در سالی که گذشت، باگدشت توانست با حمایت و همراهی سازما‌ن‌ها و متخصصین گرامی، سومین رویداد امنیتی سالانه CTB را برگزار کند. در این مقاله مروری بر این رویداد خواهیم‌ داشت.

رویداد Capture The Bug (به اختصار CTB) رویدادی است که برای اولین بار در کشور، توسط شرکت باگدشت در سال ۱۳۹۹ با هدف شناسایی باگ‌های امنیتی و ایجاد همکاری میان سازمان‌های کشور از یک‌ سو و متخصصان امنیت از سوی دیگر، برگزار شد. این رویداد کوشید در راستای ایجاد هم‌افزایی در حوزه‌ی امنیت سایبری کشور قدم بردارد تا به رشد و توسعه‌ی فضای کسب‌وکارهای آنلاین کشور کمک کند.

پس از برگزاری موفقیت‌آمیز این رویداد در سال ۱۳۹۹، دومین و سومین رویداد CTB نیز در تابستان‌های ۱۴۰۰ و ۱۴۰۱ با حضور شرکت‌ها و سازمان‌های مختلف کشور از جمله شرکت ایرانسل، بانک ملی ایران، شرکت دیجی‌کالا، شرکت علی‌بابا، شرکت همراه کارت و شرکت فپنا برگزار گردید.

سومین رویداد CTB که در تابستان امسال برگزار شد، دارای بخش‌های مختلفی از جمله بخش مسابقه‌ای، آموزشی و اختتامیه بود. در بخش مسابقه‌ای، متخصصین امنیتی برتر کشور که از افراد VIP باگدشت گزیده شده‌ بودند، در طول یک هفته به صورت فشرده بر روی سامانه‌های معرفی‌شده از سوی سازمان‌های حامی کار کرده و برای کشف آسیب‌پذیری‌های امنیتی تلاش کردند. هر گزارش مورد قبول در این بخش امتیاز شرکت‌کنندگان را افزایش می‌داد و در پایان هفته، متخصصینی که بیشترین امتیاز را کسب کرده بودند به عنوان نفرات برتر در مراسم اختتامیه معرفی شده و جوایزی را به یادگار دریافت کردند.

در بخش آموزشی کارکنان سازمان‌های حامی و متخصصین شرکت کننده در رویداد، مخاطب دو دوره آموزشی با موضوع تیم قرمز و تیم آبی (Red Team/Blue Team) بودند. در روز پایانی رویداد نیز، مراسم اختتامیه با حضور نمایندگان حامیان و سازمان‌های مختلف برگزار شد و پس از ارائه نکاتی جدید در حوزه امنیت سایبری و مدیریت ریسک در سخنرانی‌ها و پنل تبادل نظر، جوایز به نفرات برتر رویداد اهدا شد.

اگر بخواهیم کمی عمیق‌تر به موضوع بپردازیم، نیاز است ابتدا تعریفی از باگ‌بانتی داشته‌باشیم. باگ‌بانتی روشی برای ارزیابی امنیت سامانه‌های وب و موبایل است. در این روش، سامانه‌ها به متخصصین امنیتی در پلتفرم باگدشت معرفی می‌گردد. سپس متخصصین تلاش می‌کنند تا آسیب‌پذیری‌ها و حفره‌های امنیتی موجود در آن سامانه‌ها را کشف کرده و در پلتفرم باگدشت گزارش کنند. این گزارش‌ها توسط کمیته فنی باگدشت بررسی شده و در صورت تایید، برای سازمان‌ها ارسال می‌گردد و نمایندگان سازمان‌ها می‌توانند به راحتی در پنل کاربری خود در پلتفرم باگدشت، گزارش‌های تکمیل و تایید شده را مشاهده نمایند. سازمان‌ها بنابر صلاحدید خود در ازای هریک از این باگ‌ها، بانتی یا جایزه‌ای را از طریق باگدشت به متخصصین پرداخت می‌کنند.

روند بخش مسابقه‌ای رویداد CTB دقیقا همانند روند بالاست اما تنها تفاوت آن اینست که سازمان‌های حامی پیش از شروع رویداد، مبلغ مشخصی را جهت حمایت و اسپانسرینگ رویداد پرداخت می‌کنند و در طول رویداد پرداختی دیگری به ازای باگ‌های گزارش‌شده نخواهند داشت. به برترین متخصصین جوایز اهداشده و دوره‌های آموزشی رایگان توسط باگدشت برگزار میگردد. از همین رو، این رویداد فرصت بی‌نظیری برای سازمان‌هایی است که علاقه‌مند به تجربه‌ی سرویس با‌گ‌بانتی باگدشت برای اولین‌بار هستند؛ زیرا می‌توانند در کنار دریافت سطح بالایی از خدمات، از دو لحاظ زمانی و اقتصادی نیز صرفه‌جویی مناسبی انجام دهند.

همچنین ویدیوهای دوره‌های آموزشی برگزارشده در رویداد CTB امسال در یوتیوب و آپارات باگدشت قابل دسترس علاقه‌مندان می‌باشد. سرفصل‌های دوره‌ها که توسط آقایان مهندس رشیدی،‌ مهندس شریفی و مهندس رادنژاد تدریس شدند، به شرح زیر می‌باشد:

Red team

  • Red team fundamentals
  • Red Team Staging
  • Active Defense in PPP

Blue team

  • Threat landscape
  • Blue team structure
  • Blue team tools
  • Blue teaming frameworks