تامین امنیت سامانه های اینترنتی با توجه به رخدادهای امنیتی رو به رشد یکی از مهمترین دغدغه های صاحبان این سامانه ها است. با توجه به پیچیدگی آسیب پذیری ها و حملات تحت وب که سامانه های اینترنتی را تهدید میکند، طراحی ها و پیکر بندی های امنیتی در هنگام طراحی و استقرار اولیه این سامانه ها قطعا جوابگو نخواهد بود و نیاز به پالایش های امنیتی و به روز رسانی ها مستمر لازم و اساسی است. روشهای متفاوتی برای تضمین امنیت سامانه های اینترنتی پیش روی صاحبان آنها وجود دارد که در این مقاله سعی میکنیم آنها را به صورت خلاصه بررسی نموده و مزایا و معایب هر کدام را به اختصار بیان نماییم.
اغلب شرکتها و سازمانها برای بررسی های امنیتی معمولا با استخدام و عقد قرارداد با تیم های تست نفوذ و انجام این تست ها در تلاشند که سامانه های خود را در مقابل جدیدترین تهدیدات امنیتی مصون داشته و از زیرساختهای خود محافظت نمایند. انجام تست نفوذ به این روش در کنار مزایای همچون محیط کنترل شده (Limited Scope) تست نفوذ، بهره گیری از توافقنامه عدم انتشار (NDA) که متخصص نفوذ را ملزم و متعهد به عدم افشای آسیب پذیری های کشف شده میکند، چالشهایی از قبیل محدود بودن گستردگی و دقت این تست ها به دانش تست نفوذ گر را دارا خواهد بود.
مسابقات کشف باگ یا Bug Bounty یکی دیگر از روشهایی است که استفاده از آن در بین شرکتهای مختلف در حال افزایش است. مسابقات کشف باگ به سازمانها و موسسات این امکان را میدهد که سامانه ها و پرتال های مختلف خود را در محدوده زمانی مشخص با پاداش و دستمزدی معین در معرض تست طیف وسیعی از متخصصین امنیت و نفوذ گران قرار دهند. همانطور که اشاره شد مهمترین مزیت این روش در مقایسه با استخدام و عقد قرارداد با تیمهای نفوذ گر برای انجام تست نفوذ، بهره گیری از دانش و تخصص طیف وسیعی از نفوذ گران است. معمولا در این روش جوایز تعیین شده بعد از کشف باگ و تایید آن توسط داوران به نفوذ گر تعلق میگیرد که این روش را به یکی از اقتصادی ترین روشها برای تامین امنیت سامانه های اینترنتی تبدیل کرده است. از معایب این روش میتوان به عدم امکان بهره گیری از تعهدات الزام آور همچون توافقنامه عدم انتشار (NDA) که در روش قبل ذکر شد نام برد. شرکتهای فراوانی در سراسر جهان در این زمینه فعالند و بستر های لازم برای مسابقات کشف باگ را فراهم مینمایند. داوری و تعیین اصالت باگ ها و مشکلات امنیتی کشف شده و تعاملات مالی بین سرویس گیرنده و نفوذ گر به عهده این شرکتها است.
روش دیگری که در کنار بهره گیری از تیم های امنیتی داخل سازمانی و استخدام تست نفوذ گران و مسابقات کشف باگ، در بین اکثر شرکتهای تراز اول بین المللی در حال گسترش است، طراحی و برخورداری از سیاست افشای آسیب پذیری ها VDP یا Vulnerability Disclosure Policy است. جزئیات و نحوه بهره گیری از سیاست افشای آسیب پذیری ها VDP در استاندارد ISO 29147 تعریف شده است. این سیاست بستری را فراهم میکند که متخصصین نفوذی که مشکلات امنیتی را در سامانه های اینترنتی کشف میکنند بجای سو استفاده از این آسیب پذیری ها، آنها را به اطلاع آن سازمان رسانده و در مقابل از پاداش مالی برخوردار گردند. یکی از مهمترین مزایای این روش این است که طراحی و تصویب و استفاده از این متد به صاحبان سامانه های اینترنتی این امکان را میدهد که سامانه های خود را به طور دائمی در معرض بررسی های امنیتی قرار دهند. گرچه این در روش برخلاف Bug Bounty که دستمزدی معین در زمان مشخص به متخصصین امنیت تعلق میگرد، پاداش معین و مشخصی به نفوذ گران تعلق نمیگیرد، ولی معمولا شرکتها و سازمانها برای ترغیب نفوذ گران و برای تشویق آنها برای عدم سوءاستفاده از آسیب پذیری های کشف شده و ارائه آنها به این سازمانها، پاداشی را برای این نفوذ گران در نظر میگیرند.
با توجه به مطالب ذکر شده بهترین سیاست بهره گیری از مزایای تمام این روشها با توجه به گستردگی و نیازهای امنیتی هر مجموعه ای است. سه روش ذکر شده در این مطلب میتوانند همپوشانی کاملی را در جهت تامین و تضمین امنیت سامانه های اینترنتی بوجود آورند.
شرکتها و سازمانهای فراوانی در زمینه برگزاری مسابقات کشف باگ و طراحی و اجرای سیاست افشای آسیب پذیری ها برای سازمانها و موسسات مختلف فعالیت میکنند که در مطالب بعدی با موفق ترین آنها آشنا خواهیم شد.
