

  1. اسکوپ محدود: اسکوپ محدود در برنامه باگ بانتی به اسکوپی گفته می شود که تنها شامل یک تک هدف یا اهداف خاصی باشد. برای مثال، فقط “com” به عنوان دامنه in-scope لیست شده است که این جز دسته اسکوپ محدود قرار می‌گیرد. علاوه براین، حتی اگر “accounts.example.com” یا “api.example.com” به اسکوپ اضافه شود هم بااینکه اسکوپ بزرگتر می شود ولیکن هنوز محدود است. هرزمان که اسکوپ از اهداف خاص عین هم ساخته شود، به طور کلی اسکوپ محدود درنظر گرفته می شود.
  1. اسکوپ گسترده: یک برنامه باگ بانتی اسکوپ گسترده، برنامه ایست که دربرگیرنده یک نویسه‌ عام (wildcard) از اهداف in-scope است، مثل “*.com”. این نشان دهنده این است که تمام زیردامنه های example.com داخل اسکوپ قرا ردارند. برای مثال، بخشی از این نویسه عام میتواند دربرگیرنده آن قسمتی از سطح حمله باشد که قبلا ذکر یا کاوش نشده بود، مثل “staging-2019.example.com”  یا “admin.example.com”، که در هردوی اینها فرصت های زیادی برای تشخیص آسیب‌پذیری درآنها وجود دارد. محققان امنیتی به یافتن و بهره برداری کردن از دارایی هایی که به مرور زمان به فراموشی سپرد شده‌اند یا از نظرها پنهان شده اند، مهارت خاصی دارند. باگنجاندن نویسه عام، سازمان شما فرصت تشخیص خطرات امنیتی را در سطح بسیار گسترده تری از سطح حمله شما بالاتر می‌برد.
  2. اسکوپ باز: برنامه باگ بانتی اسکوپ باز، برنامه ایست که درآن تا زمانیکه آن دارایی یا هدف متعلق به سازمان شماست، هیچ محدودیتی  برای محدوده مورد کاوش محققان امنیتی،  که آیا می توانند آن محدوده را بررسی کنند یا نه وجود ندارد. اسکوپ های باز درحالت کلی چیزی شبیه به “هر دارایی با نمای خارجی متعلق به سازمان مثال است “، یعنی تازمانیکه این دارایی متعلق به سازمان است، چیزی از آن حذف نشده است. محققان امنیتی در زمینه تشخیص دارایی های دراین قسمت بسیار موثر عمل می‌کنند، یعنی برخی از آنها می‌توانند یک صفحه قدیمی بازاریابی مربوط به یک رویداد که دهه ها قبل برگزار شده را کشف و از آن بهره برداری کنند، یا ممکن است کلیدها یا اطلاعات حساسی که روی GitHub یا Pastebin ذخیره شده را پیدا کنند، ممکن است بقایای ادغام و تملیک و هر چیز ساختگی دیگری که در گوشه کنار محل های مختلفی از وب وجود دارند را کشف و از آنها بهره برداری کنند. اجرای یک برنامه اسکوپ باز از قدرت نفوذ کل جمعیت کامیونیتی برای کشف و تشخیص هر نقصی که باعث درمعرض حمله قرار گرفتن سازمان شما در سطح وب می‌شود، استفاده می‌کند. و اکثر اوقات چیزهایی بیشتر از آنچه که شما تصور می‌کنید وجود دارند.

اکثر سازمان ها و برنامه های باگ بانتی برای بهبود شرایط امنیتی شان در طول زمان، ترجیح می‌دهند تا از یک فرایند کلی و سیستماتیک پیروی کنند. یعنی از سطح پایه با اسکوپ محدود (example.com) شروع می‌کنند، در ادامه اسکوپ محدود را گسترش می‌دهند (accounts.example.com ، api.example.com )، سپس اسکوپ گسترده با نویسه عام را انتخاب می‌کنند (*.example.com) و در به اسکوپ باز منتقل می‌شوند (“هرچیزی که متعلق  به سازمان Example  است.”). برخی از سازمان ها این فرایند را در طول چند ماه طی می‌کنند، این درحالیست که  طی کردن این فرایند برای اکثر شرکت ها سالها طول می‌کشد، اما نکته مهم اینجاست که این فرایند همیشه روبه جلو حرکت می‌کند. تعداد کمی از سازمان ها (درصورت وجود) هم وجود دارند که سطح حمله خود را برای سال ها یا ماه ها دریک محدوده نگه میدارند، این درحالیست که همیشه قطعه کد یا دارایی جدیدی وجود دارد که در هرکدام از آنها امکان وجود آسیب پذیری های بیشتری وجود دارد.

اگر بخواهیم واضح تر بگوییم، هیچ مشکلی در اجرای برنامه باگ بانتی با اسکوپ محدود وجود ندارد، یعنی درکل بهتر از اجرا نکردن برنامه باگ بانتی برای آن اسکوپ است. درست است که انجام دادن  هر عملی بهتر از هیچ عمل نکردن است، ولیکن هیچ وقت کار کم جای کاری زیاد را نمیتواند بگیرد، همانطور که همه ما میدانیم، همیشه فرصت این را داریم که همان کارها را بهتر و بیشتر انجام دهیم.

بنابراین چرا وقتی صحبت از تامین امنیت سازمان تان به میان می آید، گسترش دادن اسکوپ مهم می‌شود؟ و مهم‌تر از آن، چرا داشتن اسکوپ باز قبل اینکه دارایی های سازمان شما در فضای سایبری آزاد  مورد بهره برداری قرار بگیرند بسیار ارزشمند و حیاتی است؟

در ادامه به بیان چند دلیل سطح بالا برای هر مورد پرداخته ایم:

  • بازیگران شرور در فضای آزاد سایبری با هیچ اسکوپ و قانونی بازی نمی‌کنند. برخلاف افراد شرکت کننده در برنامه های باگ بانتی، حزب شرور محدود به تست یک بخش از سطح حمله تعیین شده از سمت سازمان نیستند. بازیگران شرور برای پیدا کردن مسیر ضعیفتر به هرجایی سرک می‌کشند، که این مسیرها معمولا در دارایی هایی که بیشتر مورد تست قرار گرفته اند، نیست، بلکه به احتمال زیاد در دارایی هایی که مبهم هستند یا کمتر تست شده اند قرار دارند. اگر هدف یک برنامه باگ بانتی سخت تر و امن تر کردن دارایی شما با کشف مشکلات قبل از بازیگران شرور است، پس هردو سمت نیازدارند تا از یک نقطه دید یکسان و زمین بازی یکسان کار خود را انجام دهند. اگر یک نفر از طرفین قادر به رنگ آمیزی خارج از خطوط باشد، ولیکن طرف دیگر این اجازه را نداشته باشد، به نظر شما درآخر کدام طرف است که می تواند برنده شود؟ برای اینکه بتوانید به سازمان تان فرصت مقابله دربرابر حملات بدهید، دادن فرصت برابر به بچه های خوب برای کشف مشکلات قبل ازاینکه بازیگران شرور موفق به کشف آن شوند برای شما بسیار حیاتی است. درغیراینصورت، شرایط شبیه مسابقه اسب سواری با اسب مریض است!
  • برای شروع راه های زیادی پیش رو دارید. واقعیت این است که ممکن است شما یک صندوق بانکی در درب ورودی تان داشته باشید، همچنین یک درب همیشه باز غیرامن برای ورود و خروج حیوان خانگی تان هم در همان در وجود دارد( یا یک پنجره کاملا باز)،  ومتجاوزان این مسیر با مقاومت کم را پیدا می‌کنند و از آن بهره برداری می‌کنند. فقط با یک نگاه به نحوه سواستفاده متجاوزان از آسیب پذیری های زنجیره تامین می توانید به میزان مبتکربودن آنها پی ببرید. دربیشتر مواقع، یافتن راهی برای دور زدن محورهای با ایمنی کمتر، درمقابل حمله به چیزهایی که دفاع قوی تری دارند، بسیار آسان تر است. هر فرد نظامی و ارتشی از این مساله آگاه است، و مطمئن باشید بازیگران شرور هم از آن آگاه هستند. چه این مانور جانبی حمله از پشت باشد یا کشف یک دارایی سایه- IT فراموش شده که قادر به ایجاد یه جای پا در شبکه است، مفهوم هردو یکسان است: متجاوزان فقط از درب جلو به شما حمله نمی‌کنند، آنها از هر سوراخی که بتوانند پیدا کنند رخنه خواهند کرد. و اکثر مواقع، این محل های ناشناخته و دور از ذهن جاهایی هستند که آنها می توانند از طریق آن نفوذ کنند.
  • JP Morgan Chase از طریق تک سروری که آپدیت متناسب با MFA را دریافت نکرده بود مورد حمله قرار گرفت. دراین حمله 83 میلیون حساب کاربری به خطر افتاد ( حتی وقتی 99% موارد به روزرسانی شوند، هکرها و محققان امنیتی در کشف آن 1درصد باقیمانده هم مهارت دارند).
  • بیش از 70 میلیون رکورد در io از طریق یک سرور MongoDB بدون کلمه عبور به بیرون درز کرد.
  • 3 میلیون رکورد از Bonobos در سال 2021 بخاطر به خطر افتادن سرور پشتیبان، به بیرون درز کرد.
  • افشای Equifax’s به وسیله Apache Struts. آسیب پذیری مکررا بااستفاده از ابزارها و فرایندهای داخلی تشخیص داده نشده بود، تازمانیکه دربستر آزاد فضای سایبری توسط بازیگران شرور مورد بهره برداری قرار گرفت (محققان امنیتی در یافتن آسیب‌ها به سرعت یافتن نتایج روز صفر خوب عمل می‌کنند.)
  • MedEvolve 200 هزار رکورد حاوی داده PHI خود را بخاطر سرور FTP ناامن در دسترس عموم از دست داد.
  • و تعداد بی‌شمار دیگری وجود دارد که جزئیات چنین حملاتی درآنها ناشناخته است. واما نکته اخلاقی داستان: مهاجمان بایستی به یک جایی وارد شوند، که اکثر اوقات، این “یک جایی” همان دارایی است که به اینترنت متصل است (مخصوصا در دنیای مبتنی بر ابر و دورکاری کنونی)

آخر سراینکه: بازیگران شرور از شما برای تست کردن هیچ‌جایی اجازه نمی‌گیرند، یعنی نیازی به اجازه گرفتن ندارند. و ما با محدود کردن زمین بازی بازیگران خوب ، فقط در مبارزه برای تامین امنیت دارایی ها و داده ها به خودمان ضرر می‌زنیم. برای مبارزه عادلانه دراین جبهه، برنامه باگ بانتی با اسکوپ باز نه تنها کاربردی است، بلکه برای کمک به تامین امنیت سازمان و دارایی و شکست دادن بازیگران شرور یک ضرورت است.

تااینجا قانع کننده ترین و مهم ترین دلایل مان را برای اجرای برنامه اسکوپ باز عنوان کردیم.  اما ارزشش را دارد که برخی از داده های مهم را هم در ادامه بررسی کنیم:

  • به طور متوسط، موارد کشف شده در برنامه های با اسکوپ باز (یا حداقل Wildcard) نزدیک 250% بیشتر از برنامه های با اسکوپ محدود است. این یعنی 250% P1 بیشتر، که هر P1 تشخیص داده شده نشانگر یک نفوذ است که ممکن بود اتفاق بیفتد، ولی با اقدام به موقع نیفتاده است. با استفاده از قدرت جمعیت کامیونیتی برای کمک به شناسایی آسیب‌پذیری‌ها قبل از اینکه توسط بازیگران شرور مورد بهره برداری قرار بگیرند، از اتفاق افتادن این نفوذ جلوگیری شده است. خب این خیلی منطقی است که هرچقدر اسکوپ بزرگتر باشد آسیب پذیری های بیشتری را دربرخواهد گرفت، اما اسکوپ بزرگ دربرنامه بیشتر به محققان نشان می دهد که در اسکوپ ما به سوی شما باز است و همگی باید آسیب‌پذیری های (مخصوصا آسیب‌پذیری های بحرانی و خطرناک) بیشتری پیدا کنید. هیچ سکوی پرتاب بلندی برای پیدا کردن آنها وجود ندارد، یعنی اینکه آسیب‌پذیری ها همینجا هستند و به احتمال زیاد قبل از این هم وجود داشتند. مثل حشراتی که زیر سنگ هستند، اینکه شما آنها را میبینید یا نه مهم نیست، آنها همیشه آنجا هستند و وقتی شما سنگ را حرکت می‌دهید، آنها از زیر سنگ بیرون آمده و شما میتوانید آنها را مشاهده کنید. این امر برای اسکوپ و بانتی ها هم صادق است، یعنی باگ ها و خطرات آنجا هستند، فقط شما باید آنها را بررسی و افشا کنید.
  • چیزی که در تعداد بیشتری از یافته های برنامه هایی با اسکوپ بزرگ تر دیده می‌شود این است که، برنامه های با اسکوپ های وسیع تر اغلب از تعامل طولانی تر و اساسی تر محققان برخوردار هستند، دراین برنامه ها تست کنندگان در مدت زمان طولانی‌تر یافته های بیشتری را ثبت می‌کنند. اگر در اطراف یک سازمان اسکوپ های کافی وجود داشته باشد، تست کنندگان اغلب می توانند با مطالعه عمیق تر روی پروژه، چیزهای بیشتری درباره هدفی که درحال تست کردن هستند یادبگیرند. به محض عمیق شدن در مساله، (الف) احتمال اینکه بتوانند موارد جزئی تر و ضمنی تری را پیدا کنند خیلی زیاد است، و (ب) احتمال اینکه بیشتر روی اسکوپ کار کنند هم زیاداست، یعنی حتی در مقابل دارایی های اصلی هم چیزهای بیشتری پیدا کنند، چراکه زمان بیشتری برای تست کردن تمام دارایی های تعیین شده دارند. علاوه براین، در برنامه های با اسکوپ بزرگتر، تعداد محققان امنیتی شرکت کننده در برنامه به طور میانگین 2 برابر محققان شرکت کننده در برنامه های با اسکوپ محدود است. هرچقدر تعداد محققان امنیتی بیشتر باشد، در مدت طمان طولانی تر مشکلات بیشتری پیدا خواهند شد. وقتی بحث سر تامین امنیت دارایی های یک فرد است، این یک شرایط برد/برد/برد است.
  • درنهایت، محققان امنیتی مستقل (و همچنین بازیگران شرور) مهارت خوبی در پیدا کردن چیزهایی دارند که سازمان ها حتی از وجود چنین چیزهایی تابه حال اطلاع نداشتند و ندارند. اغلب زمانیکه سازمان ها به سمت اسکوپ های بزرگتر حرکت می‌کنند، از وجود تعداد قابل توجهی از دارایی هایی می شوند که قبلا فراموش یا ناپدید شده بودند، چه این دارایی های بقایای M&A ها، shadow IT، یا سناریوهای تهدیدی که قبلا به آنها فکر نشده بود باشند. همه اینها به دلیل هوشمندی و تنوع رویکردهایی است که توسط جمعیت کامیونیتی ارائه می‌شوند. به غیر از اجرای برنامه با اسکوپ کاملا باز برای تمام دارایی هایی که با اینترنت در ارتباط هستند، موارد بسیار کمی وجود دارد که می تواند به شما در کمک به ایمن سازی تمام ردپاهای خراجی سازمان موثر واقع شود. به بیان ساده تر، با برنامه اسکوپ باز چیزی حتی جرات نزدیک شدن به دارایی های شما را ندارد.

اسکوپ باز به خودی خود بسیار ارزشمند است و برای سازمان شما هم می‌تواند به این اندازه ارزشمند و قابل توجه باشد، ما همچنین به این موضوع آگاه هستیم که اینکار به آسانی فشردن یک دکمه نیست. همانطورکه گفته شد، برای آسان تر کردن این مساله درادامه به چند پرسش پرتکرار در این زمینه پاسخ داده ایم که با شما درمیان می‌گذاریم.

سوالات پرتکرار:

“من دوست ندارم هکرها همه چیز رو هک کنن…”

رایج ترین نگرانی افراد برای شرکت در برنامه باگ بانتی. اما واقعیت مساله این است که بازیگران بدجنس نیاز به اجازه شما برای هک کردن همه چیز یا هیچ چیز ندارند. به بیان دیگر: بچه های بد کارخود را انجام میدهند، چه شما بخواهید یا نه! حداقل کاری که میتوانید انجام دهید این است که زمین بازی را هموار کنیم و اینگونه به بازیگران خوب (محققان امنیت مسئولیت پذیر) که قادر هستند در ایمن‌سازی دارایی های شما قبل از اینکه در طبیعت وحشی فضای سایبری مورد بهره برداری قرار بگیرند، به شما کمک کنند. این یک راه ساده اما قدرتمند برای تغیر چارچوب گفتگو از ترس به فرصت است.

“امامن احساس میکنم اگر تمام دارایی هام رو داخل یک اسکوپ قرار بدم، هیچ کس تمام موارد سخت و نگران کننده ای که اهمیت بیشتری برای من دارند را تست نمی کنند… “

چنین نگرانی هایی کاملا منطقی است. بااین‌حال، پاسخ آسانی برای این سوال وجود دارد، و آن این است که با طبقه بندی ساختار پاداش، می توانید توجه بیشتری به سمت تست مواردی که ارزش و اهمیت بیشتری برایتان دارد جلب کنید. مثلا اگر برای پیدا کردن باگ های موجود در اپلیکیش اصلی مثلا 5 برابر بیشتر پاداش پرداخت کنید، تستسرها بازهم تمام سطح حمله را مورد بررسی قرار میدهند، ولیکن میدانند که پول بیشتری در جاییکه شما تعیین کرده اید منتظرشان است. بدین ترتیب می‌توانید روی ایمن سازی تمام قسمت های دارایی تان کار کنید، اما روی قسمت هایی که بیشتر حساس هستید هم تاکید کنید. مثالی که برای این مورد می تاونیم بیاوریم چیزی شبیه به مورد زیر است:

تمام دارایی ها: 100$ (P4) تا 1500$  (P1)

دارایی های ثانویه: 250$  (P4)  تا 2500$ (P1)

دارایی های اصلی : 500$ (P4) تا 5000$ (P1)

البته ممکن است شرایط شما متفاوت باشد، مثلا اگر اکنون شما تا 2500$ برای دارایی های اصلی تان تعیین کرده اید، پس برای دارایی های ثانویه تان می‌توانید پاداشی تا 1500$ تعیین کنید و بدین ترتیب برای داراریی های باقیمانده تا 750$ پاداش تعیین کنید. علاوه براین، هیچ نیازی نیست که این دسته بندی پاداش به صورت خطی باشد، می توانید برای دارایی های بسیار مهم تان پاداشی با مبلغ نامتناسب از سایر پاداش های تعیین شده تان درنظربگیرید. حتی اگر برای تمام دارایی هایتان بدون درنظر گرفتن اصلی یا ثانویه بودن، برای P4 پاداش 25$ و برای P1 مبلغ 500$ پاداش تعیین کرده اید، حتی دراینصورت هم محققان امنیتی برای پیدا کردن آسیب‌پذیری های رایج تست های رده بالایی انجام خواهند داد، پس در اسکوپ باز هم شما با سرور/دارایی درمعرض دید افشا شده یا آسیب‌پذیری روز صفر رفع نشده رها نخواهید شد.

“ایده داشتن یک اسکوپ باز برای من خوشاینده، ولیکن از لحاظ مالی شرایط پرداخت موارد پیدا شده (که ممکنه خیلی زیاد باشند) را ندارم “

این مساله هم نگرانی به جا و مهمی است که میتواند دغدغه خیلی از افراد باشد. اما به نظرتان پرداخت X دلار برای اطلاع پیدا کردن از آسیب‌پذیری بحرانی درمقابل سیستمی که اصلا در رادار شما نیست بهتر است، یا مقابله با هزینه یک نقص چند میلیون دلاری پس از حمله، به نظرتان گزینه اول بهتر نیست؟ به یاد داشته باشید که با باگ بانتی شما تنها برای آسیب‌پذیری‌های معتبر و تایید شده هزینه پرداخت می‌کنید. این به این معناست که اگر باگی وجود ندارد، پس هزینه ای هم صرف نخواهد شد، و اگر چیزی پیدا شد، پاداشی که پرداخت می‌کنید به گونه ای تنظیم می‌شود که با ارزش باگ ها و آسیب‌پذیری های بدست آمده متناسب باشد (برای مثال، با به ردیف درآوردن پاداش ها، شما هیچ وقت پاداش غیر منطقی‌ای برای یک باگ با الویت پایین پرداخت نخواهید کرد). همه چیز این روش نقاط قوت به حساب می‌آیند، نقاط ضعف ما خیلی محدود و ناچیز است.

“جالب به نظر میاد، ولیکن زیاد به کار من نماید، چراکه من به یک سطح حمله به این بزرگی دسترسی ندارم، من فقط یک شرکت کوچک هستم… “

بدون درنظر گرفتن اندازه شرکت یا کسب و کار، اجرای یک برنامه اسکوپ باز می تواند برای هر سازمانی ارزشمند باشد. اگر چیز زیادی برای جستجو کردن وجود ندارد، پس هیچ نقطه ضعفی برای اجرای اسکوپ باز وجود ندارد، ازاین رو پس چرا نتوانیم زمین بازی را سطح بندی کنیم و هرطورشده این ترفند را اجرا کنیم؟

علاوه براین، همانطور که آگاه هستید، در محیط‌های مبتنی بر ابر، دورکاری ها، سازمان‌هایی با سطح حمله بسیار پیچیده امروزی همیشه درگیر این مسائل هستند. مسلما دلیل موجهی برای پرکاربرد شدن مدیریت سطح حمله (Attack Surface MAnagment (ASM)) و خرید ابزارهایی مثل Expanse به مبلغ های میلیون دلاری در سال های اخیر وجود دارد. دلایل متعددی برای وجود مواردافشا شده زیادی که بیرون میبینید وجود دارد. دراین رابطه (و در رابطه با موارد زیاد دیگر) جمعیت بهترین سلاح سری است که در زمان نیاز برای حفظ تمام ردپاهای خودشان به کمک سازمان ها می‌آیند.

“چگونه می‌توانم به یک اسکوپ باز دست پیدا کنم؟  “

بهترین محل برای شروع به‌کار صحبت کردن با تیم موفقیت Bugcrowd  تان است، TCSM به شما در فراهم کردن راهنما، پیشنهادات و پشتیبانی برای هرچه که برای شروع نیاز دارید کمک می‌کند. تنها چیزی که برای شروع واقعا به آن نیاز دارید، میل سیری ناپذیر شماست، برای بقیه موارد ما به شما کمک خواهیم‌ کرد. نکته ای در زمان باز کردن یک اسکوپ باید به آن توجه کنید: ارائه یک فهرست از دارایی هایی که از قبل میدانستید داخل اسکوپ هستند. این می تواند یک نقطه شروع برای محققان باشد و باعث می‌شود تا از انجام برخی کارهای اولیه غیرضروری منصرف شوند. همچنین باعث می‌شود تا بیشتر روی مسائل مهم‌تر متمرکز شوند. درکل، هرچقدر اطلاعات بیشتری بتوانید جمع‌آوری و ارائه کنید، همانقدر بهتر است.

منبع 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *