اخبار ارز دیجیتال

Bug Bounties به امنیت شبکه های بلاک چین کمک می کند، اما نتایج متفاوت است

آخرین به روز رسانی: ۲۰ تیر ۱۴۰۲
۰ 0 خواندن این مطلب 8 دقیقه زمان میبرد
Bug Bounties به امنیت شبکه های بلاک چین کمک می کند، اما نتایج متفاوت است


به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

چگونه می توان از استعداد جامعه بلاک چین برای بهبود امنیت از طریق پاداش های باگ استفاده کرد.

پاداش‌های باگ برنامه‌هایی هستند که توسط سازمان‌ها برای تشویق محققان امنیتی، هکرهای اخلاقی و هکرهای کلاه سفید برای یافتن و گزارش آسیب‌پذیری‌ها در نرم‌افزار، وب‌سایت‌ها و سیستم‌ها ارائه می‌شوند. هدف پاداش‌های باگ، بهبود امنیت کلی با شناسایی و رفع نقاط ضعف احتمالی قبل از سوء استفاده توسط مهاجمان مخرب است.

سازمان‌هایی که برنامه‌های پاداش اشکال را اجرا می‌کنند معمولاً دستورالعمل‌ها و قوانینی را تعیین می‌کنند که محدوده برنامه، اهداف واجد شرایط و انواع آسیب‌پذیری‌های مورد علاقه را مشخص می‌کند. بسته به شدت و تأثیر آسیب پذیری کشف شده، سازمان ممکن است جوایز ارائه شده برای موارد زیر را نیز تعریف کند: اشکال ارسالی معتبر شامل جوایز کوچک تا بزرگ است.

محققان امنیتی با جستجوی آسیب‌پذیری‌ها در سیستم‌ها یا برنامه‌های تعیین‌شده، در برنامه‌های پاداش باگ شرکت می‌کنند. ما نرم افزار را تجزیه و تحلیل می کنیم، تست های نفوذ را انجام می دهیم و از تکنیک های مختلفی برای شناسایی نقاط ضعف احتمالی استفاده می کنیم. هنگامی که یک آسیب پذیری کشف می شود، مستند شده و به سازمانی که برنامه را اجرا می کند، گزارش می شود، معمولاً از طریق کانال های گزارش ایمن ارائه شده توسط پلتفرم های پاداش باگ.

پس از دریافت گزارش آسیب‌پذیری، تیم امنیتی سازمان شما ارسالی را بررسی و تأیید می‌کند. در صورت تایید آسیب‌پذیری‌ها، پژوهشگران طبق دستورالعمل‌های برنامه پاداش خواهند گرفت. سپس سازمان اقدام به رفع آسیب پذیری های گزارش شده و بهبود امنیت نرم افزار یا سیستم می کند.

جایزه‌های باگ محبوبیت بیشتری پیدا می‌کنند، زیرا روابط دوجانبه سودمندی را ارائه می‌دهند. سازمان ها از تخصص و دیدگاه های متنوع محققان امنیتی بهره می برند که به عنوان یک لایه دفاعی اضافی برای کمک به شناسایی آسیب پذیری هایی که ممکن است نادیده گرفته شده اند، عمل کنند. در همین حال، محققان می‌توانند مهارت‌های خود را به نمایش بگذارند، پاداش‌های مالی کسب کنند و به امنیت کل اکوسیستم دیجیتال کمک کنند.

یافتن آسیب‌پذیری‌ها در کد پلتفرم شما برای محافظت از کاربران بسیار مهم است. طبق گزارش Chainalysis، حدود ۱.۳ میلیارد دلار ارزهای دیجیتال از صرافی ها، پلتفرم ها و نهادهای خصوصی به سرقت رفته است.

پاداش‌های باگ به ترویج افشای آسیب‌پذیری مسئولانه و هماهنگ کمک می‌کند و به محققان این امکان را می‌دهد که به جای سوءاستفاده یا آسیب‌پذیری از آسیب‌پذیری‌ها برای منافع شخصی، ابتدا با سازمان‌ها ارتباط برقرار کنند. ما شما را تشویق می‌کنیم آسیب‌پذیری‌ها را گزارش کنید. آن‌ها جزء لاینفک استراتژی‌های امنیتی بسیاری از سازمان‌ها شده‌اند و محیطی از همکاری بین محققان امنیتی و سازمان‌هایی را که به محافظت از آنها کمک می‌کنند، تسهیل می‌کنند.

پیوستن

جامعه می تواند نقش مهمی در شکار حشرات با استفاده از دیدگاه ها و مجموعه مهارت های متنوع ایفا کند. هنگامی که یک سازمان به جامعه می‌پیوندد، به مجموعه وسیعی از محققان امنیتی با سوابق و تجربیات مختلف دست می‌یابد.

تروی لو، مدیر بازرگانی شرکت حسابرسی بلاک چین VeriChains، به کوین تلگراف گفت: “برنامه جایزه اشکال از قدرت جامعه استفاده می کند و طیف گسترده ای از افراد ماهر به نام محققان امنیتی و هکرهای اخلاقی را درگیر می کند.” ما در حال تقویت امنیت بلاک چین هستیم. شبکه با فعال کردن آن.

لو افزود: “این برنامه‌ها شرکت‌کنندگان را تشویق می‌کنند تا آسیب‌پذیری‌ها را جستجو کنند و آنها را به سازمان‌های جایزه‌دهنده گزارش دهند. ما می‌توانیم از مخزن استعداد خود بهره ببریم، و در نهایت برنامه پاداش باگ ما شفافیت را ترویج می‌کند، بهبود مستمر را تشویق می‌کند، و وضعیت امنیتی کل شبکه بلاک چین را تقویت می‌کند. “

علاوه بر دیدگاه‌های متنوع، درگیر کردن جامعه در شکار حشرات، مقیاس‌پذیری و سرعت فرآیند کشف را افزایش می‌دهد.

سازمان ها اغلب با محدودیت های منابع مانند زمان و پرسنل محدود مواجه هستند که می تواند مانع از ارزیابی کامل سیستم ها برای آسیب پذیری ها شود. با این حال، مشارکت در جامعه به سازمان‌ها اجازه می‌دهد تا از مجموعه بزرگی از محققان استفاده کنند که می‌توانند به طور همزمان برای شناسایی اشکالات کار کنند.

این مقیاس‌پذیری به افراد متعدد اجازه می‌دهد تا جنبه‌های مختلف سیستم را به طور همزمان بررسی کنند و فرآیند یافتن اشکال کارآمدتری را ممکن می‌سازد.

مزیت دیگر درگیر کردن جامعه در شکار حشرات این است که در مقایسه با ممیزی های امنیتی سنتی مقرون به صرفه است. ممیزی های سنتی شامل استخدام مشاوران امنیتی خارجی یا انجام ارزیابی های داخلی است که می تواند گران باشد. از سوی دیگر، برنامه‌های پاداش باگ یک جایگزین مقرون‌به‌صرفه ارائه می‌دهند.

اخیراً: Google Cloud با مشارکت ولتاژ، جاه طلبی های لایتنینگ بیت کوین را ارتقا می دهد

این مدل پرداخت به ازای عملکرد، رویکرد مقرون به صرفه‌تری است، زیرا سازمان‌ها فقط برای اشکالاتی که واقعاً پیدا شده‌اند، پرداخت می‌کنند. پاداش‌های اشکال را می‌توان متناسب با بودجه سازمان تنظیم کرد، و پاداش‌ها را می‌توان بر اساس شدت و تأثیر آسیب‌پذیری‌های گزارش‌شده تنظیم کرد.

پابلو کاستیلو، افسر فناوری سرآشپز Chain4Travel، طرفدار بلاک چین Camino، به کوین تلگراف گفت: یکی دسترسی بیشتر به استعداد و تخصص و توانایی به کارگیری مهارت ها و دیدگاه های متنوع است. “

کاستیلو افزود: «این احتمال را افزایش می‌دهد که آسیب‌پذیری‌ها را می‌توان یافت و به طور مؤثر برطرف کرد و امنیت شبکه بلاک چین را به‌طور کلی بهبود می‌بخشد. اعتماد و شهرت را ایجاد می‌کند.

برای محققان امنیتی، شرکت در یک برنامه پاداش باگ فرصتی برای نمایش مهارت‌های خود در سناریوهای دنیای واقعی، کسب شناخت و کسب جوایز مالی است.

این همکاری نه تنها موقعیت امنیتی سازمان را تقویت می‌کند، بلکه برای کمک‌های ارزشمند محققان نیز به رسمیت شناخته شده و پاداش می‌دهد. جوامع از دسترسی به سیستم های دنیای واقعی و فرصتی برای تقویت مهارت های خود و در عین حال تأثیر مثبت سود می برند.

پروژه رمزگذاری بدون ممیزی شروع شد

بسیاری از پروژه های رمزنگاری بدون ممیزی های امنیتی مناسب راه اندازی می شوند و در عوض به هکرهای کلاه سفید برای یافتن آسیب پذیری ها متکی هستند. عوامل متعددی در ایجاد این پدیده نقش دارند.

اول، صنعت ارزهای دیجیتال در یک محیط پرشتاب و رقابتی عمل می کند. اولین بودن در بازار می تواند مزایای قابل توجهی به همراه داشته باشد. یک ممیزی امنیتی جامع شامل بررسی گسترده کد، تست آسیب‌پذیری و تجزیه و تحلیل است و می‌تواند زمان‌بر باشد. با نادیده گرفتن یا به تأخیر انداختن این ممیزی‌ها، می‌توانید پروژه خود را سریع‌تر از آب درآورید و جایگاه اولیه‌ای در بازار به دست آورید.

دوم، پروژه های رمزنگاری، به ویژه استارتاپ ها و ابتکارات کوچک، اغلب با محدودیت منابع مواجه هستند. انجام یک حسابرسی امنیتی کامل توسط یک موسسه حسابرسی معتبر می تواند گران باشد.

این هزینه ها شامل استخدام حسابرس خارجی، تخصیص زمان و منابع برای آزمایش و رسیدگی به آسیب پذیری های شناسایی شده است. در یک پروژه، به دلیل محدودیت بودجه و اولویت بندی، جنبه های دیگری مانند توسعه و بازاریابی ممکن است اولویت داشته باشند.

دلیل دیگر ماهیت غیرمتمرکز بلاک چین و روحیه قوی جامعه محور فضای کریپتو است. بسیاری از پروژه ها فلسفه های تمرکززدایی از جمله تمرکززدایی مسئولیت و تصمیم گیری را اتخاذ می کنند.

با این حال، تنها تکیه بر هکرهای اخلاقی برای راه اندازی یک پروژه رمزنگاری بدون حسابرسی مناسب دارای اشکالات جدی است. یکی از اشکالات مهم افزایش خطر بهره برداری است. بدون ارزیابی کامل از پایه کد، آسیب پذیری ها و ضعف های احتمالی ممکن است شناسایی نشده باقی بمانند.

مهاجمان مخرب می توانند از این آسیب پذیری ها برای به خطر انداختن امنیت پروژه سوء استفاده کنند که منجر به سرقت وجوه، دسترسی غیرمجاز و دستکاری سیستم می شود. این می تواند منجر به زیان مالی قابل توجه و آسیب به شهرت شود.

اشکال دیگر این است که ارزیابی های امنیتی ناقص یا مغرضانه هستند. هکرهای کلاه سفید نقش مهمی در شناسایی آسیب پذیری ها ایفا می کنند، اما سطح اطمینان یکسانی را با ممیزی جامع انجام شده توسط یک شرکت امنیتی حرفه ای ارائه نمی کنند.

هکرهای اخلاقی ممکن است دارای سوگیری، تخصص یا محدودیت زمانی و منابع باشند. آن‌ها می‌توانند روی جنبه‌ها یا آسیب‌پذیری‌های خاص تمرکز کنند و دیگر مسائل امنیتی مهم را از دست بدهند. ارزیابی امنیت کل نگر می تواند بدون دیدگاه جامع ارائه شده توسط یک ممیزی کامل ناقص باشد.

کاستیلو گفت: «هکرهای کلاه سفید نقش مهمی در شناسایی آسیب‌پذیری‌ها دارند، اما تنها اتکا به هکرهای کلاه سفید ممکن است پوشش جامعی ارائه نکند.» بدون ممیزی‌های امنیتی مناسب، آسیب‌پذیری‌های حیاتی و نقص‌های طراحی که مهاجمان مخرب می‌توانند از آن‌ها سوءاستفاده کنند، احتمالا نادیده گرفته می‌شوند. “

کاستیلو افزود: “اقدامات امنیتی ناکافی می تواند منجر به خطرات مختلفی از جمله نقض احتمالی، از دست دادن منابع مالی کاربر و آسیب به اعتبار شود. این پروژه را در معرض خطر عدم انطباق قرار می دهد که می تواند منجر به مشکلات قانونی و جریمه های مالی شود.”

علاوه بر این، تکیه صرفاً به هکرهای کلاه سفید می تواند فاقد پاسخگویی و اقدامات کنترل کیفیتی باشد که معمولاً با ممیزی های حرفه ای مرتبط است. موسسات حسابرسی از متدولوژی ها، استانداردها و بهترین شیوه ها در تست های امنیتی پیروی می کنند.

ما همچنین به مقررات و دستورالعمل‌های صنعت پایبند هستیم تا از ارزیابی دقیق و منسجم وضعیت امنیتی پروژه شما اطمینان حاصل کنیم. در مقابل، تکیه بر ارزیابی‌های تک‌تک توسط هکرهای کلاه سفید فردی می‌تواند منجر به روش‌شناسی متناقض، سطوح مختلف دقت و شکاف‌های احتمالی در فرآیند ارزیابی امنیتی شود.

علاوه بر این، جنبه های قانونی پیرامون فعالیت هکرهای اخلاقی می تواند مبهم باشد. بسیاری از پروژه ها از افشای مسئولانه تقدیر می کنند و به آنها پاداش می دهند، اما پیامدهای قانونی ممکن است بسته به حوزه قضایی و خط مشی پروژه متفاوت باشد.

هکرهای اخلاقی می توانند در مطالبه غرامت، به رسمیت شناختن مناسب و احتمالاً حتی عواقب قانونی با چالش هایی روبرو شوند. بدون حمایت های قانونی روشن و یک چارچوب کاملاً تعریف شده، می تواند عدم اعتماد و شفافیت بین پروژه ها و هکرها وجود داشته باشد.

در نهایت، تکیه صرف به هکرهای کلاه سفید می تواند به طیف محدودتری از تخصص و دیدگاه نسبت به یک حسابرسی جامع منجر شود. موسسات حسابرسی تخصص، تجربه و رویکرد سیستماتیک خود را برای تست امنیت به ارمغان می آورند.

آسیب‌پذیری‌های پیچیده و بردارهای حمله احتمالی که هکرها ممکن است از دست بدهند را شناسایی کنید. با رد شدن از ممیزی، پروژه خطر پیدا نکردن آسیب‌پذیری‌های حیاتی را که می‌تواند امنیت سیستم را به خطر بیندازد، به خطر می‌اندازد.

لی گفت: «راه‌اندازی یک پروژه ارز دیجیتال بدون ممیزی امنیتی مناسب و تکیه بر هکرهای اخلاقی، خطرات و جنبه‌های منفی قابل توجهی دارد.

Le تاکید کرد که یک ممیزی امنیتی مناسب که توسط متخصصان با تجربه انجام شده است “به طور سیستماتیک و کامل وضعیت امنیتی پروژه را ارزیابی می کند.” این ممیزی ها به شناسایی آسیب پذیری ها، نقص های طراحی و سایر خطرات احتمالی که ممکن است مورد توجه قرار نگرفته باشند کمک می کند.

لی گفت: «نادیده گرفتن این ممیزی‌ها می‌تواند عواقب جدی از جمله از دست دادن منابع مالی کاربر، آسیب به شهرت، مسائل نظارتی و حتی شکست پروژه داشته باشد. “برای اطمینان از پوشش امنیتی جامع و کاهش خطرات احتمالی، اتخاذ یک رویکرد متعادل که شامل برنامه‌های پاداش باگ و ممیزی‌های امنیتی حرفه‌ای باشد، ضروری است.”

اخیرا: Animoca همچنان در مورد بازی های بلاک چین صعودی است، در انتظار مجوز Metaverse Fund

در حالی که مشارکت هکرهای کلاه سفید و جامعه در تست های امنیتی می تواند بینش ها و مشارکت های ارزشمندی را ارائه دهد، تنها تکیه بر آنها بدون حسابرسی مناسب دارای اشکالات قابل توجهی است.

افزایش خطر بهره برداری، ارزیابی های امنیتی ناقص یا مغرضانه احتمالی، عدم پاسخگویی و کنترل کیفیت، حمایت های قانونی محدود ارائه شده، و خطر بالای نادیده گرفتن آسیب پذیری های حیاتی ممکن است مرتبط باشد.

برای کاهش این نکات منفی، پروژه‌های رمزنگاری مهارت و اشتیاق جامعه را از طریق برنامه‌های پاداش باگ و تلاش‌های افشای مسئولانه افزایش می‌دهند، در حالی که انجام ممیزی‌های امنیتی جامع انجام شده توسط حسابرسان حرفه‌ای معتبر می‌تواند در اولویت قرار گیرد.

این مقاله را به عنوان NFT جمع آوری کنید برای حفظ این لحظه در تاریخ و نشان دادن حمایت خود از روزنامه نگاری مستقل در فضای ارزهای دیجیتال.

نویسنده: Anthony Clarke

به این مطلب چه امتیازی می‌دهید؟

میانگین امتیارها ۰ / ۵. مجموع آرا: ۰

آخرین به روز رسانی: ۲۰ تیر ۱۴۰۲
۰ 0 خواندن این مطلب 8 دقیقه زمان میبرد

دیدگاهتان را بنویسید

© کپی بخش یا کل هر کدام از مطالب موبو ارز تنها با کسب مجوز مکتوب امکان پذیر است. طراحی سایت نوید فلاح قدرت گرفته از سرورهای لیموهاست لیموهاست
دکمه بازگشت به بالا