گزارش پایانی رویداد امنیتی CTB باگدشت با همکاری دو شرکت پیشگام؛ ایرانسل و ارتباط فردا و متخصصین امنیتی کشور

مرداد ۷, ۱۳۹۹

مسابقه امنیتی CTB با هدف هم افزایی تیم‌های امنیت دو شرکت مطرح، ایرانسل و تجارت الکترونیکی ارتباط فردا و توان متخصصین امنیتی باگدشت بصورت خصوصی و در قالب دعوت به مسابقه برای نخستین بار در کشور برگزار شد.

اجرای ارزیابی امنیتی بصورت باگ بانتی به معنای استفاده از دانش، تخصص و تجربیات اجتماع متخصصین امنیتی در شناسایی و رفع مشکلات امنیتی است. این روش در حوزه امنیت سایبری توسط شرکت‌های مشهور و قدرتمند عرصه فناوری اطلاعات انتخاب شده است تا با هم‌فکری از خبرگان این حوزه، بتوانند به سرعت بسیار بالاتر و چابک، نتایج موثرتری را برای کسب و کار خود بدست آورند.

مسایل مختلف همچون قوانین امنیت سایبری کشورهای دیگر و ملاحظات اطلاعات خصوصی کاربران و اولویت بالا قائل شدن برای حفظ ایمنی اطلاعات مشتریان و کارکنان در پیشبرد کسب و کار از مهمترین دلایلی است که کسب و کارهای بین المللی، از رویکرد باگ بانتی استفاده می‌کنند تا بتوانند با سرعت بالاتر به مشکلات احتمالی دست یابند و تیم امنیت کسب و کار بتواند با دقت بالاتر راهکارهای امنیتی اصولی برای ایمن سازی را پیاده سازی و بر اجرای فرآیند نظارت نماید.

پیش از اجرای باگ بانتی در کسب و کار به معانی مختلف خود از جمله محدود به زمان، خصوصی و یا حتی عمومی، باید ملاحظاتی بررسی شود که به معنای سطح بلوغ امنیتی سازمان است. شناسایی باگ امنیتی در هر کسب و کاری امری طبیعی است و مهم‌تر از این مساله، توانایی در بررسی، ایمن سازی و هاردنینگ اصولی و اطمینان از عدم تکرار آن در سامانه‌ها است. سازمان‌های بزرگ دارای مسابقات امنیتی باگ بانتی، پس از دریافت باگ‌های امنیتی، از این اطلاعات به عنوان سناریو جدید طراحی و توسعه محصولات خود استفاده می‌کنند و دانش جدید تولید شده در سازمان را بصورت عملیاتی برای تمامی سامانه‌های خود به کار می‌بندند. در غیر اینصورت سازمان تبدیل به مخزن بزرگی از باگ‌های امنیتی شناسایی شده می‌شود که عدم رفع آنها به صورت چابک، ریسک امنیتی را پابرجا می سازد. برای بررسی سطح بلوغ کسب و کار در صنعت باگ بانتی، آیتم‌های مختلفی سنجیده می‌شود که می‌تواند شامل عناوینی همچون پرسنل و ساختار سازمانی، بودجه مستقل امنیت، فرآیندهای تعریف شده امنیتی، روال رفع و ایمن سازی، هماهنگی اشتراک‌گذاری اطلاعات چابک، میزان پذیرش ریسک امنیتی، فرهنگ سازی رویکردهای نوین امنیت سایبری و دانش حقوقی و غیره باشد.

شرکت باگدشت با همکاری دو شرکت ایرانسل و ارتباط فردا برای نخستین بار در کشور اقدام به همکاری با متخصصین امنیتی و ارتقا سطح امنیتی سامانه ها در قالب مسابقه باگ بانتی خصوصی نمودند. در این مسابقه ۵۰ نفر از متخصصین امنیتی باگدشت بصورت اختصاصی به مسابقه دعوت شدند و با استفاده از زیرساخت اختصاصی مسابقه و تحت قوانین سایبری کشور به رقابت پرداختند و بر اساس قوانین و الزامات تعیین شده از سوی دو شرکت مذکور به بررسی امنیتی سامانه ها کردند. در پایان روز دوم مرداد ماه باگ های شناسایی شده امنیتی به پلتفرم باگ بانتی باگدشت گزارش شد تا در روال تریاژ و تایید فنی قرار گیرند و در صورتیکه گزارش مورد تایید فنی و الزامات امنیتی مسابقه باشد، جوایز همکاری به متخصص امنیتی یا بانتی تعلق گیرد. در صورت شناسایی باگ بحرانی ۵۰.۰۰۰.۰۰۰ ریال، باگ خطرناک ۳۰.۰۰۰.۰۰۰ ریال و باگ متوسط ۱۰.۰۰۰.۰۰۰ ریال تعلق خواهد گرفت.

شرکت ایرانسل، اپراتور برتر در حوزه دیتای کشور، با اولویت گذاری خود در حوزه ایمن سازی و امنیت داده های کاربران، برای نخستین بار در کشور در این مسابقه شرکت نمود. شرکت ایرانسل در حوزه‌های فناورانه نوین مختلف مانند توانمندسازی، سرگرمی، آموزش، اینترنت اشیا، سلامت و ارایه پلتفرم‌های متناظر با آن بصورت ایمن گام برداشته است و‌ پروژه‌های گوناگونی را در این بستر در دست توسعه دارد. شرکت ایرانسل همواره سعی کرده تا خدمات و محصولاتی نوآور و مطابق با آخرین فناوری‌های روز دنیا را ارائه کند و در این راه بسیار مورد تقدیر قرار گرفته است. همچنین این شرکت با درک مسئولیت‌های اجتماعی خود تلاش نموده است تا به امروز حامی رویدادهای بزرگ ورزشی، هنری، مدیریتی و فناوری قرار گیرد و سوابقی چون عقد قرارداد همکاری با سازمان‌های یاری‌رسان را در کارنامه خود دارد. شرکت ایرانسل به دلیل همراستایی با ترند فناوری های به روز و بین المللی، از مجموعه باگدشت در برگزاری مسابقه اختصاصی CTB حمایت نموده است تا در نتیجه این همکاری بتوانیم محیطی ایمن تر را برای مردم عزیز کشورمان به ارمغان بیاوریم.

محصولات و خدمات شرکت ارتباط فردا به عنوان شرکتی نوآور در حوزه بانکداری و فین‌تک، تاثیر قابل توجهی بر سبک زندگی دیجیتال ایرانیان دارد. این سامانه ها با در نظر گرفتن آخرین تحولات صنعت مالی دنیا و شناخت فضای بانکی و تجارت الکترونیکی ایران بصورت امن طراحی شده است. فلسفه اصلی ایجاد شرکت ارتباط فردا بهبود سبک زندگی مردم و ایجاد حس خوب تجربه های مالی متفاوت است. در این راستا این شرکت دارای جوایز و تقدیرنامه‌های گوناگون در جهت بهبود فضای کسب و کار شده است. شرکت ارتباط فردا به دلیل قرارگیری در بین فناوران برتر کشور و همکاری مشترک با مراکز دانش بنیان، با حمایت از مجموعه باگدشت، ایمن سازی سامانه ها و خدمات خود را در اولویت قرار داده است.

شرکت ایرانسل به عنوان بزرگترین اپراتور دیجیتال ایران و شرکت ارتباط فردا با ارائه محصولات و خدمات نوآورانه در قالب فناوری‌های مالی با همکاری شرکت باگدشت قدم در راه ایمنی سامانه ها و محافظت از داده های کاربران برداشتند تا در نتیجه این همکاری بتوانیم محیط اینترنت را محیطی ایمن برای مردم عزیز کشورمان تبدیل کنیم. باید درنظر داشت با توجه به تمامی ملاحظات و نوین بودن این صنعت در کشور، شرکت‌های ایرانسل و ارتباط فردا به دلیل اهمیتی که برای مشتریان خود قائل هستند، در برگزاری مسابقه امنیتی خصوصی CTB همکاری نموده و هدف از این همکاری، رشد فضای سازنده امنیت به منظور فعالیت متخصصین امنیتی در قالب قوانین و الزامات سایبری کشور است. همانطور که توضیح داده شد، اجرای باگ بانتی در روش‌های مختلف آن نیازمند سطح بلوغ امنیتی سازمان است که بتواند حداکثر بهره برداری از این خدمت را برداشت کند، با افتخار می‌توان گفت در کشورمان، ایران نیز این صنعت توسط سازمان‌هایی با سطح بلوغ امنیتی، آغاز شده است و امید است بتوانیم با همراهی دیگر سازمان‌ها در توسعه صحیح این اکوسیستم همکاری نماییم.

از سوی دیگر بر اساس صحبتهای صورت گرفته و بازخوردهای کسب شده از متخصصین امنیتی در خصوص مسابقه امنیتی CTB، متخصصین امنیتی از اجرای این نوع از مسابقه در کشور استقبال نمودند و محدود بودن زمان در ایجاد شرایط تست و تاثیر گذاری آن بر روی کیفیت نتایج ارزیابی را بیان نمودند. همچنین برخی به برگزاری حضوری مسابقه اشاره نمودند که می توانست منجربه افزایش کیفیت گزارشات در نتیجه تعاملات در روز مسابقه شود. افزایش شفاف سازی قوانین بانتی ها و همچنین تعدد بیشتر تارگت ها از جمله سامانه های موبایل از دیگر نظرات متخصصین در این روز بود.

رویداد CTB با حمایت معنوی پلیس فتا، صندوق نوآوری و شکوفایی ریاست جمهوری و شتابدهنده فینووا و برگزاری توسط باگدشت توانست راهی جدید برای افزایش امنیت سایبری ایجاد کند تا به رشد و توسعه فضای کسب و کارهای آنلاین کشور کمک کند. از حامیان دیگر این رویداد امنیتی می‌توان از شرکت‌های چه گوارا، بن مانو و صفر و یک نام برد که به برگزاری بهتر این رویداد کمک کرده و باگدشت را در برگزاری این رویداد همراهی نمودند.

منابع:

Peivast

وبلاگ

آخرین مطالب

امنیت در امتداد کسب و کار سازمان از دیدگاه مهندسی آشوب

در این مقاله خلاصه صحبتهای انجام شده توسط مجموعه کارکسب به عنوان یک مجموعه متمرکز بر بهبود کسب و کارهای کشور و خانم دکتر رویا دهبسته مدیرعامل باگدشت ارائه شده است. موضوع این صحبت، امنیت سامانه‌ها، روال اجرای آن در سازمان‌ها، تاثیر آن در موفقیت کسب و کار و چالش‌های روبرو در سازمان‌ها می‌باشد

امنیت داده در استارتاپ‌ها؛ موضوع پنل نشست سرمایه‌گذاری کارایا با حضور باگدشت

پنل اختصاصی این رویداد با موضوع "امنیت داده در استارتاپ‌ها" با راهبری جناب آقای احمدرضا صادقی(مدیراجرایی نیک‌ونچرز و عضو هیات اجرایی کارایا) با حضور آقایان سهراب بهروزیان"مدیر ارشد زیرساخت و امنیت دیجیکالا" ، مجتبی مددخانی"مدیر انفورماتیک شرکت فناوری اطلاعات هلو" صابر غفاری مقدم "کارشناس رسمی قوه قضاییه" و سرکار خانم رویا دهبسته "مدیرعامل پلتفرم خدمات امنیتی باگدشت" برگزار گردید و به پرسش و پاسخ و گفتگو پرداختند

مصاحبه مدیرعامل باگدشت با کارافرین نیوز در خصوص کارفرینی و دغدغه منابع انسانی در امنیت سایبری

در این گزارش به بررسی مصاحبه صورت گرفته با خانم رویا دهبسته مدیرعامل شرکت باگدشت، در خصوص روند کارآفرینی در حوزه امنیت سایبری و همچنین دغدغه‌های حوزه منابع انسانی می‌پردازیم.

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.