تحلیل رسانه خبری پیوست در خصوص عملکرد باگدشت در سال ۱۳۹۹

برگزاری مسابقه CTB با دو شرکت ایرانسل و ارتباط فردا و همکاری با ۳۰ متخصص امنیت اختصاصی در یک روز نیز از دیگر اقدامات و فعالیت‌های مجموعه باگدشت است. یکی دیگر از فعالیت‌هایی که این مجموعه در یک سال گذشته داشته است، برگزاری کارگاه‌های ایمن‌سازی سایبری با همکاری شتاب‌دهنده آیفینک و مجموعه زاویه بوده است.

رویا دهبسته، مدیرعامل مجموعه باگدشت، در خصوص پروژه‌های انجام شده در سال گذشته به پیوست گفت: «در تمامی پروژه‌ها خروجی‌های موفقی وجود داشته و اکثر این پروژه‌ها پس از تمام شدن قرارداد، مجددا نیز تمدید شدند». همچنین توضیح داد برخی از سازمان‌ها، مسابقاتی را میان باگ‌بانتی‌های فعال در کشور برگزار نمودند. مجموعه باگدشت با پشتوانه فنی که داشت در آن مسابقات نتایج خوبی را به دست آورد.

همکاری با بیش از ۵۰۰ متخصص امنیتی در کشور و دریافت و ثبت بیش از ۱۲۷۰ گزارش امنیتی در پلتفرم باگ بانتی باگدشت به‌عنوان محصول دانش‌بنیان، همکاری در ایجاد نخستین چارچوب قانونی باگ‌بانتی و دریافت مجوز باگ‌بانتی و همچنین دریافت مجوز ایمن‌سازی سامانه‌ها، همگی از فعالیت‌های باگدشت در سال ۹۹ است.

باگدشت سال ۹۹ را با همکاری ۲۰۸ متخصص امنیت شروع کرد؛ درحالی که در پایان سال ۹۹ با بیش از ۵۳۹ متخصص امنیت همکاری داشته است. با افزایش همکاری با متخصصان امنیت، تعداد باگ‌های شناسایی شده نیز افزایش یافت. به‌طوری که در فروردین ماه با وجود ۲۰۸ متخصص امنیت، تنها ۳۳۵ باگ امنیتی در باگدشت شناسایی شد. اما در پایان سال و با رسیدن تعداد متخصصین امنیت به ۵۳۹ نفر، تعداد باگ‌های شناسایی شده نیز به ۱۲۷۱ عدد رسید.

۱۹ درصد باگ‌های شناسایی شده در حوزه پلتفرم خدمات بوده است. ۱۵ درصد باگ‌ها نیز در حوزه ارتباطات کشف شده، سهم بانک‌ها از درصد باگ‌های کشف شده ۱۲ درصد است و شرکت‌های حوزه فینتک نیز سهم ۹ درصدی دارند. سایر حوزه‌ها به این ترتیب است: شرکت‌های دولتی ۶ درصد، خرده‌فروشی‌ها ۵ درصد، نقل‌وانتقال ۴ درصد بازاریابی ۲ درصد و سایر سازمان‌ها و شرکت‌ها ۲۸ درصد از باگ‌های شناسایی شده سهم دارند. باتوجه به تنوع حوزه‌های مختلفی که در این گزارش نام برده شده، عنوان «سایر سازمان‌ها» که با ۲۸ درصد، بیشترین سهم را از باگ‌های شناسایی شده را هم دارد، مربوط به سامانه‌ها و نرم‌افزار‌های دولتی یا حاکمیتی بوده است.

مدیرعامل مجموعه باگدشت، در خصوص این آمار گفت: «اکثر مشتریان که از خدمات باگ‌بانتی (باگ‌بانتی اختصاصی) استفاده کرده‌اند شرکت‌های دولتی بوده‌اند. شرکت‌هایی خصوصی کوچکتر بیشتر از خدمات تست نفوذ استفاده کرده‌اند. بانک انصار (قدیم)، بانک ملت، قوه‌قضائیه، بانک آینده و ایرانسل از جمله مشتریان دولتی باگدشت در سال گذشته بودند.»

۵۱ درصد از کل باگ‌های شده در باگدشت، باگ‌هایی با شدت خطر متوسط بوده‌اند، ۲۷ درصد باگ‌ها نیز در وضعیت خطرناک قرار داشته و ۱۶ درصد باگ‌ها نیز وضعیت بحرانی داشتند. این درحالی است که تنها ۶ درصد باگ‌های شناسایی شده در وضعیت کم‌خطر بودند.

خدمات امنیتی باگدشت

باگدشت به‌عنوان مجموعه فعال در زمینه باگ بانتی، تنها به شناسایی باگ‌های امنیتی نمی‌پردازد و خدمات مختلفی را به مشتریان یا همان سازمان‌ها و شرکت‌ها ارائه می‌کند. آموزش کسب‌وکار به توسعه امن سامانه‌ها، ارزیابی امنیتی، ایمن سازی سامانه های سازمانی از جمله خدمات باگدشت هستند.

دهبسته در خصوص خدمات امنیتی که این شرکت به مشتریانش ارائه می‌دهد توضیح داد:‌ «با توجه به این که حدودا ۲ سال از شروع فعالیت ما می‌گذرد، بیشتر به عنوان مجموعه باگ‌بانتی شناخته شده‌ایم و بیشتر خدماتی هم که ارائه می‌کنیم در همین زمینه است. پس از آنکه در این زمینه با شرکت‌ها همکاری‌های موفقی داشتیم، سازمان‌ها با توجه به کیفیت کار تیم باگدشت به‌مرور نیازمندی‌های دیگری هم از سوی‌ آنها مطرح شد.»

او افزود: «از آنجایی که بسیاری از شرکت‌ها هنوز به آن سطح از بلوغ نرسیده‌اند که باگ‌بانتی را بپذیرند و به‌ازای هر باگ هزینه کنند، بابت پروژه‌های دیگری از جمله تست نفوذ و ارزیابی‌های امنیتی با ما همکاری می‌کنند.»

خدمات آموزشی یکی دیگر از خدماتی است که باگدشت به مشتریانش ارائه می‌کند. دهبسته در خصوص این خدمت توضیح داد:‌ «در بحث توسعه امن محصول، اعم از وب یا موبایل، خدمات آموزشی داشتیم و برای چندین مجموعه دوره امنیتی را برگزار کردیم. بیشتر مخاطب این دوره‌ها برنامه‌نویس‌ها هستند که از همان ابتدا در چرخه تولید نرم‌افزار بتوانند مشکلات امنیتی را کاهش دهند.»

ایمن‌سازی آخرین مورد از خدمات ارائه شده از سوی باگدشت است. مدیرعامل این مجموعه در توضیح ایمن‌سازی گفت:‌ «از آنجایی که علاوه بر مجوز باگ‌بانتی، مجوز ایمن‌سازی و خدمات مشاوره‌ای را از مرکز افتا کسب کرده ایم، سازمان‌ها در این حوزه به ما اعتماد کردند و پروژه‌هایی را در حوزه ایمن‌سازی پیش بردیم.»

او افزود: «ما برای باگ‌بانتی‌ها و افرادی که در آن شرکت می‌کنند یک سری قوانین و شرایط سختگیرانه‌ای مخصوصا در زمینه احراز هویت داریم. »

خدمات تیم قرمز:

جلوگیری صد درصدی از وقوع حملات هکری، حذف یا نشت اطلاعات تقریبا غیرممکن است. این موضوع با نگاهی به حملات هکری گسترده‌ای که در دنیا اتفاق می‌افتد روشن می‌شود. اخیرا شاهد یکی از بزرگ‌ترین آن‌ها در کشور نیز بودیم، قابل تشخیص است. مجموعه باگدشت قصد دارد به خدمات خود، ارزیابی همه جانبه را تحت عنوان Red Team یا تیم قرمز اضافه کند. در این خدمت، شبیه‌سازی حملات مختلف به سازمان انجام می‌شود و میزان آمادگی و بلوغ سازمان در برابر حوادث واقعی سنجیده می‌شود. پس از آن مشاوره بهبود ایمن‌سازی معماری و زیرساخت و فر‌آیندهای سازمان انجام می‌شود.

نکته جالب توجه در مورد خدمت Red Team و تفاوتی که با تیم باگ بانتی دارند، این است که باگ بانتی شبیه‌سازی حمله به سامانه‌های فناوری اطلاعات است اما Red Team محدود به روش‌های IT نیست و تمرکز خود را از طریق مهندسی اجتماعی، فیشینگ، امنیت فیزیکی، استفاده از نقاط ضعف پرسنل و غیره هم توسعه می‌دهد.

باگ بانتی، ارزیابی مستمر سامانه‌های سازمان است که به سازمان اجازه جلوگیری از حمالت سایبری، سرقت داده و یا سواستفاده از آنها را با سرعت بیشتر می‌دهد. ارزیابی امنیتی توسط هکرهای اخلاقی که برای شناسایی آسیب‌پذیری‌های مرتبط با آن سرویس و یا برنامه‌های کاربردی پاداش دریافت می‌کنند اجرا می‌شود. این متخصصین دسترسی به سامانه مورد تست را شبیه به دیگر مشتریان سازمان دارند. در برنامه‌های باگ بانتی، پاداش وقتی داده می‌شود که به‌صورت واقعی یک باگ امنیتی شناسایی شود. برنامه‌های باگ بانتی، دارای بُعد زمانی بیشتری هستند. ویژگی باگ بانتی ایجاد رقابت میان اجتماع بزرگی از متخصصین امنیت است که برای دریافت جایزه تلاش می‌کنند. فرآیندهای شفاف پذیرش باگ، مسائل حقوقی و تخصص در ارزش‌گذاری از جمله مفاهیم اصلی باگ بانتی‌ها هستند.

منبع:

• ماهنامه اطلاع رسانی، پژوهشی، تحلیل و فرهنگی پیوست