مشاوره رایگان :

کمکمان کنید تا امنیتمان را بالا ببریم

کمکمان کنید تا امنیت هاست و سرور مجازی خود را بالا ببریم

این برنامه به منظور گزارش باگ ها بر روی زیرساخت های OVH برای همگان در وبسایت bountyfactory.io در دسترس می باشد. هدف: در جهت بهبود مستمر امنیت سرویس های هاست لینوکس و سرور مجازی ارائه شده توسط لیدر کلود اروپایی

در دوم جولای در ویرایش چهاردهم Nuit du Hack (یکی از قدیمی ترین رویدادهای محرمانه در مورد هک) که در پاریس فرانسه برگزار شد، OVH Bug Bounty به همه این امکان را می دهد که در صورت علاقه مند بودن به امنیت هاست  و کامپیوتر قابلیت های آسیب پذیری بالقوه کشف شده در محدوده API و Customer Control Panel را گزارش دهند. این برنامه که به صورت داخلی تست شده، بر روی پایگاه  bountfactory.io دردسترس می باشد. نقشه کار ساده است: کلیه باگ های گزارش شده توسط تیم امنیتی بررسی شده و در صورت نیاز اقدامات تصحیحی صورت گرفته، سپس تاییدیه صادر می شود.

امنیت در هسته گروه OVH

گروه OVH که ۱۷ سال پیش ایجاد شده، امنیت هاست و سرور مجازی را همواره در اولویت قرار داده است. گزارش باگ اکنون از طریق  security[at]ovh.net ممکن شده و به پیشرفت های زیادی منجر شده است. برای Vincent Malguy، عضو تیم SOC (مرکز عملیت امنیتی)، راه اندازی عمومی Bug Bounty فعالیت نهایی سال ها تفکر است. ایجاد پایگاه  bountyfactory.io رسیدن به هدف پروژه را که Octave Klaba در جستجویش بود، امکان پذیر می سازد.  در حقیقت تاکنون، پایگاه های bug bounty موجود همگی آمریکایی بودند. این موضوع برای کمپانی همچون OVH که به استقلال و اقتدار اطلاعات متعهد شده است، برای حفاظت لیستی از قابلیت های آسیب پذیری خارجی مراکز داده های خود که در فرانسه واقع شده است، غیرقابل تصور است. پایگاهی که به OVH امکان می دهد این برنامه را اجرا نماید اساسا بر روی پیشنهاد Dedicated Cloud آن، یک زیرساخت که قبلا برای چندین سال گواهی ایزو ۲۷۰۰۱ را بدست آورده است، میزبانی می شود.

در حال حاضر، پایگاه برای همگان، از متخصصان امنیت کامپیوتر تا علاقمندان و هر کسی که مشارکت نماید، در دسترس است.  تنها یک حساب کاربری ایجاد کنید و هرگونه قابلیت آسیب پذیری که پیدا کردید را گزارش دهید. اعضای تیم SOC فورا مطلع شده و اصلاحات لازم را انجام خواهند داد. پاسخ سریع OVH به شکل آشکاری یکی از کلیدهای موفقیت برنامه است. مزیت دوم- کلاه سفیدها برای کارشان سریعا و حداکثر در عرض یک هفته مورد تشویق قرار می گیرند. OVH یک قانون ساده دارد: اگر یک گزارش به اصلاحی منجر می شود، فرد مسئول برای گزارشی که ارائه داده بایستی مورد تشویق قرار گیرد. این قانون برای انجمن کلاه سفید شفافیت لازم را فراهم می کند و بدون آن این نوع برنامه هیچ ارزشی ندارد. پایگاه bountyfactory.io  علاوه بر کمک به ارتباطات روان و انعطاف پذیر، به OVH این امکان را می دهد که باگ های گزارش  شده را با یک روش سازمان یافته و بدون ابهام مدیریت نماید.
Bug Bounty زراد خانه امنیتی ما را تقویت می کند

افتتاح برنامه برای عموم مردم بسیاری از اقدامات تامینیه داخلی در جایگاه اطمینان امنیت زیرساخت های ما و داده های افراد را تکمیل می کند. هر ساله آزمون های نفوذ متعدد داخلی و خارجی انجام می شود و این اطمینان را می دهد که حساس ترین سیستم ها با بالاترین استانداردها سازگار هستند. به منظور پوشش تمام طیف OVH و به حداقل رساندن وجود آسیب پذیری های امنیتی تصمیم بر این است که پروسه گزارش عمومی استانداردسازی شود: با Bug Bounty ما قادریم به صورت مستمر همه زیرساخت هایمان را با پروفایل های مختلف و مهارت های متنوع تست کنیم. وینسنت اظهار می دارد “ما هرگز نمی توانیم چنین طیفی از دوره های طولانی با بازبینی های کلاسیک را پوشش دهیم”

تقویت پروسه های امنیتی همچنین به معنای دستیابی به یک سری از گواهی ها همچون ایزو ۲۷۰۰۱ و ایزو ۲۷۰۱۷، PCI DSS – استانداردی برای اطلاعات مربوط به امور مالی هاست لینوکس و سرور مجازی می باشد و ما در حال حاضر در حال فعالیت در باره کسب گواهی رسمی برای داده های هاست مرتبط با مراقبت های بهداشتی هستیم.
در جستجوی: متخصصان API

در حال حاضر، Bug Bounty تنها قابلیت های آسیب پذیری مرتبط با کنترل پنل مشتری OVH  و API را مورد توجه قرار می دهد. خیلی زود این توجه در جهت پوشش سایر محصولات OVH گسترش می یابد. طبق اظهار تیم SOC برای یافتن باگ های بسیار جالب توجه، این امر ضروری است که مشارکت کنندگان در Bug Bounty اصول اساسی API ما را درک نماید: وینسنت قبل از یادآور شدن به ما که همه داده ها در دیتابیس های PostgreSQL و MySQL  ذخیره شده است توضیح می دهد که ” پرل زبان برنامه نویسی اصلی دارای تماس های میکرو برای API می باشد که در پایتون نوشته شده است”. عملیاتی که پیکر بندی منابع مورد نیاز را مدیریت می کنند، همگی توسط رباط ها کنترل می شوند و این است که می گویند فرایندهای ناهماهنگ این اعمال را انجام می دهند. در داخل OVH ، Debian سیستم عملیاتی است که با اکثر تیم های بهره برداری کننده از هسته اصلی امنیتی gr در سطح وسیعی مورد استفاده قرار گرفته است.وینسنت اظهار می دارد که “علی رغم این واقعیت که برای یک روش دفاعی ابهام در نظر گرفته نشده بود، مشکل است که چیز زیادی در مورد زیرساخت ها بدون دستیابی به جزئیات گفته شود.” من می توانم به شما بگویم که ما یک زرادخانه بزرگ از ابزارهای شناسایی با قابلیت آسیب پذیری در اختیارمان داریم که بر پایه معینی بکار می گیریم. اگر شما این نوع ابزارها را در جهت کمک به یافتن باگ ها مورد استفاده قرار دهید، من به شما می گویم که ما نیز قبلا این کار را انجام داده ایم و این نوع گزارش هیچ تشویق قابل توجهی را به همراه نخواهد داشت. صادقانه بگویم، توصیه می کنیم که از رفتن به مسیرهایی که مغلوب شده اند پرهیز کنید و بر روی کیفیت تمرکز داشته باشید. تنها با ارائه یک گزارش که ثابت کند که شما می توانید دستورالعمل ها را بر روی یکی از سرورهای ما اجرا نمایید، ۱۰ هزار یورو بدست خواهید آورد. شما بایستی ۲۰۰ قابلیت آسیب پذیری  XSS بیابید تا به همان نتیجه برسید…”

|