آشنایی با یک نمونه سیاست کشف آسیب‌پذیری(VDP)

وقتی سازمان‌ها برای اولین بار وارد حوزه باگ بانتی میشوند، یکی از اصلی‌‌ترین سوالهایی که برای آن‌ها به وجود می‌آید چگونگی پذیرش گزارش‌های آسیب‌پذیری است. آیا میتوان ساز و کاری اندیشید تا قبول یا رد کردن گزارش‌ها با سادگی و شفافیت حداکثری انجام شود؟ بله! VDP همه چیز را مشخص میکند.

VDP (Vulnerability Disclosure Policy) یا سیاست کشف آسیب‌پذیری توسط هر سازمان با مشاوره تخصصی باگدشت تهیه می‌شود تا از هرگونه سردرگمی پس از دریافت گزارش‌های آسیب‌پذیری جلوگیری کند.همچنین برای آشنایی با مفهموم برنامه اعلام باگ یا VDP به وبلاگ باگدشت مراجعه فرمائید. موارد ذیل از جمله مواردی هستند که باید در VDP مشخص شوند:

  1. سامانه های معرفی شده در برنامه (In Scope) و خارج از برنامه (Out Of Scope)
  2. دسته‌بندی آسیب‌پذیری‌های مورد قبول و غیرقابل قبول
  3. زمان‌بندی، چگونگی و میزان مبالغ پرداختی به عنوان جایزه (بانتی)
  4. مشخص کردن روال و چگونگی انجام تست‌ها

برای درک بهتر موضوع بد نیست نگاهی به یک نمونه VDP مربوط به سازمانی‌ فعال در حوزه‌ خدمات گردشگری و هتلداری داشته باشیم و سرفصل‌هایی که باید در VDP باشند را بررسی کنیم:

ارائه زمان‌بندی

در این بخش سازمان به صورت تقریبی اعلام میکند که برای انجام هریک از مراحل پذیرش گزارش چه مدت زمانی نیاز دارد:

  1. پاسخ اولیه: سه روز
  2. انجام تریاژ: یک هفته
  3. پرداخت بانتی: پس از اینکه آسیب‌پذیری توسط سازمان و باگدشت تایید شد(حداکثر ۶۰ روز)

سیاست عدم افشای اطلاعات

  1. بدون کسب رضایت‌نامه کتبی از سازمان متخصص نباید هیچگاه هرگونه اطلاعات مربوط به برنامه باگ‌بانتی سازمان یا آسیب‌پذیری‌های کشف شده را افشا کند. افشا شامل ارسال مطالب در شبکه‌های اجتماعی و یا استفاده از اطلاعات با قصد تولید محتوای آموزشی نیز میشود.
  2. در همه موارد ذکر نشده نیز، پیروی از قوانین باگدشت لازم الاجراست.

قوانین کلی برنامه باگ‌بانتی

  1. از جمع‌آوری هرگونه اطلاعات شخصی مربوط به مسافران و کاربران سامانه خودداری کنید.
  2. از تغییر دادن یا پاک کردن اطلاعات کشف‌شده خودداری کنید.
  3. تجربه کاربری (UX) کاربران نباید دچار اختلال شود.
  4. کارکنان و پیمانکاران فعلی و یا سابق سازمان نمیتوانند در این برنامه شرکت کنند.
  5. در صورتی که یک آسیب‌پذیری توسط چند متخصص ثبت شوند، تنها اولین نفر مشمول دریافت بانتی میشود.
  6. از به‌کارگیری مهندسی اجتماعی (Social Engineering) خودداری کنید.

قوانین ثبت گزارش

  1. تنها گزارش‌هایی مورد قبول است که از طریق پلتفرم باگدشت ثبت شوند و سازمان بلیست سامانه‌های خارج از برنامه (Out Of Scope)و دسته بندی آسیب‌پذیری‌های غیرقابل ‌قبولرنامه‌ای برای ارتباط مستقیم با متخصصین ندارد.
  2. گزارش‌های ثبت شده باید طبق استاندارد باگدشت تهیه شوند.

روش‌های تست

  1. متخصصین میتوانند از اکانت‌های تستی ساخته‌شده مخصوص این برنامه باگ‌بانتی در تست‌های خود استفاده کنند.
  2. در صورتی که تست شما شامل رزرو اتاق یا مواردی از این دست میباشد، لطفا در توضیحات نام باگدشت ذکر شود و رزرو مذکور نیز باید با فاصله زمانی حداقل دو ماه انجام شده و بلافاصله پس از اتمام تست لغو شود.

جوایز (بانتی‌ها)

تمام گزارش‌ها براساس محاسبه‌گر CVSS امتیاز‌بندی شده و طبق مبالغ از پیش تعیین شده پرداخت میشوند

لیست سامانه‌های معرفی شده (In Scope) و دسته‌بندی آسیب‌پذیری‌های مورد قبول

  1. دور زدن منطق بیزینس
  2. تغییر سطح دسترسی
  3. XSS

لیست سامانه‌های خارج از برنامه (Out Of Scope) و دسته بندی آسیب‌پذیری‌های غیرقابل ‌قبول

  1. هرگونه آسیب‌پذیری منجر به از دست رفتن سرویس (DoS)
  2. آسیب‌پذیری‌هایی که هرگونه نیاز به دسترسی فیزیکی به دستگاه‌های سازمان یا قربانی دارند.
  3. آسیب‌پذیری‌های مربوط به افشای نسخه نرم‌افزار

مصونیت قانونی

سازمان متعهد میشود در صورتی که متخصصین تست‌های خود را با رعایت موارد بالا انجام دهند، هیچ‌گونه پیگرد و مسئولیت قانونی از سمت سازمان متوجه آن‌ها نخواهد بود. همچنین در صورتی که طرف ثالثی قصد پیگرد متخصص را بنابر تست‌های انجام‌شده ذیل این برنامه داشته باشد، سازمان آماده است رضایت خود از تست‌های انجام‌شده را اعلام نماید.
بدین ترتیب میتوان با تهیه‌ی یک VDP مناسب تجربه‌ای لذت بخش و بدون سردرگمی را در باگ‌بانتی داشت و هرچه ‌بیشتر در راستای امن‌سازی سامانه‌ها قدم برداشت.

در این ویدیو؛ مدیر عامل مجموعه باگدشت در خصوص راهکار بین المللی کاهش مسایل حقوقی اعلام باگ امنیتی را عنوان نموده است.

بدین ترتیب میتوان با تهیه‌ی یک VDP مناسب تجربه‌ای لذت بخش و بدون سردرگمی را در باگ‌بانتی داشت و هرچه ‌بیشتر در راستای امن‌سازی سامانه‌ها قدم برداشت.

در صورت تمایل به اشتراگ بگذارید