پیوست » اخبار » بیش از ۱۲۰۰ باگ امنیتی از شرکت‌های خصوص و دولتی در سال گذشته پیدا شد

بیش از ۱۲۰۰ باگ امنیتی از شرکت‌های خصوص و دولتی در سال گذشته پیدا شد

۱ اردیبهشت ۱۴۰۰

زمان مطالعه : ۷ دقیقه

مجموعه باگدشت، فعال در زمینه باگ‌بانتی یا شناسایی باگ‌های امنیتی به‌تازگی گزارش سالانه فعالیت خود در سال ۹۹ را منتشر کرده است. در این گزارش مجموع باگ‌هایی که پس از حضور باگدشت در این مجموعه‌ها شناسایی شده‌اند، ۱۲۷۱ مورد عنوان شده است.

به گزارش پیوست، باگدشت در سال گذشته با بیش از ۴۰ سازمان در ارائه خدمات امنیتی همکاری کرده است. این مجموعه در سال گذشته بیش از ۲۰ بانتی اختصاصی و عمومی را نیز برگزار کرده است. برگزاری مسابقه CTB با دو شرکت ایرانسل و ارتباط فردا و همکاری با ۳۰ متخصص امنیت اختصاصی در یک روز نیز از دیگر اقدامات و فعالیت‌های مجموعه باگدشت است. یکی دیگر از فعالیت‌هایی که این مجموعه داشته، برگزاری کارگاه‌های ایمن‌سازی سایبری با همکاری شتاب‌دهنده آیفینک و مجموعه زاویه بوده است.

رویا دهبسته، مدیرعامل مجموعه باگدشت، در خصوص پروژه‌های انجام شده در سال گذشته به پیوست گفت: «در تمامی پروژه‌ها خروجی‌های موفقی وجود داشته و اکثر این پروژه‌ها پس از تمام شدن قرارداد، مجددا نیز تمدید شدند.»

او همچنین توضیح داد یک سری از سازمان‌ها، مسابقاتی را بین باگ‌بانتی‌های فعال در کشور برگزار کردند که مجموعه باگدشت با پشتوانه فنی که داشت در تمامی آن مسابقات نتایج خوبی را به دست آورد.

همکاری با بیش از ۵۰۰ متخصص امنیتی در کشور، دریافت بیش از ۱۲۷۰ گزارش امنیتی، ثبت پلتفرم باگدشت به‌عنوان محصول دانش‌بنیان، همکاری در ایجاد نخستین چارچوب قانونی باگ‌بانتی و دریافت مجوز باگ‌بانتی و همچنین دریافت مجوز ایمن‌سازی سامانه‌ها، همگی از فعالیت‌های باگدشت در سال ۹۹ است.

این مجموعه سال ۹۹ را در همکاری با ۲۰۸ متخصص امنیت شروع کرد؛ درحالی که در پایان سال ۹۹ با بیش از ۵۳۹ متخصص امنیت همکاری داشته است. با افزایش همکاری با متخصصان امنیت، تعداد باگ‌های شناسایی شده نیز افزایش یافت. به‌طوری که در فروردین ماه با وجود ۲۰۸ متخصص امنیت، تنها ۳۳۵ باگ امنیتی در باگدشت شناسایی شد اما در پایان سال و با رسیدن تعداد متخصصین امنیت به ۵۳۹ نفر، تعداد باگ‌های شناسایی شده نیز به ۱۲۷۱ عدد رسید.

باگدشت در این گزارش باگ‌های شناسایی شده در صنایع مختلف را دسته‌بندی کرده است. به این ترتیب، در میان مشتریان باگدشت، ۱۹ درصد باگ‌های شناسایی شده در حوزه پلتفرم خدمات بوده است. ۱۵ درصد باگ‌ها نیز در حوزه ارتباطات کشف شده، سهم بانک‌ها از درصد باگ‌های کشف شده ۱۲ درصد است و شرکت‌های حوزه فینتک نیز سهم ۹ درصدی دارند. سایر حوزه‌ها به این ترتیب است: شرکت‌های دولتی ۶ درصد، خرده‌فروشی‌ها ۵ درصد، نقل‌وانتقال ۴ درصد بازاریابی ۲ درصد و سایر سازمان‌ها و شرکت‌ها ۲۸ درصد از باگ‌های شناسایی شده سهم دارند. باتوجه به تنوع حوزه‌های مختلفی که در این گزارش نام برده شده، عنوان «سایر سازمان‌ها» که با ۲۸ درصد، بیشترین سهم را از باگ‌های شناسایی شده را هم دارد، احتمالا مربوط به سامانه‌ها و نرم‌افزار‌های نظامی، امنیتی، بدنه دولت یا حاکمیتی بوده است.

مدیرعامل مجموعه باگدشت، در خصوص این آمار گفت: «اکثر مشتریان این مجموعه که از خدمات باگ‌بانتی (باگ‌بانتی اختصاصی) استفاده کرده‌اند شرکت‌های دولتی یا حاکمیتی بوده‌اند و شرکت‌هایی خصوصی بیشتر از خدمات تست نفوذ استفاده کرده‌اند. بانک انصار (قدیم)، بانک کارآفرین، قوه‌قضائیه، بانک آینده و ایرانسل از جمله مشتریان دولتی باگدشت در سال گذشته بودند.»

بیشترین درصد شناسایی باگ‌ها در میان صنایع مختلف مربوط به پلتفرم‌های خدمات بوده است

۵۱ درصد از کل باگ‌های امنیتی گزارش شده در باگدشت، باگ‌هایی با شدت خطر متوسط بوده‌اند، ۲۷ درصد باگ‌ها نیز در وضعیت خطرناک قرار داشته و ۱۶ درصد باگ‌ها نیز وضعیت بحرانی داشتند. این درحالی است که تنها ۶ درصد باگ‌های شناسایی شده در وضعیت کم‌خطر بودند.

۴۳ درصد از باگ‌های امنیتی گزارش شده در باگدشت در وضعیت خطرناک یا بحرانی قرار داشته است

خدمات باگدشت

باگدشت به‌عنوان مجموعه فعال در زمینه باگ بانتی، تنها به شناسایی باگ‌های امنیتی نمی‌پردازد و خدمات مختلفی را به مشتریان یا همان سازمان‌ها و شرکت‌ها ارائه می‌کند. آموزش کسب‌وکار به توسعه امن سامانه‌ها، ارتقا مدیریت ریسک کسب‌وکار، ایجاد فرآیند مدیریت باگ‌های امنیتی، تعیین دامنه تست و بودجه متناسب با بانتی، مشاوره در ایجاد قوانین و ملاحظات تست‌های امنیتی، تخمین زمان‌بندی رفع باگ‌های امنیتی و پرداخت‌ها، تعیین نوع عمومی یا خصوصی بانتی و گستردگی آن، شروع ارزیابی و دریافت باگ‌های امنیتی، تریاژ دقیق و تعامل با متخصصان، تحلیل فنی و ارزش‌گذاری باگ‌های دریافتی و تصحیح گزارش‌های فنی، مشاوره در ایمن‌سازی سریع باگ‌های امنیتی، همگی از جمله خدمات باگدشت هستند.

دهبسته در خصوص خدمات امنیتی که این شرکت به مشتریانش ارائه می‌دهد توضیح داد:‌ «با توجه به این که حدودا ۲ سال از شروع فعالیت ما می‌گذرد، بیشتر به عنوان مجموعه باگ‌بانتی شناخته شده‌ایم و بیشتر خدماتی هم که ارائه می‌کنیم در همین زمینه است. پس از آنکه در این زمینه باشرکت‌ها همکاری‌هایی داشتیم، شرکت‌ها متوجه سرعت و کیفیت کار تیم ما شدند و به‌مرور نیازمندی‌های دیگری هم از سوی‌ آنها مطرح شد.»

او افزود: «از آنجایی که بسیاری از شرکت‌ها هنوز به آن سطح از بلوغ نرسیده‌اند که باگ‌بانتی را بپذیرند و به‌ازای هر باگ هزینه کنند، بابت پروژه‌های دیگری از جمله تست نفوذ و ارزیابی‌های امنیتی با ما همکاری می‌کنند که این‌ها از جمله پروژه‌هایی بود که از شرکت‌های خصوصی یا دولتی گرفتیم.»

خدمات آموزشی یکی دیگر از خدماتی است که باگدشت به مشتریانش ارائه می‌کند. دهبسته در خصوص این خدمت توضیح داد:‌ «در بحث توسعه امن محصول، اعم از وب یا موبایل، خدمات آموزشی داشتیم و با چند مجموعه آن را برگزار کردیم. بیشتر مخاطب این دوره‌ها برنامه‌نویس‌ها هستند که از همان ابتدا در چرخه تولید نرم‌افزار بتوانند مشکلات امنیتی را کاهش دهند.»

ایمن‌سازی آخرین مورد از خدمات ارائه شده از سوی باگدشت است. مدیرعامل این مجموعه در توضیح ایمن‌سازی گفت:‌ «از آنجایی که علاوه بر مجوز باگ‌بانتی، مجوز ایمن‌سازی و خدمات مشاوره‌ای را هم از افتا کسب کردیم، سازمان‌ها در این حوزه به ما اعتماد کردند و پروژه‌هایی را در حوزه ایمن‌سازی پیش بردیم. پروژه ایمن‌سازی برای شرکت‌هایی است که به‌وسیله باگ‌بانتی مشکلات و حفره‌های امنیتی خود را شناخته‌اند اما دانش فنی از بین بردن آن را ندارند.»

مدیرعامل باگدشت در پاسخ به این سوال که آیا تا به حال مجموعه‌ای، پس از آن که توسط شما ایمن‌سازی شده مورد حمله یا نفوذ قرار گرفته یا نه گفت:‌ «تا الان حتی در شرکت‌هایی که فقط باگ‌بانتی را با‌ آنها پیش بردیم هم این اتفاق نیافتاده است.»

او افزود: «ما برای باگ‌بانتی‌ها و افرادی که در آن شرکت می‌کنند یک سری قوانین و شرایط سختگیرانه‌ای مخصوصا در زمینه احراز هویت داریم که منجر به ریزش تعداد هکرها هم شد. اما این کار حواشی کمتری برای ما ایجاد می‌کند و اعتماد بیشتری هم به وجود می‌آورد. چه در پروژه‌هایی که ایمن‌سازی‌ آن با ما بوده چه در پروژه‌هایی که فقط باگ‌بانتی داشتیم، تا به حال این اتفاق نیافتاده است.»

خدمت جدید

جلوگیری صد درصدی از وقوع حملات هکری، حذف یا نشت اطلاعات تقریبا غیرممکن است. این موضوع با نگاهی به حملات هکری گسترده‌ای که در دنیا اتفاق می‌افتد که اخیرا شاهد یکی از بزرگ‌ترین آن‌ها در کشور نیز بودیم، قابل تشخیص است. مجموعه باگدشت قصد دارد به خدمات خود، ایمن‌سازی پس از وقوع حمله را تحت عنوان Red Team یا تیم قرمز اضافه کند. در این خدمت، شبیه‌سازی حملات مختلف به سازمان انجام می‌شود و میزان آمادگی و بلوغ سازمان در برابر حوادث واقعی سنجیده می‌شود و پس از آن مشاوره بهبود ایمن‌سازی معماری و زیرساخت و فر‌آیندهای سازمان انجام می‌شود.

نکته جالب توجه در مورد خدمت Red Team و تفاوتی که با تیم باگ بانتی دارند، این است که باگ بانتی شبیه‌سازی حمله به سامانه‌های فناوری اطلاعات است اما Red Team محدود به روش‌های IT نیست و تمرکز خود را از طریق مهندسی اجتماعی، فیشینگ، امنیت فیزیکی، استفاده از نقاط ضعف پرسنل و غیره هم توسعه می‌دهد.

باگ بانتی، ارزیابی مستمر سامانه‌های سازمان است که به سازمان اجازه جلوگیری از حمالت سایبری، سرقت داده و یا سواستفاده از آنها را با سرعت بیشتر می‌دهد. ارزیابی امنیتی توسط هکرهای اخلاقی که برای شناسایی آسیب‌پذیری‌های مرتبط با آن سرویس و یا برنامه‌های کاربردی پاداش دریافت می‌کنند اجرا می‌شود. این متخصصین دسترسی به سامانه مورد تست را شبیه به دیگر مشتریان سازمان دارند. در برنامه‌های باگ بانتی، پاداش وقتی داده می‌شود که به‌صورت واقعی یک باگ امنیتی شناسایی شود. برنامه‌های باگ بانتی، دارای بُعد زمانی بیشتری هستند. ویژگی باگ بانتی ایجاد رقابت میان اجتماع بزرگی از متخصصین امنیت است که برای دریافت جایزه تلاش می‌کنند. فرآیندهای شفاف پذیرش باگ، مسائل حقوقی و تخصص در ارزش‌گذاری از جمله مفاهیم اصلی باگ بانتی‌ها هستند.

http://pvst.ir/9w3

امید اعظمیعضو تحریریه

شاید هیچ‌وقت صفت ماجراجو را در توصیف خودم به‌کار نبرده‌ باشم. اما وقتی به مسیری که آمدم نگاه می‌کنم، چیزی جز ماجراجویی نمی‌بینم. از تحصیل در رشته مهندسی نرم‌افزار و یک سال تجربه برنامه‌نویسی گرفته تا تجربه برگزاری استارت‌آپ ویکند بیرجند و سه سال مدیا مانیتورینگ در حوزه روابط‌عمومی و حالا تجربه جدیدی در پیوست و حوزه خبرنگاری. اما برای من ارزشمند‌تر از هر تجربه‌ای، دوستان خوبی بودند که در این مسیر پیدا کردم.

تمام مقالات

0 نظر

ارسال دیدگاه لغو پاسخ