یک شکارچی باگ را دست کم نگیرید

شکارچی باگ

در تمام دنیا علاوه بر استفاده از تمامی خدمات و محصولات امنیتی از پلن شکارچی باگ هم استفاده میشود، این امر در بالا بردن سطح امنیت وبسایت های معروف بسیار مؤثر بوده است، به همین دلیل شرکت هایی آغاز به فعالیت نموده اند که برنامه های Bug Bounty را ترتیب میدهند. این برنامه ها انگیزه ای برای شکارچیان باگ شده تا برای دریافت جایزه و کسب اعتبار همواره اقدام به جستجوی آسیب پذیری در پلتفرم ها و وبسایت های معروف کنند.

تاریخنوع آسیب پذیریلینک آسیب پذیریمحل ثبت
2019-10-17 Cross-Site ScriptingWordPress Plugin Soliloquy Lite 2.5.6exploit-db
2019-09-26Cross-Site Scriptingall-in-one-seo-pack 3.2.7exploit-db
2019-06-10Cross-Site ScriptingUliCMS 2019.1 Spitting Lamaexploit-db
2019-09-26Cross-Site ScriptingDuplicate-Post 3.2.3exploit-db
2019-10-17Cross-Site ScriptingWordPress Plugin FooGallery 1.8.12exploit-db

هر مشکلی می تواند بخشی از راه حل باشد

اصلی ترین عامل نفوذ به یک سازمان یا سرویس های تحت وب، آسیب پذیری های کد پایه است، این آسیب پذیری ها غالبا از دید نرم افزارهای پویشگر پنهان مانده و آشکار نمی شوند، از این روی برنامه جایزه در مقابل باگ، یک برنامه رایج در دنیا میباشد و شرکت های بزرگ و علاقمند، همواره از این برنامه ها استقبال کرده و از پتانسیل های این برنامه برای بالا بردن سطح امنیت خود استفاده میکنند. معاملات کشف باگ در مقابل جایزه بسیار جذاب است.

کشف باگ در مقابل جایزه نوعی از کسب و کار است که با توافق نفوذگر و سرویس دهنده اینترنتی به‌وجود می آید، در کشور ما همواره تلاش میشود تا این فرهنگ کسب و کار محترم شمرده شود و محققین به مصاحله با سرویس دهنده ها ترغیب شوند تا یک همکاری و بازی برد برد برای هر یک از طرفین به ارمغان بیاید، درنتیجه در این میان محققینی شکل گرفته اند که علاقمند هستند تا همواره در برنامه های شکار باگ شرکت کرده و از این راه کسب در آمد کنند.

معادلات تجاری و شغلی همواره بر بستر اعتبار سازی های علمی رواج دارد و علاقمندانی که میخواهند در بازار کار امنیت سایبری موفق باشند میبایست یکی از مولفه های اعتبار سازی یعنی شکار باگ را به‌خوبی انجام دهند، این اعتبار سازی سطح کیفی محقق را نشان داده و موجب میشود تا محقق خود را به عنوان یک کارشناس تراز معرفی نماید، از این روی شرکت در برنامه های جایزه در برابر باگ یک بازی دو سر سود است که آورده مالی خواهد داشت.

شبیه سازی تهاجمی

یکی از راه های بالا بردن سطح امنیت در یک سازمان، این است که سناریو های مختلف حملات سایبری سطح پیشرفته به‌صورت شبیه سازی شده بر روی سازمان مربوط پیاده‌سازی شود و با استفاده از ترکیب تخصص های تست نفوذ و تیم قرمز، تمامی آسیب پذیری و نقص های زیرساختی امنیت دفاعی را مورد ارزیابی قرار گیرد. این ارزیابی ها مبتنی بر تکنیک های تیم های Advanced Persistent Threat میباشد. پلن هایی مانند نامحسوس در مقابل مکانیزم های دفاعی و فیلترسازی کانال ارتباطی با خط فرمان، که این امور باعث میشود تا مرکز کنترل امنیت (SOC) مورد ارزیابی قرار گیرد تا در برابر یک حمله واقعی واکنش های قابل پیش بینی از خود نشان دهد.

عملیات تدافعی

یکی از الزامات هر سازمان استفاده از راهکارهای تدافعی است، بدین معنی که باید در کنار استقرار دستگاه ها و نرم‌افزار های دفاعی مانند NIDS\HIDS و EDR، از پتانسیل نیروهای متخصص هم استفاده شود، متخصصین حوزه امنیت دفاعی به دو شاخه تیم آبی و جرم شناسی تقسیم میشوند که متخصصین تیم آبی راه‌اندازی، پیکربندی و نظارت بر مکانیزم های دفاعی را انجام میدهند، تیم جرم شناسی دیجیتال مکملی بوده که مسئولیت شکار تهدید و جمع‌آوری اطلاعات تهدید را بر عهده دارد، از دیگر وظایف تیم های جرم شناسی انجام عملیات مهندسی معکوس است که در مواقعی که باج افزار استفاده شده باشد، عملیات خنثی سازی را انجام میدهند.