Bug Bounties به امنیت شبکه های بلاک چین کمک می کند، اما نتایج متفاوت است
به گزارش پایگاه خبری ارز دیجیتال موبو ارز،
چگونه می توان از استعداد جامعه بلاک چین برای بهبود امنیت از طریق پاداش های باگ استفاده کرد.
پاداشهای باگ برنامههایی هستند که توسط سازمانها برای تشویق محققان امنیتی، هکرهای اخلاقی و هکرهای کلاه سفید برای یافتن و گزارش آسیبپذیریها در نرمافزار، وبسایتها و سیستمها ارائه میشوند. هدف پاداشهای باگ، بهبود امنیت کلی با شناسایی و رفع نقاط ضعف احتمالی قبل از سوء استفاده توسط مهاجمان مخرب است.
سازمانهایی که برنامههای پاداش اشکال را اجرا میکنند معمولاً دستورالعملها و قوانینی را تعیین میکنند که محدوده برنامه، اهداف واجد شرایط و انواع آسیبپذیریهای مورد علاقه را مشخص میکند. بسته به شدت و تأثیر آسیب پذیری کشف شده، سازمان ممکن است جوایز ارائه شده برای موارد زیر را نیز تعریف کند: اشکال ارسالی معتبر شامل جوایز کوچک تا بزرگ است.
محققان امنیتی با جستجوی آسیبپذیریها در سیستمها یا برنامههای تعیینشده، در برنامههای پاداش باگ شرکت میکنند. ما نرم افزار را تجزیه و تحلیل می کنیم، تست های نفوذ را انجام می دهیم و از تکنیک های مختلفی برای شناسایی نقاط ضعف احتمالی استفاده می کنیم. هنگامی که یک آسیب پذیری کشف می شود، مستند شده و به سازمانی که برنامه را اجرا می کند، گزارش می شود، معمولاً از طریق کانال های گزارش ایمن ارائه شده توسط پلتفرم های پاداش باگ.
پس از دریافت گزارش آسیبپذیری، تیم امنیتی سازمان شما ارسالی را بررسی و تأیید میکند. در صورت تایید آسیبپذیریها، پژوهشگران طبق دستورالعملهای برنامه پاداش خواهند گرفت. سپس سازمان اقدام به رفع آسیب پذیری های گزارش شده و بهبود امنیت نرم افزار یا سیستم می کند.
جایزههای باگ محبوبیت بیشتری پیدا میکنند، زیرا روابط دوجانبه سودمندی را ارائه میدهند. سازمان ها از تخصص و دیدگاه های متنوع محققان امنیتی بهره می برند که به عنوان یک لایه دفاعی اضافی برای کمک به شناسایی آسیب پذیری هایی که ممکن است نادیده گرفته شده اند، عمل کنند. در همین حال، محققان میتوانند مهارتهای خود را به نمایش بگذارند، پاداشهای مالی کسب کنند و به امنیت کل اکوسیستم دیجیتال کمک کنند.
یافتن آسیبپذیریها در کد پلتفرم شما برای محافظت از کاربران بسیار مهم است. طبق گزارش Chainalysis، حدود ۱.۳ میلیارد دلار ارزهای دیجیتال از صرافی ها، پلتفرم ها و نهادهای خصوصی به سرقت رفته است.
پاداشهای باگ به ترویج افشای آسیبپذیری مسئولانه و هماهنگ کمک میکند و به محققان این امکان را میدهد که به جای سوءاستفاده یا آسیبپذیری از آسیبپذیریها برای منافع شخصی، ابتدا با سازمانها ارتباط برقرار کنند. ما شما را تشویق میکنیم آسیبپذیریها را گزارش کنید. آنها جزء لاینفک استراتژیهای امنیتی بسیاری از سازمانها شدهاند و محیطی از همکاری بین محققان امنیتی و سازمانهایی را که به محافظت از آنها کمک میکنند، تسهیل میکنند.
پیوستن
جامعه می تواند نقش مهمی در شکار حشرات با استفاده از دیدگاه ها و مجموعه مهارت های متنوع ایفا کند. هنگامی که یک سازمان به جامعه میپیوندد، به مجموعه وسیعی از محققان امنیتی با سوابق و تجربیات مختلف دست مییابد.
تروی لو، مدیر بازرگانی شرکت حسابرسی بلاک چین VeriChains، به کوین تلگراف گفت: “برنامه جایزه اشکال از قدرت جامعه استفاده می کند و طیف گسترده ای از افراد ماهر به نام محققان امنیتی و هکرهای اخلاقی را درگیر می کند.” ما در حال تقویت امنیت بلاک چین هستیم. شبکه با فعال کردن آن.
لو افزود: “این برنامهها شرکتکنندگان را تشویق میکنند تا آسیبپذیریها را جستجو کنند و آنها را به سازمانهای جایزهدهنده گزارش دهند. ما میتوانیم از مخزن استعداد خود بهره ببریم، و در نهایت برنامه پاداش باگ ما شفافیت را ترویج میکند، بهبود مستمر را تشویق میکند، و وضعیت امنیتی کل شبکه بلاک چین را تقویت میکند. “
علاوه بر دیدگاههای متنوع، درگیر کردن جامعه در شکار حشرات، مقیاسپذیری و سرعت فرآیند کشف را افزایش میدهد.
سازمان ها اغلب با محدودیت های منابع مانند زمان و پرسنل محدود مواجه هستند که می تواند مانع از ارزیابی کامل سیستم ها برای آسیب پذیری ها شود. با این حال، مشارکت در جامعه به سازمانها اجازه میدهد تا از مجموعه بزرگی از محققان استفاده کنند که میتوانند به طور همزمان برای شناسایی اشکالات کار کنند.
این مقیاسپذیری به افراد متعدد اجازه میدهد تا جنبههای مختلف سیستم را به طور همزمان بررسی کنند و فرآیند یافتن اشکال کارآمدتری را ممکن میسازد.
مزیت دیگر درگیر کردن جامعه در شکار حشرات این است که در مقایسه با ممیزی های امنیتی سنتی مقرون به صرفه است. ممیزی های سنتی شامل استخدام مشاوران امنیتی خارجی یا انجام ارزیابی های داخلی است که می تواند گران باشد. از سوی دیگر، برنامههای پاداش باگ یک جایگزین مقرونبهصرفه ارائه میدهند.
اخیراً: Google Cloud با مشارکت ولتاژ، جاه طلبی های لایتنینگ بیت کوین را ارتقا می دهد
این مدل پرداخت به ازای عملکرد، رویکرد مقرون به صرفهتری است، زیرا سازمانها فقط برای اشکالاتی که واقعاً پیدا شدهاند، پرداخت میکنند. پاداشهای اشکال را میتوان متناسب با بودجه سازمان تنظیم کرد، و پاداشها را میتوان بر اساس شدت و تأثیر آسیبپذیریهای گزارششده تنظیم کرد.
پابلو کاستیلو، افسر فناوری سرآشپز Chain4Travel، طرفدار بلاک چین Camino، به کوین تلگراف گفت: یکی دسترسی بیشتر به استعداد و تخصص و توانایی به کارگیری مهارت ها و دیدگاه های متنوع است. “
کاستیلو افزود: «این احتمال را افزایش میدهد که آسیبپذیریها را میتوان یافت و به طور مؤثر برطرف کرد و امنیت شبکه بلاک چین را بهطور کلی بهبود میبخشد. اعتماد و شهرت را ایجاد میکند.
برای محققان امنیتی، شرکت در یک برنامه پاداش باگ فرصتی برای نمایش مهارتهای خود در سناریوهای دنیای واقعی، کسب شناخت و کسب جوایز مالی است.
این همکاری نه تنها موقعیت امنیتی سازمان را تقویت میکند، بلکه برای کمکهای ارزشمند محققان نیز به رسمیت شناخته شده و پاداش میدهد. جوامع از دسترسی به سیستم های دنیای واقعی و فرصتی برای تقویت مهارت های خود و در عین حال تأثیر مثبت سود می برند.
پروژه رمزگذاری بدون ممیزی شروع شد
بسیاری از پروژه های رمزنگاری بدون ممیزی های امنیتی مناسب راه اندازی می شوند و در عوض به هکرهای کلاه سفید برای یافتن آسیب پذیری ها متکی هستند. عوامل متعددی در ایجاد این پدیده نقش دارند.
اول، صنعت ارزهای دیجیتال در یک محیط پرشتاب و رقابتی عمل می کند. اولین بودن در بازار می تواند مزایای قابل توجهی به همراه داشته باشد. یک ممیزی امنیتی جامع شامل بررسی گسترده کد، تست آسیبپذیری و تجزیه و تحلیل است و میتواند زمانبر باشد. با نادیده گرفتن یا به تأخیر انداختن این ممیزیها، میتوانید پروژه خود را سریعتر از آب درآورید و جایگاه اولیهای در بازار به دست آورید.
دوم، پروژه های رمزنگاری، به ویژه استارتاپ ها و ابتکارات کوچک، اغلب با محدودیت منابع مواجه هستند. انجام یک حسابرسی امنیتی کامل توسط یک موسسه حسابرسی معتبر می تواند گران باشد.
این هزینه ها شامل استخدام حسابرس خارجی، تخصیص زمان و منابع برای آزمایش و رسیدگی به آسیب پذیری های شناسایی شده است. در یک پروژه، به دلیل محدودیت بودجه و اولویت بندی، جنبه های دیگری مانند توسعه و بازاریابی ممکن است اولویت داشته باشند.
دلیل دیگر ماهیت غیرمتمرکز بلاک چین و روحیه قوی جامعه محور فضای کریپتو است. بسیاری از پروژه ها فلسفه های تمرکززدایی از جمله تمرکززدایی مسئولیت و تصمیم گیری را اتخاذ می کنند.
با این حال، تنها تکیه بر هکرهای اخلاقی برای راه اندازی یک پروژه رمزنگاری بدون حسابرسی مناسب دارای اشکالات جدی است. یکی از اشکالات مهم افزایش خطر بهره برداری است. بدون ارزیابی کامل از پایه کد، آسیب پذیری ها و ضعف های احتمالی ممکن است شناسایی نشده باقی بمانند.
مهاجمان مخرب می توانند از این آسیب پذیری ها برای به خطر انداختن امنیت پروژه سوء استفاده کنند که منجر به سرقت وجوه، دسترسی غیرمجاز و دستکاری سیستم می شود. این می تواند منجر به زیان مالی قابل توجه و آسیب به شهرت شود.
اشکال دیگر این است که ارزیابی های امنیتی ناقص یا مغرضانه هستند. هکرهای کلاه سفید نقش مهمی در شناسایی آسیب پذیری ها ایفا می کنند، اما سطح اطمینان یکسانی را با ممیزی جامع انجام شده توسط یک شرکت امنیتی حرفه ای ارائه نمی کنند.
هکرهای اخلاقی ممکن است دارای سوگیری، تخصص یا محدودیت زمانی و منابع باشند. آنها میتوانند روی جنبهها یا آسیبپذیریهای خاص تمرکز کنند و دیگر مسائل امنیتی مهم را از دست بدهند. ارزیابی امنیت کل نگر می تواند بدون دیدگاه جامع ارائه شده توسط یک ممیزی کامل ناقص باشد.
کاستیلو گفت: «هکرهای کلاه سفید نقش مهمی در شناسایی آسیبپذیریها دارند، اما تنها اتکا به هکرهای کلاه سفید ممکن است پوشش جامعی ارائه نکند.» بدون ممیزیهای امنیتی مناسب، آسیبپذیریهای حیاتی و نقصهای طراحی که مهاجمان مخرب میتوانند از آنها سوءاستفاده کنند، احتمالا نادیده گرفته میشوند. “
کاستیلو افزود: “اقدامات امنیتی ناکافی می تواند منجر به خطرات مختلفی از جمله نقض احتمالی، از دست دادن منابع مالی کاربر و آسیب به اعتبار شود. این پروژه را در معرض خطر عدم انطباق قرار می دهد که می تواند منجر به مشکلات قانونی و جریمه های مالی شود.”
علاوه بر این، تکیه صرفاً به هکرهای کلاه سفید می تواند فاقد پاسخگویی و اقدامات کنترل کیفیتی باشد که معمولاً با ممیزی های حرفه ای مرتبط است. موسسات حسابرسی از متدولوژی ها، استانداردها و بهترین شیوه ها در تست های امنیتی پیروی می کنند.
ما همچنین به مقررات و دستورالعملهای صنعت پایبند هستیم تا از ارزیابی دقیق و منسجم وضعیت امنیتی پروژه شما اطمینان حاصل کنیم. در مقابل، تکیه بر ارزیابیهای تکتک توسط هکرهای کلاه سفید فردی میتواند منجر به روششناسی متناقض، سطوح مختلف دقت و شکافهای احتمالی در فرآیند ارزیابی امنیتی شود.
علاوه بر این، جنبه های قانونی پیرامون فعالیت هکرهای اخلاقی می تواند مبهم باشد. بسیاری از پروژه ها از افشای مسئولانه تقدیر می کنند و به آنها پاداش می دهند، اما پیامدهای قانونی ممکن است بسته به حوزه قضایی و خط مشی پروژه متفاوت باشد.
هکرهای اخلاقی می توانند در مطالبه غرامت، به رسمیت شناختن مناسب و احتمالاً حتی عواقب قانونی با چالش هایی روبرو شوند. بدون حمایت های قانونی روشن و یک چارچوب کاملاً تعریف شده، می تواند عدم اعتماد و شفافیت بین پروژه ها و هکرها وجود داشته باشد.
در نهایت، تکیه صرف به هکرهای کلاه سفید می تواند به طیف محدودتری از تخصص و دیدگاه نسبت به یک حسابرسی جامع منجر شود. موسسات حسابرسی تخصص، تجربه و رویکرد سیستماتیک خود را برای تست امنیت به ارمغان می آورند.
آسیبپذیریهای پیچیده و بردارهای حمله احتمالی که هکرها ممکن است از دست بدهند را شناسایی کنید. با رد شدن از ممیزی، پروژه خطر پیدا نکردن آسیبپذیریهای حیاتی را که میتواند امنیت سیستم را به خطر بیندازد، به خطر میاندازد.
لی گفت: «راهاندازی یک پروژه ارز دیجیتال بدون ممیزی امنیتی مناسب و تکیه بر هکرهای اخلاقی، خطرات و جنبههای منفی قابل توجهی دارد.
Le تاکید کرد که یک ممیزی امنیتی مناسب که توسط متخصصان با تجربه انجام شده است “به طور سیستماتیک و کامل وضعیت امنیتی پروژه را ارزیابی می کند.” این ممیزی ها به شناسایی آسیب پذیری ها، نقص های طراحی و سایر خطرات احتمالی که ممکن است مورد توجه قرار نگرفته باشند کمک می کند.
لی گفت: «نادیده گرفتن این ممیزیها میتواند عواقب جدی از جمله از دست دادن منابع مالی کاربر، آسیب به شهرت، مسائل نظارتی و حتی شکست پروژه داشته باشد. “برای اطمینان از پوشش امنیتی جامع و کاهش خطرات احتمالی، اتخاذ یک رویکرد متعادل که شامل برنامههای پاداش باگ و ممیزیهای امنیتی حرفهای باشد، ضروری است.”
اخیرا: Animoca همچنان در مورد بازی های بلاک چین صعودی است، در انتظار مجوز Metaverse Fund
در حالی که مشارکت هکرهای کلاه سفید و جامعه در تست های امنیتی می تواند بینش ها و مشارکت های ارزشمندی را ارائه دهد، تنها تکیه بر آنها بدون حسابرسی مناسب دارای اشکالات قابل توجهی است.
افزایش خطر بهره برداری، ارزیابی های امنیتی ناقص یا مغرضانه احتمالی، عدم پاسخگویی و کنترل کیفیت، حمایت های قانونی محدود ارائه شده، و خطر بالای نادیده گرفتن آسیب پذیری های حیاتی ممکن است مرتبط باشد.
برای کاهش این نکات منفی، پروژههای رمزنگاری مهارت و اشتیاق جامعه را از طریق برنامههای پاداش باگ و تلاشهای افشای مسئولانه افزایش میدهند، در حالی که انجام ممیزیهای امنیتی جامع انجام شده توسط حسابرسان حرفهای معتبر میتواند در اولویت قرار گیرد.
این مقاله را به عنوان NFT جمع آوری کنید برای حفظ این لحظه در تاریخ و نشان دادن حمایت خود از روزنامه نگاری مستقل در فضای ارزهای دیجیتال.
نویسنده: Anthony Clarke