تعرف على كيفية تعزيز برنامج مكافأة الأخطاء في inDrive للأمن السيبراني من خلال التعاون مع قراصنة القبعات البيضاء للكشف عن نقاط الضعف وتحسين عمليات الأمان.

مقدمة

في عالم تتسلل فيه التكنولوجيا الرقمية إلى كل جانب من جوانب حياتنا، يصبح الأمن السيبراني ذا أهمية قصوى. وتستثمر الشركات في مختلف أنحاء العالم بكثافة في حماية بياناتها وأنظمتها من التهديدات السيبرانية. ومن أكثر الطرق فعالية لتعزيز الأمن العمل مع خبراء الأمن المستقلين، المعروفين أيضًا باسم "قراصنة القبعة البيضاء".

ستكون هذه المقالة مفيدة للشركات التي تخطط لإطلاق برنامج مكافأة الأخطاء أو أطلقته بالفعل. سنشارك تجربتنا في تنظيم وتطوير برنامج مكافأة الأخطاء في inDrive وكيف ساعدنا ذلك في تعزيز أمننا السيبراني.

نود أيضًا أن نشير إلى أنه لا ينبغي لك أن تقتصر على برنامج مكافأة الأخطاء، لأنه ليس حلاً لجميع مشاكل الأمان. يمكن أن يساعدك برنامج مكافأة الأخطاء في تحديد بعض الثغرات الأمنية، لكنه لا يغطي النطاق الكامل للتهديدات المحتملة. تحتاج إلى اتباع نهج شامل للأمان يتضمن استخدام أدوات وتقنيات أمان مختلفة.

وكما يوضح الرسم البياني أدناه، فإن الأدوات المختلفة تكتشف أعدادًا مختلفة من الثغرات الأمنية، وهو ما يؤكد أهمية الجمع بين أساليب مثل الماسحات الضوئية الآلية، وتحليل التعليمات البرمجية الثابتة والديناميكية، وعمليات التدقيق الأمني، وتدريب الموظفين.

بداية

في البداية، كان برنامج مكافأة الأخطاء يعمل في وضع مغلق. وقد سمح لنا هذا بالتحكم في تدفق الباحثين عن الأخطاء، وإرسال الدعوات تدريجيًا وتتبع النتائج. وقد منحنا هذا النهج الفرصة لتصحيح الأخطاء بهدوء وتحسين العمليات الداخلية. وبفضل هذا، تمكنا من الاستعداد للطرح العام.

التكامل والفرز

يعد تحديد نقاط الضعف في برنامج مكافأة الأخطاء خطوة أساسية. نستخدم التكامل التلقائي مع Slack وJira لجعل هذه العملية سريعة وفعالة.

الركود

نحن نستخدم قناتين:

• القناة الرئيسية للتواصل بشأن الأحداث الرئيسية في معالجة التقارير. ويشمل ذلك إشعارات التقارير الجديدة، وتعيين المهام للمهندسين، وطلبات الكشف عن الثغرات الأمنية. وتسمح هذه القناة للفريق بأن يكون على علم دائم بالأحداث الحرجة.

• توجد قناة إضافية مخصصة للموظفين المشاركين في التحليل الأولي وفرز التقارير. يتم إرسال إشعارات الأنشطة غير العاجلة مثل تعليقات التقارير وتفاصيل الفرز هنا.

مطابقة الحساب

يضمن إعداد ربط بين مستخدمي HackerOne وSlack تسليم التعليقات المهمة وملاحظات التقارير مباشرة إلى الأطراف المسؤولة، مما يقلل من خطر فقدان المعلومات المهمة. وهذا يبسط الاتصال بين فريق أمان inDrive والباحثين، مما يسهل معالجة الثغرات الأمنية بشكل أكثر فعالية.

جيرا

يتيح لك التكامل مع Jira إنشاء مهمة في المكان الصحيح فقط باستخدام مجموعة محددة من الحقول. باستخدام وظيفة Jira Automation، أنشأنا قواعد معالجة المهام الخاصة بنا لتحسين عمليات معالجة الثغرات الأمنية الداخلية لدينا، مما يسمح لنا بتنظيم هذه العملية بكفاءة. فيما يلي مثال على هذه الأتمتة:

• تم العثور عليه عن طريق الأتمتة: يقوم النظام تلقائيًا بملء حقل تم العثور عليه بقيمة مكافأة الخطأ، مما يشير إلى أصل المهمة للتحليلات.

• تعيين المهام: باستخدام القواعد، يتم تعيين مهمة تلقائيًا إلى مهندس، مما يضمن توزيع العمل بشكل متساوٍ.

• إشعارات Slack: عند تعيين مهمة، يتم إرسال إشعار إلى Slack يذكر المهندس ويوفر جميع المعلومات الضرورية.

بالنسبة للثغرات الحرجة:

• الرسائل إلى قناة Slack مخصصة: يتم إرسال إشعار بوجود ثغرة أمنية حرجة إلى قناة منفصلة للاستجابة الفورية.

• إرسال رسائل SMS: بالإضافة إلى ذلك، يتم إرسال إشعارات SMS إلى الأشخاص المسؤولين.

مكافحة البريد العشوائي باستخدام المحفزات

تُعد أدوات التشغيل في HackerOne أداة قوية تتيح لك أتمتة إجراءات مختلفة استجابةً لأحداث معينة تتعلق بتقارير الثغرات الأمنية الجديدة. وهي تبسط إلى حد كبير عمل فريق الأمان وتساعد في تحسين عملية الاستجابة للتقارير.

على سبيل المثال، عند إعادة تسمية الشركة من inDriver إلى inDrive، واجهنا غالبًا تقارير عن وجود مشكلات في حسابات وسائل التواصل الاجتماعي.

لقد قمنا بتخصيص الزناد على النحو التالي:

• شرط التشغيل: إذا كان التقرير يحتوي على كلمات من القائمة: الوسائط، الاجتماعية، فيسبوك، تويتر، إنستغرام.

• إجراء التشغيل: عند اكتشاف الحالة المحددة، يتم عرض نافذة منبثقة تحتوي على نص التحذير التالي تلقائيًا للباحث: "مرحبًا، يبدو أنك على وشك الإبلاغ عن مشكلة تتعلق بروابط وسائل التواصل الاجتماعي (Instagram وTwitter وFacebook). شركتنا في طور إعادة تسمية العلامة التجارية ونحن على علم بهذه المشكلة. نحن لا نقبل مؤقتًا التقارير الخاصة بهذه المشكلة، لذا نحثك على الإقرار بالمشكلة بشكل صحيح والتعرف على سياسة الأمان قبل المتابعة وإرسال تقرير".

وهذا لا يساعد فقط في تقليل عدد التقارير غير المناسبة، بل يساعد أيضًا على تثقيف الباحثين، وتحسين جودة التقارير المستقبلية.

الحملة وقناة التليجرام

لقد أدركنا أن النشاط في البرنامج سينخفض بمرور الوقت. وهذه عملية طبيعية نظرًا لحقيقة مفادها أن أكثر نقاط الضعف وضوحًا قد تم اكتشافها وإزالتها بالفعل، وجذب انتباه الباحثين مرة أخرى يتطلب جهودًا إضافية. وللحفاظ على مستوى عالٍ من المشاركة والاهتمام ببرنامجنا، اتخذنا عددًا من التدابير.

كانت إحدى الأدوات الرئيسية هي قناتنا المتخصصة على Telegram لصائدي الأخطاء. لا تعمل هذه القناة كوسيلة للتواصل فحسب، بل تعمل أيضًا كمنصة لمشاركة المعلومات المفيدة. نشارك بنشاط المعلومات حول تطبيقنا ونوفر المواد التي يمكن أن تساعد الباحثين في العثور على نقاط الضعف في خدماتنا. قد تكون هذه الوثائق الفنية أو أوصافًا للميزات الجديدة أو التغييرات المعمارية التي قد تكون ذات أهمية من وجهة نظر أمنية.

المزايا الرئيسية لقناتنا على Telegram:

• التحديثات الرسمية: أخبار مباشرة وموثوقة من فريق أمان inDrive.
• إعلانات الميزات الجديدة: معلومات حول الخدمات والميزات الجديدة التي قد تثير اهتمام هواة مكافأة الأخطاء.
• العروض الترويجية والأحداث: معلومات حول العروض الخاصة والأحداث المتعلقة ببرنامج مكافأة الأخطاء.

يمكنك العثور على مزيد من المعلومات حول القناة من خلال متابعة الرابط — https://t.me/indrive_bbp.

بالإضافة إلى ذلك، لجذب كل من الباحثين الجدد والمتمرسين عن الأخطاء، نطلق بانتظام حملات على منصة HackerOne. تتيح لنا الحملات تحفيز اهتمام الباحثين عن الأخطاء ببرنامجنا. كما نعلن عن إطلاق جميع الحملات عبر قناتنا على Telegram، مما يسمح لنا بنقل المعلومات بسرعة إلى الجمهور وتشجيعهم على المشاركة.

على سبيل المثال، فيما يلي إحصائيات من إحدى الحملات:

تسمح لنا هذه التدابير بالحفاظ على الاهتمام ببرنامج مكافأة الأخطاء على مستوى عالٍ، مما يضمن تدفقًا مستمرًا للأفكار والنتائج الجديدة، مما يساهم في نهاية المطاف في تحسين أمان منتجاتنا.

ستساعدك نصائحنا على تحسين وقتك بشكل كبير في كل مرحلة من مراحل معالجة الثغرات الأمنية - من وقت الاستجابة الأولى إلى الفرز إلى وقت المكافأة.

وهذا بدوره سوف يزيد من ثقة ورضا صائدي الأخطاء المشاركين في برنامجك.

في الختام، تُعَد تجربتنا في تنظيم وتطوير برنامج مكافأة الأخطاء في inDrive مثالاً واضحًا على كيف يمكن لتعيين خبراء أمن خارجيين أن يعزز بشكل كبير دفاع الشركة السيبراني. وبفضل مجتمعنا من المتسللين ذوي القبعات البيضاء، لم نتمكن فقط من تحديد العديد من نقاط الضعف وإصلاحها، بل تمكنا أيضًا من تحسين عملياتنا الداخلية، مما أدى إلى زيادة كفاءتنا وتحسين حماية أنظمتنا وبياناتنا.

نشكر جميع المشاركين في برنامج مكافأة الأخطاء لدينا على مساهمتهم القيمة في أمن inDrive وندعو الباحثين الجدد للانضمام إلى مجتمعنا. معًا، سنجعل العالم الرقمي أكثر أمانًا!