بر اساس تحلیل انجام شده توسط رسانه خبری پیوست، 1271 گزارش امنیتی تاکنون در رابطه با سازمانها و شرکتهای ایرانی شناسایی شده است. این تعداد باگ منجر به همکاری امنیت باگدشت با بیش از ۴۰ سازمان شده است که ۲۰ بانتی اختصاصی و عمومی را برگزار کرده است.
برگزاری مسابقه CTB با دو شرکت ایرانسل و ارتباط فردا و همکاری با ۳۰ متخصص امنیت اختصاصی در یک روز نیز از دیگر اقدامات و فعالیتهای مجموعه باگدشت است. یکی دیگر از فعالیتهایی که این مجموعه در یک سال گذشته داشته است، برگزاری کارگاههای ایمنسازی سایبری با همکاری شتابدهنده آیفینک و مجموعه زاویه بوده است.
رویا دهبسته، مدیرعامل مجموعه باگدشت، در خصوص پروژههای انجام شده در سال گذشته به پیوست گفت: «در تمامی پروژهها خروجیهای موفقی وجود داشته و اکثر این پروژهها پس از تمام شدن قرارداد، مجددا نیز تمدید شدند». همچنین توضیح داد برخی از سازمانها، مسابقاتی را میان باگبانتیهای فعال در کشور برگزار نمودند. مجموعه باگدشت با پشتوانه فنی که داشت در آن مسابقات نتایج خوبی را به دست آورد.
همکاری با بیش از ۵۰۰ متخصص امنیتی در کشور و دریافت و ثبت بیش از ۱۲۷۰ گزارش امنیتی در پلتفرم باگ بانتی باگدشت بهعنوان محصول دانشبنیان، همکاری در ایجاد نخستین چارچوب قانونی باگبانتی و دریافت مجوز باگبانتی و همچنین دریافت مجوز ایمنسازی سامانهها، همگی از فعالیتهای باگدشت در سال ۹۹ است.
باگدشت سال ۹۹ را با همکاری ۲۰۸ متخصص امنیت شروع کرد؛ درحالی که در پایان سال ۹۹ با بیش از ۵۳۹ متخصص امنیت همکاری داشته است. با افزایش همکاری با متخصصان امنیت، تعداد باگهای شناسایی شده نیز افزایش یافت. بهطوری که در فروردین ماه با وجود ۲۰۸ متخصص امنیت، تنها ۳۳۵ باگ امنیتی در باگدشت شناسایی شد. اما در پایان سال و با رسیدن تعداد متخصصین امنیت به ۵۳۹ نفر، تعداد باگهای شناسایی شده نیز به ۱۲۷۱ عدد رسید.
۱۹ درصد باگهای شناسایی شده در حوزه پلتفرم خدمات بوده است. ۱۵ درصد باگها نیز در حوزه ارتباطات کشف شده، سهم بانکها از درصد باگهای کشف شده ۱۲ درصد است و شرکتهای حوزه فینتک نیز سهم ۹ درصدی دارند. سایر حوزهها به این ترتیب است: شرکتهای دولتی ۶ درصد، خردهفروشیها ۵ درصد، نقلوانتقال ۴ درصد بازاریابی ۲ درصد و سایر سازمانها و شرکتها ۲۸ درصد از باگهای شناسایی شده سهم دارند. باتوجه به تنوع حوزههای مختلفی که در این گزارش نام برده شده، عنوان «سایر سازمانها» که با ۲۸ درصد، بیشترین سهم را از باگهای شناسایی شده را هم دارد، مربوط به سامانهها و نرمافزارهای دولتی یا حاکمیتی بوده است.
مدیرعامل مجموعه باگدشت، در خصوص این آمار گفت: «اکثر مشتریان که از خدمات باگبانتی (باگبانتی اختصاصی) استفاده کردهاند شرکتهای دولتی بودهاند. شرکتهایی خصوصی کوچکتر بیشتر از خدمات تست نفوذ استفاده کردهاند. بانک انصار (قدیم)، بانک ملت، قوهقضائیه، بانک آینده و ایرانسل از جمله مشتریان دولتی باگدشت در سال گذشته بودند.»
۵۱ درصد از کل باگهای شده در باگدشت، باگهایی با شدت خطر متوسط بودهاند، ۲۷ درصد باگها نیز در وضعیت خطرناک قرار داشته و ۱۶ درصد باگها نیز وضعیت بحرانی داشتند. این درحالی است که تنها ۶ درصد باگهای شناسایی شده در وضعیت کمخطر بودند.
خدمات امنیتی باگدشت
باگدشت بهعنوان مجموعه فعال در زمینه باگ بانتی، تنها به شناسایی باگهای امنیتی نمیپردازد و خدمات مختلفی را به مشتریان یا همان سازمانها و شرکتها ارائه میکند. آموزش کسبوکار به توسعه امن سامانهها، ارزیابی امنیتی، ایمن سازی سامانه های سازمانی از جمله خدمات باگدشت هستند.
دهبسته در خصوص خدمات امنیتی که این شرکت به مشتریانش ارائه میدهد توضیح داد: «با توجه به این که حدودا ۲ سال از شروع فعالیت ما میگذرد، بیشتر به عنوان مجموعه باگبانتی شناخته شدهایم و بیشتر خدماتی هم که ارائه میکنیم در همین زمینه است. پس از آنکه در این زمینه با شرکتها همکاریهای موفقی داشتیم، سازمانها با توجه به کیفیت کار تیم باگدشت بهمرور نیازمندیهای دیگری هم از سوی آنها مطرح شد.»
او افزود: «از آنجایی که بسیاری از شرکتها هنوز به آن سطح از بلوغ نرسیدهاند که باگبانتی را بپذیرند و بهازای هر باگ هزینه کنند، بابت پروژههای دیگری از جمله تست نفوذ و ارزیابیهای امنیتی با ما همکاری میکنند.»
خدمات آموزشی یکی دیگر از خدماتی است که باگدشت به مشتریانش ارائه میکند. دهبسته در خصوص این خدمت توضیح داد: «در بحث توسعه امن محصول، اعم از وب یا موبایل، خدمات آموزشی داشتیم و برای چندین مجموعه دوره امنیتی را برگزار کردیم. بیشتر مخاطب این دورهها برنامهنویسها هستند که از همان ابتدا در چرخه تولید نرمافزار بتوانند مشکلات امنیتی را کاهش دهند.»
ایمنسازی آخرین مورد از خدمات ارائه شده از سوی باگدشت است. مدیرعامل این مجموعه در توضیح ایمنسازی گفت: «از آنجایی که علاوه بر مجوز باگبانتی، مجوز ایمنسازی و خدمات مشاورهای را از مرکز افتا کسب کرده ایم، سازمانها در این حوزه به ما اعتماد کردند و پروژههایی را در حوزه ایمنسازی پیش بردیم.»
او افزود: «ما برای باگبانتیها و افرادی که در آن شرکت میکنند یک سری قوانین و شرایط سختگیرانهای مخصوصا در زمینه احراز هویت داریم. »
خدمات تیم قرمز:
جلوگیری صد درصدی از وقوع حملات هکری، حذف یا نشت اطلاعات تقریبا غیرممکن است. این موضوع با نگاهی به حملات هکری گستردهای که در دنیا اتفاق میافتد روشن میشود. اخیرا شاهد یکی از بزرگترین آنها در کشور نیز بودیم، قابل تشخیص است. مجموعه باگدشت قصد دارد به خدمات خود، ارزیابی همه جانبه را تحت عنوان Red Team یا تیم قرمز اضافه کند. در این خدمت، شبیهسازی حملات مختلف به سازمان انجام میشود و میزان آمادگی و بلوغ سازمان در برابر حوادث واقعی سنجیده میشود. پس از آن مشاوره بهبود ایمنسازی معماری و زیرساخت و فرآیندهای سازمان انجام میشود.
نکته جالب توجه در مورد خدمت Red Team و تفاوتی که با تیم باگ بانتی دارند، این است که باگ بانتی شبیهسازی حمله به سامانههای فناوری اطلاعات است اما Red Team محدود به روشهای IT نیست و تمرکز خود را از طریق مهندسی اجتماعی، فیشینگ، امنیت فیزیکی، استفاده از نقاط ضعف پرسنل و غیره هم توسعه میدهد.
باگ بانتی، ارزیابی مستمر سامانههای سازمان است که به سازمان اجازه جلوگیری از حمالت سایبری، سرقت داده و یا سواستفاده از آنها را با سرعت بیشتر میدهد. ارزیابی امنیتی توسط هکرهای اخلاقی که برای شناسایی آسیبپذیریهای مرتبط با آن سرویس و یا برنامههای کاربردی پاداش دریافت میکنند اجرا میشود. این متخصصین دسترسی به سامانه مورد تست را شبیه به دیگر مشتریان سازمان دارند. در برنامههای باگ بانتی، پاداش وقتی داده میشود که بهصورت واقعی یک باگ امنیتی شناسایی شود. برنامههای باگ بانتی، دارای بُعد زمانی بیشتری هستند. ویژگی باگ بانتی ایجاد رقابت میان اجتماع بزرگی از متخصصین امنیت است که برای دریافت جایزه تلاش میکنند. فرآیندهای شفاف پذیرش باگ، مسائل حقوقی و تخصص در ارزشگذاری از جمله مفاهیم اصلی باگ بانتیها هستند.