أفضل 7 منصات Bug Bounty للمؤسسات لتحسين الأمان

فقط المتسلل يمكنه التفكير مثل المتسلل. لذلك ، عندما يتعلق الأمر بأن تصبح “مقاومًا للقرصنة” ، فقد تحتاج إلى اللجوء إلى أحد المتسللين.

لطالما كان أمان التطبيقات موضوعًا ساخنًا أصبح أكثر سخونة بمرور الوقت.

حتى مع وجود مجموعة كبيرة من الأدوات والممارسات الدفاعية المتاحة لنا (جدران الحماية ، SSL ، التشفير غير المتماثل ، وما إلى ذلك) ، لا يمكن لأي تطبيق مستند إلى الويب أن يدعي أنه آمن بعيدًا عن متناول المتسللين.

لماذا هذا؟

السبب البسيط هو أن بناء البرمجيات لا يزال عملية معقدة وهشة للغاية. لا تزال هناك أخطاء (معروفة وغير معروفة) داخل المؤسسة التي يستخدمها مطورو المؤسسة ، ويتم إنشاء أخطاء جديدة مع إطلاق برامج ومكتبات جديدة. حتى شركات التكنولوجيا رفيعة المستوى مستعدة للإحراج من حين لآخر ولسبب وجيه.

توظيف الآن . . . قراصنة!

بالنظر إلى أن الأخطاء ونقاط الضعف ربما لن تترك مجال البرمجيات أبدًا ، أين تترك الشركات معتمدة على هذا البرنامج للبقاء على قيد الحياة؟ كيف يمكن ، على سبيل المثال ، أن يتأكد تطبيق المحفظة الجديد من أنه سيواجه محاولات المتسللين السيئة؟

نعم ، لقد خمنت ذلك الآن: من خلال توظيف متسللين ليأتيوا ويأخذوا صدعًا في هذا التطبيق الجديد! ولماذا هم؟ فقط لأن هناك مكافأة كبيرة معروضة – مكافأة الخطأ! 🙂

إذا كانت كلمة “bounty” تعيد ذكريات الغرب المتوحش والرصاص الذي يتم إطلاقه دون التخلي ، فهذا بالضبط ما هي الفكرة هنا. يمكنك بطريقة ما الحصول على نخبة المتسللين الأكثر دراية (خبراء الأمن) لاستكشاف تطبيقك ، وإذا وجدوا شيئًا ما ، فسيتم مكافأتهم.

هناك طريقتان للقيام بذلك: 1) استضافة مكافأة خطأ بنفسك ؛ 2) استخدام منصة bug bounty.

Bug Bounty: الاستضافة الذاتية مقابل المنصات

لماذا ستواجه مشكلة اختيار (ودفع) منصة مكافأة الأخطاء بينما يمكنك ببساطة استضافتها بنفسك. أعني ، ما عليك سوى إنشاء صفحة تحتوي على التفاصيل ذات الصلة وإحداث بعض الضوضاء على وسائل التواصل الاجتماعي. من الواضح أنه لا يمكن أن يفشل ، أليس كذلك؟

هاكر غير مقتنع!

حسنًا ، هذه فكرة رائعة هناك ، لكن انظر إليها من منظور الهاكر. التدافع من أجل الأخطاء ليس بالمهمة السهلة ، لأنه يتطلب عدة سنوات من التدريب ، ومعرفة لا حدود لها تقريبًا بالأشياء القديمة والجديدة ، وأطنانًا من التصميم ، وإبداعًا أكثر مما يمتلكه معظم “المصممين المرئيين” (آسف ، لم أستطع مقاومة ذلك! :-P).

  طبقات نموذج OSI: دليل مقدمة

المتسلل لا يعرف من أنت أو ليس متأكدًا من أنك ستدفع. أو ربما ، ليس الدافع. تعمل المكافآت ذاتية الاستضافة مع عمالقة مثل Google و Apple و Facebook وما إلى ذلك ، والذين يمكن للأشخاص وضع أسمائهم في محفظتهم بكل فخر. “العثور على ثغرة أمنية خطيرة في تسجيل الدخول في تطبيق HRMS الذي طورته XYZ Tech Systems” لا يبدو مثيرًا للإعجاب الآن ، هل هو (مع الاعتذارات الواجبة لأي شركة قد تشبه هذا الاسم!)؟

ثم هناك أسباب أخرى عملية (وساحقة) لعدم الذهاب بمفردك عندما يتعلق الأمر بمكافآت الأخطاء.

نقص البنية التحتية

“المتسللون” الذين تحدثنا عنهم ليسوا هم الذين يطاردون شبكة الويب المظلمة.

هؤلاء ليس لديهم الوقت أو الصبر لعالمنا “المتحضر”. بدلاً من ذلك ، نحن نتحدث هنا عن باحثين من خلفية علوم الكمبيوتر الذين هم إما في جامعة أو كانوا صائدي الجوائز لفترة طويلة. يريد هؤلاء الأشخاص ويقدمون المعلومات بتنسيق معين ، وهو أمر مؤلم في حد ذاته للتعود عليه.

حتى أفضل المطورين لديك سيكافحون من أجل مواكبة ذلك ، وقد يتبين أن تكلفة الفرصة البديلة مرتفعة للغاية.

حل عمليات الإرسال

أخيرًا ، هناك مسألة الإثبات. قد يكون البرنامج مبنيًا على قواعد حتمية بالكامل ، ولكن بالضبط متى يتم استيفاء شرط معين هو أمر مطروح للنقاش. لنأخذ مثالاً لفهم هذا بشكل أفضل.

لنفترض أنك أنشأت مكافأة خطأ لأخطاء المصادقة والتخويل. أي أنك تدعي أن نظامك خالٍ من مخاطر انتحال الهوية ، والتي يتعين على المتسللين تخريبها.

الآن ، وجد المخترق نقطة ضعف بناءً على كيفية عمل متصفح معين ، مما يسمح له بسرقة رمز جلسة المستخدم وانتحال صفته.

هل هذا اكتشاف صحيح؟

من وجهة نظر المخترق ، فإن الاختراق هو بالتأكيد خرق. من وجهة نظرك ، ربما لا ، إما لأنك تعتقد أن هذا يقع في نطاق مسؤولية المستخدم أو أن المتصفح ببساطة ليس مصدر قلق للسوق المستهدف.

إذا كانت كل هذه الدراما تحدث على منصة bug bounty ، فسيكون هناك محكمون قادرون على تقرير تأثير الاكتشاف وإغلاق المشكلة.

مع ذلك ، دعنا نلقي نظرة على بعض منصات مكافآت الأخطاء الشائعة الموجودة هناك.

نعم

نعم هي عبارة عن منصة مكافآت الأخطاء العالمية التي توفر الكشف عن نقاط الضعف والأمن الجماعي عبر العديد من البلدان مثل فرنسا وألمانيا وسويسرا وسنغافورة. إنه يوفر حلاً معطلاً لـ Bug Bounty لمعالجة التهديدات المتزايدة مع زيادة سرعة الأعمال حيث لم تعد الأدوات التقليدية تلبي التوقعات.

  كيفية إلغاء تنشيط وحدة التحكم الرئيسية في PS4

يتيح لك YesWeHack الوصول إلى المجموعة الافتراضية من المتسللين الأخلاقيين وزيادة إمكانات الاختبار. حدد الصيادين الذين تريدهم وأرسل النطاقات ليتم اختبارها أو شاركها مع مجتمع YesWeHack. يتبع بعض اللوائح والمعايير الصارمة لحماية مصالح الصيادين وكذلك مصالحكم.

قم بتحسين أمان تطبيقك من خلال الاستفادة من استجابة الصياد وتقليل وقت المعالجة واكتشاف نقاط الضعف. ستتمكن من رؤية الفرق بمجرد بدء تشغيل البرنامج.

افتح Bug Bounty

هل تدفع مبالغ زائدة مقابل برامج مكافأة الأخطاء؟

محاولة افتح Bug Bounty لاختبار أمن الحشود.

هذه منصة مكافأة للأخطاء مدفوعة بالمجتمع ومفتوحة وخالية من التكلفة وغير وسيطة. بالإضافة إلى ذلك ، فإنه يوفر كشفًا مسؤولًا ومنسقًا عن الثغرات الأمنية متوافقًا مع ISO 29147. وحتى هذا التاريخ ، فقد ساعد في إصلاح أكثر من 641 ألف من الثغرات الأمنية.

استخدم الباحثون والمتخصصون في مجال الأمن من المواقع الرائدة مثل WikiHow و Twitter و Verizon و IKEA و MIT وجامعة بيركلي وفيليبس وياماها وغيرهم ، منصة Open Bug Bounty لحل مشكلات الأمان مثل نقاط الضعف في XSS وحقن SQL وما إلى ذلك. يمكنك العثور على محترفين يتمتعون بمعرفة عالية ويستجيبون لإنجاز عملك بسرعة.

هاكرون

من بين برامج bug bounty ، هاكرون هو الرائد عندما يتعلق الأمر بالوصول إلى المتسللين ، وإنشاء برامج المكافآت الخاصة بك ، ونشر الكلمة ، وتقييم المساهمات.

هناك طريقتان يمكنك من خلالهما استخدام Hackerone: استخدام النظام الأساسي لجمع تقارير الثغرات الأمنية والعمل عليها بنفسك أو السماح للخبراء في Hackerone بالقيام بالعمل الشاق (الفرز). الفرز ببساطة هو عملية تجميع تقارير الثغرات الأمنية والتحقق منها والتواصل مع المتسللين.

يتم استخدام Hackerone من قبل الأسماء الكبيرة مثل Google Play و PayPal و GitHub و Starbucks وما شابه ذلك ، لذلك بالطبع ، إنه مخصص لأولئك الذين يعانون من أخطاء شديدة وجيوب خطيرة. 😉

بوجكروود

بوجكروود يقدم العديد من الحلول للتقييمات الأمنية ، أحدها Bug Bounty. يوفر حل SaaS يندمج بسهولة في دورة حياة برنامجك الحالي ويجعل تشغيل برنامج مكافأة أخطاء ناجح أمرًا في غاية السهولة.

يمكنك اختيار أن يكون لديك برنامج مكافأة خطأ خاص يتضمن عددًا قليلاً من المتسللين أو برنامجًا عامًا يجمع آلاف الموارد.

  ما هو SD Express وما مدى سرعته؟

القبعات الآمنة

إذا كنت مؤسسة ولا تشعر بالراحة في جعل برنامج مكافأة الأخطاء الخاص بك عامًا – وفي نفس الوقت تحتاج إلى مزيد من الاهتمام أكثر مما يمكن أن تقدمه منصة مكافأة الأخطاء النموذجية – القبعات الآمنة هو الرهان الأكثر أمانًا (لعبة الكلمات الرهيبة ، أليس كذلك؟).

مستشار أمني مخصص ، ملفات تعريف متعمقة للقراصنة ، مشاركة بدعوة فقط – كل ذلك يتم توفيره بناءً على احتياجاتك ونضج نموذج الأمان الخاص بك.

Intigriti

Intigriti هي عبارة عن نظام أساسي لمكافأة الأخطاء يربطك بقراصنة ذوي القبعات البيضاء ، سواء كنت ترغب في تشغيل برنامج خاص أو عام.

بالنسبة للقراصنة ، هناك الكثير من المنح للاستيلاء. اعتمادًا على حجم الشركة والصناعة ، تتوفر عمليات صيد للأخطاء من 1000 يورو إلى 20000 يورو.

سيناك

يبدو أن Synack هو أحد استثناءات السوق التي تكسر القالب وينتهي بها الأمر بفعل شيء ضخم. برنامجهم الأمني هاك البنتاغون كان أهم ما يميزه ، مما أدى إلى اكتشاف العديد من نقاط الضعف الحرجة.

لذلك إذا كنت لا تبحث فقط عن اكتشاف الأخطاء ولكن أيضًا عن إرشادات الأمان والتدريب على أعلى مستوى ، سيناك هو الطريق للذهاب.

استنتاج

تمامًا كما تبتعد عن المعالجين الذين يعلنون “علاجات معجزة” ، يرجى الابتعاد عن أي موقع ويب أو خدمة تقول إن الأمن المضاد للرصاص ممكن. كل ما يمكننا فعله هو الاقتراب خطوة واحدة من المثالية. على هذا النحو ، لا ينبغي توقع أن تنتج برامج مكافآت الأخطاء تطبيقات خالية من الأخطاء ولكن يجب أن يُنظر إليها على أنها استراتيجية أساسية في التخلص من البرامج السيئة حقًا.

ألق نظرة على هذا بالطبع الصيد فضله للتعلم واكتساب الشهرة والمكافآت والتقدير.

تعرف على أكبر برامج مكافآت الأخطاء البرمجية في العالم.

أتمنى أن تسحق الكثير من الحشرات! 🙂