باگ‌بانتی حافظ امنیت سامانه ها

تهران بهشت؛ هر روزه و درگوشه و کنار جهان اخباری مبنی بر هک، نفوذ، لو رفتن اطلاعات و … مربوط به، نه تنها شرکت های خصوصی بلکه بزرگترین موسسات دولتی از پیشرفته ترین کشور ها تا کشورهای در حال توسعه و جهان سوم هستیم که شاید حمله هکرها به حساب‌های توییتر را بتوان بزرگترین حمله در تاریخ امنیت داده ها دانست و بدون شک موضوع امنیت دستگاه‌ها و سازمان‌های گوناگون هر روز داغ‌تر می‌شود و اهمیت حفظ امنیت سامانه ها و سایت‌های مختلف در پی نفوذ و یا فروش اطلاعات کاربران توسط هکرها موجب شده است، بیش از گذشته به چشم می خورد در همین راستا شرکت‌های فعال در حوزه باگ‌بانتی با شناسایی باگ‌های امنیتی واطلاع آن باگ‌ها به سازمان‌ها و سامانه‌های مختلف موجب افزایش سطح ایمنی سایت‌ها خواهند شد.
بنابراین گزارش، از زمانیکه اینترنت و فضای مجازی پایش به کشورمان باز شد، بحث امنیت سایبری مطرح و امنیت شبکه و امنیت سایبری حدود ۲۰ سال پیش به طور رسمی در کشور به وجود آمد، اما در آن زمان فعالان آگاه در این زمینه افراد بسیار کمی بودند اما پس از گذر زمان و مورد تهاجم قرار گرفتن بخش سایبری کشور توسط هکرها، دولت بودجه و توجه خاصی را به این بخش اختصاص داد.
در همین راستا، بخش دولتی برای بهبود وضعیت سایبری کشور، ارتباط خود با افراد آگاه در زمینه امنیت شبکه را افزایش داد و به صورت محدود نیز با جامعه هکر‌ها وارد تعامل شد. نیرو‌های نظامی، به ویژه پلیس نیز فعالیت خود روی این موضوع را از سال ۷۹ آغاز کردند و اولین تیم امنیت سایبری پلیس ایران به وجود آمد؛ این تیم پس از مدتی به یک بخش جداگانه در ایران تبدیل شد که پلیس فتا نام‌گذاری شد.
این گزارش حاکی است، مزیت‌های باگ‌بانتی و رویکرد نوین آن هنوز به صورت کامل برای تمامی شرکت‌ها و سازمان‌ها شناخته شده نیست به گونه ای که این روش"باگ بانتی" از سوی پلیس فتا و مرکز افتای ریاست جمهوری نیزبه رسمیت شناخته نمی شد و مهمتر آنکه بسیاری از شرکت‌ها به دلیل هراس از شناسایی هکرها و تلاش بیشتر برای نفوذ، حاضر به تن دادن به این آزمون نیستند تا مورد ارزیابی امنیتی قرار بگیرند در حالیکه همیشه و در لحظات مختلف سازمان‌ها توسط مهاجمین در حال بررسی هستند و باگ بانتی می‌تواند کمک کند تا سریع‌تر به مشکل امنیتی خود آگاه شوند و در جهت رفع آن اقدام کنند.
در کشور‌های دیگر شرکت‌های بزرگ برای جلوگیری از هک شدن اطلاعات آن‌ها، از موضوعی تحت عنوان باگ بانتی استفاده می‌کنند. بسیاری از شرکت‌های بزرگ برای مشخص شدن نقص‌های امنیتی موجود در شبکه خود، در ازای پیدا کردن آن نقص‌های امنیتی، جایزه یا مبلغی معین پول را به یابنده این باگ‌ها پرداخت می‌کنند و به این ترتیب امنیت شبکه خود را افزایش می‌دهند؛ ایده این کار برای اولین بار در سال ۱۹۹۵ و توسط شرکت Net Scape داده شد و به نوعی این شرکت بنیان گذار ترفند باگ بانتی در جهان است.
در حال حاضر نیز شرکت‌های بسیار بزرگی نظیر فیسبوک، توییتر، مایکروسافت، فروشگاه استیم و تعداد بسیار زیادی شرکت دیگر از باگ بانتی برای مشخص شدن ایرادات امنیتی خود استفاده می‌کنند. این در حالی است که در بسیاری از وب سایت‌ها و استارت‌آپ‌های داخلی این موضوع اصلا رعایت نمی‌شود و بحث باگ بانتی در کشور ما وجود ندارد؛ به این ترتیب باگ‌های امنیتی موجود در وب سایت‌ها مشخص نمی‌شود.
جالب است بدانیم، بسیاری از اپراتورهای بزرگ جهان همچون MTN ، Verizon، AT&T به صورت مستمر از سوی هکروان که یک شرکت باگ‌بانتی بین‌المللی است به صورت مرتب مورد ارزیابی امنیتی قرار می‌گیرند؛ همچنین بسیاری از شرکت‌های پرداختی بین‌المللی همچون PayPal، MasterCard، Coin Base و غیره نیز درهمین فرایند قرار دارند و به صورت مرتب از سوی شرکت‌های باگ بانتی مورد تست و ارزیابی قرار می‌گیرند.
خوشبختانه باتوجه به اینکه مشخص شده است هکرهای کلاه سفید نه تنها موجب افزایش پرونده‌های قضایی نمی‌شوند و بر عکس کمک شایانی به کاهش پرونده‌ها می‌کنند، نگاه نسبتا مثبتی در میان مدیران و مسولین ایجاد شده است.
ارزیابی‌های صورت گرفته از سوی شرکت‌های باگ‌بانتی تکمیل کننده فرایند کاری تیم‌های امنیتی شرکت‌هاست؛ بسیاری از شرکت‌ها با این تصور که خودشان تیم امنیتی در اختیار دارند و دیگر نیازی به سرویس‌دهی این شرکت‌ها نیست از پذیرفتن سرویس آنها امتناع می‌کنند.
لازم به ذکر است؛ قراردادهایی که برای یافتن باگ‌های امنیتی منعقد می‌شود حداقل دوره‌هایی ۳ ماهه و یا بیشتر دارند و در این دوره زمانی مدیران سازمان‌ها و شرکت‌ها به پنلی دسترسی دارند و کارشناسان امنیتی فعال با یافتن باگ‌های امنیتی آن باگ‌ها را به اطلاع مدیران سامانه‌ها می‌رسانند تا آنان در جهت رفع آن اقدام کنند.