رویداد شناسایی باگهای امنیتی، «CTB» یا «Capture The Bug» برای سومین سال پیاپی توسط مجموعه باگدشت در شهریور ماه ۱۴۰۱ برگزار شد. هدف اصلی برگزاری این رویداد فرهنگسازی و تشویق همکاری میان متخصصان امنیتی و سازمانهای کشور است. در ادامه به جزئیات این رویداد میپردازیم.
رویداد شناسایی باگهای امنیتی، «CTB» یا «Capture The Bug» برای سومین سال پیاپی توسط مجموعه باگدشت در شهریور ماه ۱۴۰۱ برگزار شد. هدف اصلی برگزاری این رویداد فرهنگسازی و تشویق همکاری میان متخصصان امنیتی و سازمانهای کشور است. در ادامه به جزئیات این رویداد میپردازیم.
فاز مسابقه باگ بانتی رویداد CTB:
فاز اول این رویداد از تاریخ ۹ شهریور الی ۱۴ شهریور به طول انجامید. متخصصین امنیت VIP باگدشت که در طول سال همکاری موثری با باگدشت داشتهاند به این رویداد دعوت شدند. گزارشهای آسیب پذیریهای دریافت شده زیر نظر داوران فنی باگدشت مورد ارزیابی قرار گرفت و پس از تأیید شدن آسیب پذیریها، امتیاز مربوطه به متخصصین امنیتی اختصاص داده شد. نکته مورد توجه در این مسابقه فعالیت متخصصان امنیت در ساعات پایانی این رویداد بود که باعث شد زمان اعلام گزارشهای امنیتی تمدید شود. همکاری متخصصین امنیتی با باگدشت در خصوص ارایه جزئیات و شواهد وجود باگ، فرایند داوری باگها را تسریع کرد. سامانههای چهار شرکت حامی(شرکت ایرانسل، شرکت علیبابا، شرکت دیجیکالا و بانک ملی ایران) رویداد مورد بررسی امنیتی قرار گرفت و مشکلات امنیتی توسط متخصصین گزارش شد.
فاز آموزش امنیتی رویداد CTB:
فاز دوم رویداد CTB به آموزشهای مربوط به حوزه Red Team/Blue Team اختصاص یافت. امسال علاوه بر مسابقه امنیتی، برگزاری دورههای آموزشی با هدف آشنایی بیشتر سازمانها و متخصصین با مفاهیم Red Team/Blue Team صورت پذیرفت. مدرس بخش Red Team مهندس رشیدی متخصص Red Team از شرکت حادث بودند. سرفصلهای بخش اول این دوره آموزشی شامل:
- Red team fundamentals
- Red Team Staging
- Active Defense in PPP
تدریس بخش Blue Team را آقایان مهندس مجتبی شریفی متخصص Incident Handling و مهندس میلاد رادنژاد SOC Analyst برای مخاطبین برعهده داشتند که سرفصل این دوره به شرح زیر بود:
- Threat landscape
- Blue team structure
- Blue team tools
- Blue teaming frameworks
برای بخش Red Team و درک هرچه بهتر مفاهیم آن پس از اتمام دوره Blue Team، مسابقهای برای حل دو سناریو شبیهسازی شده ردتیم، بین کارشناسان سازمان های ایرانسل، علیبابا، دیجی کالا و بانک ملی آغاز شد که تیم علیبابا اولین تیمی بود که توانست هر دو چالش را به درستی حل کند.
فاز اختتامیه رویداد CTB:
در بخش اول اختتامیه این رویداد، آقایان دکتر طوقانیان به عنوان نماینده سازمان پدافند غیرعامل کشور، سردار غفاری به عنوان نماینده پلیس فتای تهران، به بیان نظرات خود در خصوص حمایت از شرکتهای باگ بانتی و لزوم اجرای این نوع از پروژهها در سازمانهای کشور پرداختند. نکاتی همچون امکان ارزشگذاری بیمه امنیت سایبری سازمانها به وسیله پلتفرمهای باگ بانتی، روند زمانی و مشابهت وقوع رخدادهای اخیر کشور، حمایتهای نظام وظیفه از متخصصین امنیتی و نیازمندی سازمانها به اجرای همزمان تست نفوذ، باگ بانتی و باگ هانتینگ از جمله این موارد بود.
همچنین، آقایان دکتر نفیسی اصل، مهندس هیبتی و سرکار خانم دکتر کشاورز به ارائه رایتاپ و جدیدترین سناریوهای امنیتی پرداختند. موضوعات رایتاپها به ترتیب آسیب پذیریهای PostMessage، باگ امنیتی Lyndiscover.microsoft و امنیت شبکه های موبایل بودند. جزئیات هریک از رایتاپها در کانال یوتیوب باگدشت به اشتراک گذاشته خواهد شد.
در بخش دوم این رویداد، پنل تبادل نظر با حضور آقایان حاج مبینی با عنوان مدیر کل امنیت سایبری ایرانسل، مهندس علی کیائی فر با عنوان مشاور ارشد امنیت اطلاعات و سیستم های کنترل صنعتی، مهندس پویا پوراعظم با عنوان رئیس اداره ریسک و تطبیق بانکداری دیجیتال بانک خاورمیانه و مهندس علیرضا قهرود با عنوان مشاور ارشد و مدرس امنیت سایبری برگزار شد. این پنل به بررسی تحلیل خود از مشابهت سناریو حملات رخدادهای اخیر سازمانها و راهکار عملیاتی ارتقا امنیت سایبری کشور با توجه به نرخ بالای مهاجرت پرداختند. هریک از متخصصین در حوزههای شبکههای موبایل، مالی بانکی، سازمانهای صنعتی و بخش نفت و گاز تجربیات خود را ارایه نمودند. از جمله موارد ذکر شده در این پنل میتوان به لزوم ارتقا و دیده شدن نیروهای متخصص امنیت در سازمانها، برگزاری دورههای آموزشی با کیفیت، آشنا ساختن مدیران عالی سازمانها با استراتژیهای امنیت سایبری و لزوم در نظر داشتن آن در تصمیمات عالی سازمانی و همچنین دارا بودن سیستم اشتراک اطلاعات سناریوهای رخدادهای سایبری به دلیل تکرار نشدن یک سناریو در سازمانهای مختلف اشاره داشت.
در ادامه مدیر Offensive شرکت علی بابا جناب آقای مهندس قیم به ارائه تجربیات خود در این رویداد پرداختند. از جمله موارد بیان شده در این بخش معرفی نحوه ساختار سازمانی این مجموعه برای بهرهمندی هرچه بیشتر از نتایج باگ بانتی و صحت سنجی گزارشات بود.
جناب آقای مهندس کاظمی مدیر امنیت شرکت دیجی کالا به نوع رویکرد این شرکت نسبت به مقوله باگ بانتی پرداختند و تجریبات خود از مزیتهای استفاده از اشتراک گذاری اطلاعات میان متخصصین در حوزه امنیت را برشمردند.
در پایان سرکار خانم دکتر دهبسته مدیرعامل شرکت باگدشت، به بررسی عملکرد تعداد متخصصین، گزارشات امنیتی و سازمانهای طرف قرارداد پرداختند. باگدشت در حال حاضر به بیش از ۸۰ سازمان ارایه خدمت امنیتی مینماید و بیش از ۳۰۰۰ گزارش امنیتی از ۱۵۰۰ متخصص امنیتی از سراسر کشور دریافت نموده است. در سال جاری خدمات امنیتی باگدشت محدود به باگ بانتی نبوده به تنوع دیگر خدمات امنیتی نیز به سازمانها در حال ارایه میباشد. از جمله این خدمات میتوان به تست نفوذ، ارزیابی انطباقی شبکه، مشاوره امنیتی، ایمنسازی، فارنزیک و پاسخگویی به رخدادهای امنیتی، آموزش تخصصی و باگ بانتی اشاره داشت.
لذا این شرکت استراتژی ارایه پلتفرم خدمات امنیتی را پیش رو دارد و با همکاری تجاری با شرکت ایرانسل به ارایه پلتفرم SECaaS خواهد پرداخت. جزئیات نحوه فعالیت این پلتفرم در آینده اطلاع رسانی میگردد.
اهدا جوایز نفرات برتر رویداد CTB:
جوایز نفرات برتر بهصورت حضوری به متخصصین برتر مسابقه باگ بانتی CTB امسال اهدا شد. از میان متخصصان امنیت VIP باگدشت، آقای افشین فر به عنوان نفراول، آقای عفیفی به عنوان نفر دوم و آقای منصوری به عنوان نفر سوم انتخاب شدند. جایزه نفرات اول تا سوم هم به ترتیب یک دستگاه کنسول PS5، یک دستگاه مانیتور گیمینگ ایسوس و هدفون ریزر بود که در پایان مراسم اهدا شد.
برای آشنایی با جزئیات دومین رویداد امنیتی CTB باگدشت از لینک زیر استفاده نمایید.
برگزاری دومین رویداد امنیتی CTB باگدشت با همکاری ایرانسل، همراه کارت و فپنا