رویداد شناسایی باگ‌های امنیتی، «CTB»  یا «Capture The Bug» برای سومین سال پیاپی توسط مجموعه باگدشت در شهریور ماه ۱۴۰۱ برگزار شد. هدف اصلی برگزاری این رویداد فرهنگ‌سازی و تشویق همکاری میان متخصصان امنیتی و سازمان‌های کشور است. در ادامه به جزئیات این رویداد می‌پردازیم.

رویداد شناسایی باگ‌های امنیتی، «CTB»  یا «Capture The Bug» برای سومین سال پیاپی توسط مجموعه باگدشت در شهریور ماه ۱۴۰۱ برگزار شد. هدف اصلی برگزاری این رویداد فرهنگ‌سازی و تشویق همکاری میان متخصصان امنیتی و سازمان‌های کشور است. در ادامه به جزئیات این رویداد می‌پردازیم.

فاز مسابقه باگ بانتی رویداد CTB:

فاز اول این رویداد از تاریخ ۹ شهریور الی ۱۴ شهریور به طول انجامید. متخصصین امنیت VIP باگدشت که در طول سال همکاری موثری با باگدشت داشته‌اند به این رویداد دعوت شدند. گزارش‌های آسیب پذیری‌های دریافت شده زیر نظر داوران فنی باگدشت مورد ارزیابی قرار گرفت و پس از تأیید شدن آسیب پذیری‌ها، امتیاز مربوطه به متخصصین امنیتی اختصاص داده شد. نکته مورد توجه در این مسابقه فعالیت متخصصان امنیت در ساعات پایانی این رویداد بود که باعث شد زمان اعلام گزارش‌های امنیتی تمدید شود. همکاری متخصصین امنیتی با باگدشت در خصوص ارایه جزئیات و شواهد وجود باگ، فرایند داوری باگ‌ها را تسریع کرد. سامانه‌های چهار شرکت حامی(شرکت ایرانسل، شرکت علی‌بابا، شرکت دیجی‌کالا و بانک ملی ایران) رویداد مورد بررسی امنیتی قرار گرفت و مشکلات امنیتی توسط متخصصین گزارش شد.

فاز آموزش امنیتی رویداد CTB:

فاز دوم رویداد CTB به آموزش‌های مربوط به حوزه Red Team/Blue Team اختصاص یافت. امسال علاوه بر مسابقه امنیتی، برگزاری دوره‌های آموزشی با هدف آشنایی بیشتر سازمان‌ها و متخصصین با مفاهیم Red Team/Blue Team صورت پذیرفت. مدرس بخش Red Team مهندس رشیدی متخصص Red Team از شرکت حادث بودند. سرفصل‌های بخش اول این دوره آموزشی شامل:

  • Red team fundamentals
  • Red Team Staging
  • Active Defense in PPP

تدریس بخش Blue Team را آقایان مهندس مجتبی شریفی متخصص Incident Handling و مهندس میلاد رادنژاد SOC Analyst برای مخاطبین برعهده داشتند که سرفصل این دوره به شرح زیر بود:

  • Threat landscape
  • Blue team structure
  • Blue team tools
  • Blue teaming frameworks

برای بخش Red Team و درک هرچه بهتر مفاهیم آن پس از اتمام دوره Blue Team، مسابقه‌ای برای حل دو سناریو شبیه‌سازی شده ردتیم، بین کارشناسان سازمان های ایرانسل، علی‌بابا، دیجی کالا و بانک ملی آغاز شد که تیم علی‌بابا اولین تیمی بود که توانست هر دو چالش را به درستی حل کند.

فاز اختتامیه رویداد CTB:

در بخش اول اختتامیه این رویداد، آقایان دکتر طوقانیان به عنوان نماینده سازمان پدافند غیرعامل کشور، سردار غفاری به عنوان نماینده پلیس فتای تهران، به بیان نظرات خود در خصوص حمایت از شرکتهای باگ بانتی و لزوم اجرای این نوع از پروژه‌ها در سازمانهای کشور پرداختند. نکاتی همچون امکان ارزشگذاری بیمه امنیت سایبری سازمان‌ها به وسیله پلتفرم‌های باگ بانتی، روند زمانی و مشابهت وقوع رخدادهای اخیر کشور، حمایتهای نظام وظیفه از متخصصین امنیتی و نیازمندی سازمانها به اجرای همزمان تست نفوذ، باگ بانتی و باگ هانتینگ از جمله این موارد بود.

همچنین، آقایان دکتر نفیسی اصل، مهندس هیبتی و سرکار خانم دکتر کشاورز به ارائه رایتاپ و جدیدترین سناریوهای امنیتی پرداختند. موضوعات رایتاپ‌ها به ترتیب آسیب پذیری‌های PostMessage، باگ امنیتی Lyndiscover.microsoft و امنیت شبکه های موبایل بودند. جزئیات هریک از رایتاپ‌ها در کانال یوتیوب باگدشت به اشتراک گذاشته خواهد شد.

در بخش دوم این رویداد، پنل تبادل نظر با حضور آقایان حاج مبینی با عنوان مدیر کل امنیت سایبری ایرانسل، مهندس علی کیائی فر با عنوان مشاور ارشد امنیت اطلاعات و سیستم های کنترل صنعتی، مهندس پویا پوراعظم با عنوان رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه و مهندس علیرضا قهرود با عنوان مشاور ارشد و مدرس امنیت سایبری برگزار شد. این پنل به بررسی تحلیل خود از مشابهت سناریو حملات رخدادهای اخیر سازمانها و راهکار عملیاتی ارتقا امنیت سایبری کشور با توجه به نرخ بالای مهاجرت پرداختند. هریک از متخصصین در حوزه‌های شبکه‌های موبایل، مالی بانکی، سازمانهای صنعتی و بخش نفت و گاز تجربیات خود را ارایه نمودند. از جمله موارد ذکر شده در این پنل میتوان به لزوم ارتقا و دیده شدن نیروهای متخصص امنیت در سازمانها، برگزاری دوره‌های آموزشی با کیفیت، آشنا ساختن مدیران عالی سازمانها با استراتژیهای امنیت سایبری و لزوم در نظر داشتن آن در تصمیمات عالی سازمانی و همچنین دارا بودن سیستم اشتراک اطلاعات سناریوهای رخدادهای سایبری به دلیل تکرار نشدن یک سناریو در سازمانهای مختلف اشاره داشت.

در ادامه مدیر Offensive شرکت علی بابا جناب آقای مهندس قیم به ارائه تجربیات خود در این رویداد پرداختند. از جمله موارد بیان شده در این بخش معرفی نحوه ساختار سازمانی این مجموعه برای بهره‌مندی هرچه بیشتر از نتایج باگ بانتی و صحت سنجی گزارشات بود.

جناب آقای مهندس کاظمی مدیر امنیت شرکت دیجی کالا به نوع رویکرد این شرکت نسبت به مقوله باگ بانتی پرداختند و تجریبات خود از مزیتهای استفاده از اشتراک گذاری اطلاعات میان متخصصین در حوزه امنیت را برشمردند.

در پایان سرکار خانم دکتر دهبسته مدیرعامل شرکت باگدشت، به بررسی عملکرد تعداد متخصصین، گزارشات امنیتی و سازمانهای طرف قرارداد پرداختند. باگدشت در حال حاضر به بیش از ۸۰ سازمان ارایه خدمت امنیتی مینماید و بیش از ۳۰۰۰ گزارش امنیتی از ۱۵۰۰ متخصص امنیتی از سراسر کشور دریافت نموده است. در سال جاری خدمات امنیتی باگدشت محدود به باگ بانتی نبوده به تنوع دیگر خدمات امنیتی نیز به سازمانها در حال ارایه میباشد. از جمله این خدمات میتوان به تست نفوذ، ارزیابی انطباقی شبکه، مشاوره امنیتی، ایمن‌سازی، فارنزیک و پاسخگویی به رخدادهای امنیتی، آموزش تخصصی و باگ بانتی اشاره داشت.

لذا این شرکت استراتژی ارایه پلتفرم خدمات امنیتی را پیش رو دارد و با همکاری تجاری با شرکت ایرانسل به ارایه پلتفرم SECaaS خواهد پرداخت. جزئیات نحوه فعالیت این پلتفرم در آینده اطلاع رسانی میگردد.

اهدا جوایز نفرات برتر رویداد CTB:

جوایز نفرات برتر به‌صورت حضوری به متخصصین برتر مسابقه باگ بانتی CTB امسال اهدا شد. از میان متخصصان امنیت VIP باگدشت، آقای افشین فر به عنوان نفراول، آقای عفیفی به عنوان نفر دوم و آقای منصوری به عنوان نفر سوم انتخاب شدند. جایزه نفرات اول تا سوم هم به ترتیب یک دستگاه کنسول PS5، یک دستگاه مانیتور گیمینگ ایسوس و هدفون ریزر بود که در پایان مراسم اهدا شد.

برای آشنایی با جزئیات دومین رویداد امنیتی CTB باگدشت از لینک زیر استفاده نمایید.

برگزاری دومین رویداد امنیتی CTB باگدشت با همکاری ایرانسل، همراه کارت و فپنا