یک شکارچی باگ را دست کم نگیرید

شکارچی باگ

در تمام دنیا علاوه بر استفاده از تمامی خدمات و محصولات امنیتی از پلن شکارچی آسیب پذیری هم استفاده میشود، این امر در بالا بردن سطح امنیت وبسایت های معروف بسیار موثر بوده است، به همین دلیل شرکت هایی آغاز به فعالیت نموده اند که برنامه های Bug Bounty را ترتیب میدهند. این برنامه ها انگیزه ای برای شکارچیان باگ شده تا برای دریافت جایزه و کسب اعتبار همواره اقدام به جستجوی آسیب پذیری در پلتفرم ها و وبسایت های معروف کنند.

تاریخنوع آسیب پذیریلینک آسیب پذیریمحل ثبت
2019-10-17 Cross-Site ScriptingWordPress Plugin Soliloquy Lite 2.5.6exploit-db
2019-09-26Cross-Site Scripting all-in-one-seo-pack 3.2.7exploit-db
2019-06-10Cross-Site Scripting UliCMS 2019.1 Spitting Lamaexploit-db
2019-09-26Cross-Site Scripting Duplicate-Post 3.2.3exploit-db
2019-10-17Cross-Site Scripting WordPress Plugin FooGallery 1.8.12exploit-db

هر مشکلی می تواند بخشی از راه حل باشد

اصلی ترین عامل نفوذ به یک سازمان یا سرویس های تحت وب، آسیب پذیری های کد پایه است، این آسیب پذیری ها غالبا از دید نرم افزارهای پویشگر پنهان مانده و اشکار نمی شوند، از این روی برنامه جایزه در مقابل باگ، یک برنامه رایج در دنیا میباشد و شرکت های بزرگ و علاقمند، همواره از این برنامه ها استقبال کرده و از پتانسیل های این برنامه برای بالا بردن سطح امنیت خود استفاده میکنند. معاملات کشف باگ در مقابل جایزه بسیار جذاب است.

کشف باگ در مقابل جایزه نوعی از کسب و کار است که با توافق نفوذگر و سرویس دهنده اینترنتی بوجود می آید، در کشور ما همواره تلاش میشود تا این فرهنگ کسب و کار محترم شمرده شود و محققین به مصاحله با سرویس دهنده ها ترغیب شوند تا یک همکاری و بازی برد برد برای هر یک از طرفین به ارمغان بیاید، درنتیجه در این میان محققینی شکل گرفته اند که علاقمند هستند تا همواره در برنامه های شکار باگ شرکت کرده و از این راه کسب در آمد کنند.

معادلات تجاری و شغلی همواره بر بستر اعتبار سازی های علمی رواج دارد و علاقمندانی که میخواهند در بازار کار امنیت سایبری موفق باشند میبایست یکی از مولفه های اعتبار سازی یعنی شکار باگ را بخوبی انجام دهند، این اعتبار سازی سطح کیفی محقق را نشان داده و موجب میشود تا محقق خود را به عنوان یک کارشناس تراز معرفی نماید، از این روی شرکت در برنامه های جایزه در برابر باگ یک بازی دو سر سود است که آورده مالی خواهد داشت.

راهکار تهاجمی

یکی از راه های بالا بردن سطح امنیت در یک سازمان، این است که سناریو های مختلف حملات سایبری سطح پیشرفته بصورت شبیه سازی شده پیاده سازی شود و با استفاده از ترکیب تخصص های تست نفوذ و تیم قرمز، تمامی آسیب پذیری و نقص های زیرساختی امنیت دفاعی را مورد ارزیابی قرار گیرد. این ارزیابی ها مبتنی بر تکنیک های تیم های Advanced Persistent Threat میباشد. پلن هایی مانند نامحسوس بودن فایل های حمله در مقابل مکانیزم های دفاعی و فیلترسازی کانال ارتباطی با خط فرمان هم باید پیاده سازی شود، این امر باعث میشود تا مرکز کنترل امنیت (SOC) مورد ارزیابی قرار گیرد تا در برابر یک حمله واقعی واکنش های قابل پیش بینی از خود نشان دهد.

راهکار تدافعی

یکی از الزامات هر سازمان استفاده از راهکارهای تدافعی است، بدین معنی که باید در کنار استقرار دستگاه ها و نرم افزار های دفاعی مانند NIDS\HIDS و EDR، از پتانسیل های فنی نیروهای متخصص هم استفاده شود، متخصصین حوزه امنیت دفاعی به دو شاخه تیم آبی و جرم شناسی تقسیم میشوند که متخصصین تیم آبی راه اندازی، پیکربندی و نظارت بر مکانیزم های دفاعی را انجام میدهند، تیم جرم شناسی دیجیتال مکملی در کنار متخصصین تیم آبی بوده که مسئولیت شکار تهدید و جمع آوری اطلاعات تهدید را بر عهده دارد، از دیگر وظایف تیم های جرم شناسی انجام مهندسی معکوس است که در مواقعی که در حمله از باج افزار استفاده شده باشد، عملیات خنثی سازی را انجام میدهد.

فهرست