کدام یک از برنامه های VDP و MBB می تواند برای ما بهترین گزینه باشد

کدام یک از برنامه های VDP و MBB می تواند برای ما بهترین گزینه باشد

مساله امنیت مشکل تکنولوژی نیست، بلکه مشکل مردم است. برای رقابت با ارتشی از دشمنان و جلوتر بودن از حملات سایبری، به ارتشی از متحدان انسانی (به با عنوان جمع شناخته می‌شوند) نیاز داریم. برنامه های افشای آسیب‌پذیری (Vulnerability Disclosure Programs (VDPs)) وبرنامه های باگ بانتی‌ مدیریت شده (Managed Bug Bounty(MBB))  به‌عنوان دو گزینه محبوب به منظور تقویت جریان های کاری امنیتی با متخصصین و منابع جمع سپاری شده به وجود آمده‌اند.

برای افرادیکه جدیدا با امنیت سایبری جمع سپاری شده آشنا شده‌اند، تفاوت این دو گزینه زیاد قابل مشاهده نیست. بدین‌منظور دراین مقاله به شما کمک می‌کنیم تا با توجه به نیازتان از بین این دو گزینه گزینه مناسب خودتان را انتخاب کنید.

ظهور برنامه های  VDP و MBB

برنامه های VPD مدتی است که وجود دارند، اما باتوجه به گسترش زیرساخت های دیجیتالی سازمان‌ها و شرکت‌ها در طی سالهای اخیر، استفاده از ایان برنامه ها گسترده‌تر شد و شتاب بیشتری گرفت. ماه گذشته، Google و Salesforce محصول امنیتی بادوام کمینه (Minimum Viable Security Product(MSVP)) را معرفی کرد، که یک چک لیست امنیتی بی‌طرفانه است به منظور کمک به سازمانها برای تامین حداقل شرایط امنیتی پایدار محصول طراحی شده است. اولین پیشنهاد این توصیه‌نامه ایجاد یک برنامه افشای آسیب‌پذیری است. در سال 2020 آژانس امنیت سایبری و امنیت زیرساخت (CISA) یک دستورالعمل الزام‌آور منتشر کرد که طی آن استفاده از برنامه های VDP یک ضرورت است و آژانس‌های شخصی فدرال را مجبور می‌کند تا در یک بازه زمانی خاص آسیب‌پذیری‌های کشف شده سیستم های خود را طبق دسته بندی ارائه شده اصلاح کنند.

این بحث در سمت برنامه های باگ بانتی مدیریت شده حتی داغتر از VDP است. گوگل یک برنامه 3ماهه باگ بانتی، که جایزه سه‌برابری برای آن تعیین کرده‌است، برگزار کرده است که روی شکاف های موجود در کرنل لینوکس متمرکز شده است.

فرق بین برنامه های VDP و MBB

برنامه های VDP و MBB از ابزارهای ضروری جعبه ابزار امنیتی شما هستند، اما کدام ابزار برای کدام کار کاربردی است؟ بیایید تا باهم مقایسه کنیم:

  • برنامه VDP: برنامه VDP یک کانال امن و عمومی است که همه افراد می‌توانند در آن آسیب‌پذیری‌هایی که از سازمان‌ها کشف کرده‌اند را در آن ثبت کنند و این امکان به آن‌ها کمک می‌کند تا با افشا و اصلاح آسیب‌پذیری ها قبل ازاینکه به دست افراد مجرم از آنها بهره برداری شود، خطر سواستفاده از آن ها را کاهش می‎‌دهد. برخلاف برنامه باگ بانتی، ثبت آسیب پذیری در برنامه VDP با پرداخت جایزه نقدی همراه نیست. انتشار گزراش یک آسیب‌پذیری پس از اصلاح آن یکی از ویژگی های بارز برنامه های VDP است، و به محقق امنیتی این اجازه را می‌دهد که دانش خود را با بقیه به اشتراک بگذارد و درعوض برای خودش اعتبار و شهرت کسب کند.
  • برنامه MBB عمومی: برنامه باگ بانتی مدیریت شده عمومی به صورتی است که همه می‌توانند در این برنامه باگ بانتی شرکت کنند. تقریبا مشابه برنامه VDP است فقط بااین تفاوت که در باگ بانتی برای تست های کنشگر جایزه ای مثل پول یا جوایز دیگری به عنوان پاداش پرداخت می‌شود. یکی دیگر از ویژگی های برنامه های MBB امکان هدایت برنامه به سمت خاصی است که سازمان احساس می‌کند آسیب‌پذیری‌های امنیتی خطرناک تری در این ناحیه وجود دارد.
  • برنامه MBB خصوصی: برنامه خصوصی باگ بانتی مدیریت شده اغلب ازنظر اسکوپ کاری محدودتر از برنامه های عمومی هستند (برای مثال، روی یک هدف و تارگت خاصی عمیق تر متمرکز شده‌است). محققان با دریافت جوایز نقدی تشویق می‌شوند(معروف به “پرداخت درمقابل نتیجه”). دربرنامه MBBخصوصی از محققان منتخب برای شرکت در برنامه دعوت می‌شود، که دراینصورت انتخاب مهارت های موردنیاز، با بررسی پس زمینه مهارتی، جغرافیایی و … متخصص را برای شرکت امکان پذیر می‌سازد.

آشنایی با موارد استفاده برنامه های VDP و MBB

راحت ترین پایخ به این سوال، این است که بگوییم “بستگی دارد”. اما ما میگوییم که یک برنامه افشای آسیب‌پذیری بایستی به استاندارد امنیتی پایه برای همه تبدیل شود، مثل دیوار آتش. تمام کدها دارای آسیب‌پذیری‌هایی هستند، حتی آن‌ دسته از کدهایی که اقدامات زیادی برای جلوگیری از وجود آسیب‌پذیری در آن‌ها انجام شده‌است. طبق گفته‌های Coralogic، شرکت تجزیه و تحلیل و ثبت داده‌ها، به طور میانگین، یک توسعه دهنده نرم افزار در هر 1000 خط کدی که تولید می‌کند، 70 باگ ایجاد می‌کند. یک برنامه VDP طرزفکر “یه چیز دیدی، یه چیزی بگو” را در سازمان شما پایه‌گذاری می‌کند که یک کانال سراسری برای گزارش آسسیب‌پذیری‌ها ایجاد می‌کند و درنظر عموم این دیدگاه را از سازمان شما ایجاد می‌کند که تمام تلاشتان را برای حفاظت از مشتری‌ها، شرکا و تامین کنندگان تان به‌کار می‌برید.

حتی اگر شرکت شما سفر امنیت سایبری خود را بایک رویکرد جمع‌سپاری شده و چیزی غیر از VDP (برای مثال باگ بانتی یا تست نفوذ) آغاز کند، VDP جایگاه المان بنیادین بودن خود را از دست نخواهد داد.

ازطرف دیگر، سازمان‌ها می‌توانند این فرایند امنیتی را با یک برنامه باگ بانتی خصوصی شروع کنند. این کاری است که شرکت Motorola انجام داد و با Bugcrowd یک برنامه خصوصی MBB راه اندازی کرد. پس از موفقیت آمیز بودن این برنامه باگ بانتی خصوصی، شرکت Motorola خواستار راه اندازی کانالی برای نمایش رشد امنیت خود بود که از طریق آن میتوانست با جامعه وسیعی از محققان ارتباط برقرار کند. این کار باعث به وجود آمدن برنامه “نگهبان محله (Neighborhood Watch)”  به شکل برنامه VDP شد. شرکت Motorola  با راه اندازی یک برنامه باگ بانتی خصوصی قبل از اجرای یک برنامه افشای آسیب‌پذیری، یک کار منطقی برای کسب و کار خود انجام داد. درنهایت نتیجه همانی بود که میخواست، مشتریان راضی و محصولات امن!

گاها از برنامه باگ بانتی خصوصی به عنوان سکوی پرتاب به سمت برنامه باگ بانتی عمومی استفاده می‌شود. برنامه باگ بانتی عمومی اکثرا برای سازمانهایی مناسب است که قدرت رفع درزهای امنیتی کشف شده را به کمک منابع تیمی و چرخه حیات توسعه نرم افزار(SDLC)، در کمترین زمان ممکن را داشته باشند.

برنامه‌های VDP و MBB چگونه با چالش‌های امنیتی مقابله می‌کنند؟

همه این گزینه ها به سازمان ها کمک می‌کنند تا با مشکلات مزمنی که در جذب و  حفظ نیروهای امنیتی ماهر درست (معروف به غلبه بر شکاف مهارتی) رفتار مناسبی داشته باشند. این موانع با نیاز همیشگی به حرکت سریع برای گسترش هرچه بیشتر زیرساخت ها و اپلیکیشن ها شدیدتر می‌شوند. نیازهایی که به نوبه خود سطح حمله بیشتری را برای دفاع به‌وجود می‌آورند. البته خلاقیت و جاه‌طلبی مهاجمان نیز یک چالش همیشگی است. تمام این موانع با امنیت سایبری جمع سپاری شده که توسط برنامه های VDP  و MBB ارائه می‌شوند، به میزان قابل توجهی کاهش می‌یابد.

از بین این گزینه ها، MBBعمومی بیشتر ازبقیه گزینه ها جلب توجه می‌کند. گزینه ای است که مردم معمولا وقتی سخنی از باگ بانتی به میان می‌آید، اول از هرچیزی به آن فکر می‌کنند. اگر سازمان شما به حدی رشد کرده است که بتواند توجه طیف گسترده‌ای از افراد بااستعداد را به خود جلب کند و درباره امنیت سازمان خود برای عموم بیانه‌ای بسیار قوی ارائه دهد، با یک برنامه MBB موفقیت زیادی می‎‌توانید بدست آورید.

چه مشکلی را حل می‌کند چه مشکلی را حل نمی‌کند
برنامه افشای آسیب‌پذیری(VDP)
  • افراد را تشویق می‌کند تا تمام چیزهایی که در دارایی های اینترنتی کشف می‌کنند گزراش کنند.
  • پرداخت هزینه قابل پیش‌بینی  (مثل باگ بانتی نیست)
  • اعتبار سازمان را با توجه به اهمیتی که به امنیت می دهد بالا می‌برد
  • انتظارات عمومی را برآورده می‌کند
  • مناسب تست های فعال و مداوم نیست
  • مناسب کشف آسیب پذیری های جدی نیست
  • براساس روش خاصی انجام نمی‌گیرد
  • تست نمی تواند روی یک حوزه خاصی متمرکز شود
  • دسترسی محقق را نمی‌توان محدود کرد
باگ بانتی مدیریت شده(MBB)
  • یک تست پاداش دار را برای قسمت خاصی از دارایی یا همه آن ارائه می‌کند.
  • به سازمان این اطمینان را می دهد که محققان براساس مهارت، تجربه، موقعیت مکانی، اولویت و عملکردشان انتخاب شده‌اند
  • راساس تقاضا یا پوشش دائمی برای سیکل های انتشار سریع پیشنهادان خود را ارائه می‌دهد.
  • برای کشف آسیب‌پذیری های خطرناک جایزه بزرگ درنظرگرفته می‌شود.
  • برخی از انتظارات را برآورده نمی‌کند
  • به راحتی نمی‌تواند پوشش کامل دارایی را ثابت کرد
  • فقط از طرف افراد انتخاب شده گزارش آسیب‌پذیری می‌گیرید.
  • معمولا محدود به اسکوپ خاصی است.

خب حالا شما یک دانش کلی از برنامه های VDP و MBB دارید، انتخاب بعدی شما چیست؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *