گروه OVH که ۱۷ سال پیش ایجاد شده، امنیت را همواره در اولویت قرار داده است. گزارش باگ اکنون از طریق security[at]ovh.net ممکن شده و به پیشرفت های زیادی منجر شده است. برای Vincent Malguy، عضو تیم SOC (مرکز عملیت امنیتی)، راه اندازی عمومی Bug Bounty فعالیت نهایی سال ها تفکر است. ایجاد پایگاه bountyfactory.io رسیدن به هدف پروژه را که Octave Klaba در جستجویش بود، امکان پذیر می سازد. در حقیقت تاکنون، پایگاه های bug bounty موجود همگی آمریکایی بودند. این موضوع برای کمپانی همچون OVH که به استقلال و اقتدار اطلاعات متعهد شده است، برای حفاظت لیستی از قابلیت های آسیب پذیری خارجی مراکز داده های خود که در فرانسه واقع شده است، غیرقابل تصور است. پایگاهی که به OVH امکان می دهد این برنامه را اجرا نماید اساسا بر روی پیشنهاد Dedicated Cloud آن، یک زیرساخت که قبلا برای چندین سال گواهی ایزو ۲۷۰۰۱ را بدست آورده است، میزبانی می شود.
در حال حاضر، پایگاه برای همگان، از متخصصان امنیت کامپیوتر تا علاقمندان و هر کسی که مشارکت نماید، در دسترس است. تنها یک حساب کاربری ایجاد کنید و هرگونه قابلیت آسیب پذیری که پیدا کردید را گزارش دهید. اعضای تیم SOC فورا مطلع شده و اصلاحات لازم را انجام خواهند داد. پاسخ سریع OVH به شکل آشکاری یکی از کلیدهای موفقیت برنامه است. مزیت دوم- کلاه سفیدها برای کارشان سریعا و حداکثر در عرض یک هفته مورد تشویق قرار می گیرند. OVH یک قانون ساده دارد: اگر یک گزارش به اصلاحی منجر می شود، فرد مسئول برای گزارشی که ارائه داده بایستی مورد تشویق قرار گیرد. این قانون برای انجمن کلاه سفید شفافیت لازم را فراهم می کند و بدون آن این نوع برنامه هیچ ارزشی ندارد. پایگاه bountyfactory.io علاوه بر کمک به ارتباطات روان و انعطاف پذیر، به OVH این امکان را می دهد که باگ های گزارش شده را با یک روش سازمان یافته و بدون ابهام مدیریت نماید.
Bug Bounty زراد خانه امنیتی ما را تقویت می کند
افتتاح برنامه برای عموم مردم بسیاری از اقدامات تامینیه داخلی در جایگاه اطمینان امنیت زیرساخت های ما و داده های افراد را تکمیل می کند. هر ساله آزمون های نفوذ متعدد داخلی و خارجی انجام می شود و این اطمینان را می دهد که حساس ترین سیستم ها با بالاترین استانداردها سازگار هستند. به منظور پوشش تمام طیف OVH و به حداقل رساندن وجود آسیب پذیری های امنیتی تصمیم بر این است که پروسه گزارش عمومی استانداردسازی شود: با Bug Bounty ما قادریم به صورت مستمر همه زیرساخت هایمان را با پروفایل های مختلف و مهارت های متنوع تست کنیم. وینسنت اظهار می دارد “ما هرگز نمی توانیم چنین طیفی از دوره های طولانی با بازبینی های کلاسیک را پوشش دهیم”
تقویت پروسه های امنیتی همچنین به معنای دستیابی به یک سری از گواهی ها همچون ایزو ۲۷۰۰۱ و ایزو ۲۷۰۱۷، PCI DSS – استانداردی برای اطلاعات مربوط به امور مالی هاستینگ می باشد و ما در حال حاضر در حال فعالیت در باره کسب گواهی رسمی برای داده های هاست مرتبط با مراقبت های بهداشتی هستیم.
در جستجوی: متخصصان API
در حال حاضر، Bug Bounty تنها قابلیت های آسیب پذیری مرتبط با کنترل پنل مشتری OVH و API را مورد توجه قرار می دهد. خیلی زود این توجه در جهت پوشش سایر محصولات OVH گسترش می یابد. طبق اظهار تیم SOC برای یافتن باگ های بسیار جالب توجه، این امر ضروری است که مشارکت کنندگان در Bug Bounty اصول اساسی API ما را درک نماید: وینسنت قبل از یادآور شدن به ما که همه داده ها در دیتابیس های PostgreSQL و MySQL ذخیره شده است توضیح می دهد که ” پرل زبان برنامه نویسی اصلی دارای تماس های میکرو برای API می باشد که در پایتون نوشته شده است”. عملیاتی که پیکر بندی منابع مورد نیاز را مدیریت می کنند، همگی توسط رباط ها کنترل می شوند و این است که می گویند فرایندهای ناهماهنگ این اعمال را انجام می دهند. در داخل OVH ، Debian سیستم عملیاتی است که با اکثر تیم های بهره برداری کننده از هسته اصلی امنیتی gr در سطح وسیعی مورد استفاده قرار گرفته است.وینسنت اظهار می دارد که “علی رغم این واقعیت که برای یک روش دفاعی ابهام در نظر گرفته نشده بود، مشکل است که چیز زیادی در مورد زیرساخت ها بدون دستیابی به جزئیات گفته شود.” من می توانم به شما بگویم که ما یک زرادخانه بزرگ از ابزارهای شناسایی با قابلیت آسیب پذیری در اختیارمان داریم که بر پایه معینی بکار می گیریم. اگر شما این نوع ابزارها را در جهت کمک به یافتن باگ ها مورد استفاده قرار دهید، من به شما می گویم که ما نیز قبلا این کار را انجام داده ایم و این نوع گزارش هیچ تشویق قابل توجهی را به همراه نخواهد داشت. صادقانه بگویم، توصیه می کنیم که از رفتن به مسیرهایی که مغلوب شده اند پرهیز کنید و بر روی کیفیت تمرکز داشته باشید. تنها با ارائه یک گزارش که ثابت کند که شما می توانید دستورالعمل ها را بر روی یکی از سرورهای ما اجرا نمایید، ۱۰ هزار یورو بدست خواهید آورد. شما بایستی ۲۰۰ قابلیت آسیب پذیری XSS بیابید تا به همان نتیجه برسید…”
منبع : کمکمان کنید تا امنیتمان را بالا ببریم | وبلاگ گروه وب پویان
- ۲۷۳