گزارش عملکرد سالانه باگدشت

خرداد ۲, ۱۴۰۲

در این مقاله به ارائه‌ی چهارمین گزارش عملکردی سالیانه‌ی سامانه‌ی خدمات امنیتی باگدشت می‌پردازیم. مهم‌ترین رویداد‌های سال مربوط به باگدشت، برخی از آمار‌های عملکردی سال گذشته، حضور باگدشت در رسانه‌های تخصصی، برخی از همراهان ما و تحلیل باگدشت از چالش‌های امنیت سازمان‌ها در این مقاله ذکر خواهد شد.

درباره باگدشت

باگدشت “سامانه‌ی ارائه‌ی خدمات امنیتی” یا “SECaaS” است که هدف آن افزایش سطح امنیت و ایمن‌سازی سامانه‌های فناوری اطلاعات و ارتباطات سازمان‌ها می‌باشد. شرکت دانش‌بنیان تحلیلگران امن آریانا، با ایجاد سامانه‌‌ی ارائه‌ی خدمات امنیتی باگدشت از سال ۱۳۹۷ بصورت عملیاتی، منجربه ایجاد کارآفرینی برای نیروی متخصص امنیتی کشور، استفاده از پتانسیل آن‌ها و اجرای بسیاری از پروژه‌های امنیتی به روشی نوین و به‌روز برای نخستین بار در کشور شده است. باگدشت در حوزه‌های زیر به ارائه‌ی خدمات امنیتی می‌پردازد.

تست نفوذ سامانه‌های وب و موبایل اپلیکیشن
ارزیابی امنیتی تجهیزات و زیرساخت شبکه
ارزیابی امنیتی به روش باگ‌بانتی، باگ‌هانتینگ
شبیه‌سازی حملات تیم قرمز
مشاوره‌ی امنیت و پیاده‌سازی و ایمن‌سازی سامانه‌ها
آموزش کارگاهی و تخصصی امنیت
مشاوره، ممیزی، طراحی و پیاده‌سازی تیم آبی و تحلیل رخدادهای امنیتی
پایش مستمر سامانه‌ها از طریق سامانه‌ی سونار

همان‌طور که اشاره گردید، باگدشت یک سامانه‌ی SECaaS است. از میان مزایای پلتفرم‌های از این دست می‌توان به موارد زیر اشاره‌ نمود:

کیفیت بالاتر خدمات امنیتی: به دلیل تکرار و تعدد اجرای خدمات امنیتی در سامانه‌های SECaaS، سرعت و توانایی فنی-اجرایی خدمات بسیار بالاتر است.
پیاده‌سازی سریعتر خدمات مورد نیاز: پیاده‌سازی صحیح ۴۰ درصد از خدمات امنیتی در یک سازمان اینترپرایز بیش از ۳ سال زمان می‌برد و کمتر از ۱۰ درصد از آن‌ها یک ساله جمع‌بندی می‌شوند.
مقرون‌به‌صرفه‌بودن خدمات: بهره‌مندی از خدمات SECaaS ارزان نیست ولی بی‌تردید با هزینه‌ی جذب و نگه‌داری نیروی انسانی و تشکیل تیم در داخل سازمان غیرقابل‌مقایسه است.
تسهیل در ممیزی و مقایسه با دیگر سازمان‌ها: استفاده‌ی سیستمی از خدمات امنیت، مزیت امکان ممیزی با استانداردهای امنیتی و یا در مقایسه با دیگر سازمان‌های مشابه را فراهم می‌نماید.

مهمترین رویدادهای سال

باگدشت در سالی که گذشت با بیش از ۱۷۰۰ متخصص امنیتی از سراسر کشور همکاری داشت و بیش از ۸۵ سازمان دولتی و خصوصی در سطح کشور از خدمات امنیتی ارائه‌شده توسط شرکت باگدشت بهره بردند. همچنین همکاری مشترک با شرکت ایرانسل به‌عنوان تکنولوژی پارتنر امنیت آغاز گردید. در تاسبتان سال گذشته شاهد برگزاری سومین دوره از رویداد امنیتی CTB با پشتیبانی ایرانسل، بانک ملی ایران، دیجی‌کالا و علی‌بابا بودیم.

برخی از آمارهای عملکردی

در سال گذشته شرکت باگدشت علاوه‌بر دو حوزه‌ی‌ باگ‌بانتی و تست نفوذ، موفق به اجرای پروژه‌های امنیتی در حوزه‌های گوناگون دیگری گردید؛ از جمله مشاوره‌ی امنیتی، برگزاری کارگاه‌های آموزشی، تیم قرمز و ارزیابی امنیت شبکه. همچنین باگدشت شاهد پیوستن بیش از ۵۰۰ متخصص جدید به پلتفرم بود. ۹۰درصد گزارش‌های دریافتی دارای شدت آسیب‌پذیری متوسط به بالا بودند و ۷۵ درصد گزارشات دریافتی به تایید نهایی کمیته‌ی فنی باگدشت رسیدند. بنابر داده‌های گردآوری‌شده همانطور که انتظار می‌رود، بیشترین استقبال از تعریف پروژه‌های امنیت در حوزه‌های فینتک، خرده‌فروشی و مالی-بانکی بود؛ در مقابل، بیشترین گزارشات امنیتی دریافت‌شده از سه صنعت مالی-بانکی ارتباطات و فینتک بودند و صنعت خرده‌فروشی در رتبه‌ی چهارم لیست قرار گرفت. در سال ۱۴۰۱ به‌صورت میانگین در هر ماه ۹ تارگت جدید فعال گردید و حدود ۱۰۰ گزارش امنیتی پردازش شد که بیش از ۹۰ مورد گزارش در هر ماه مورد پیگیری قرار گرفت. همچنین ۹۶ درصد گزارش‌های بانتی‌ها توسط سازمان‌ها مورد پذیرش قرار گرفته است. ۵۰ نفر از متخصصین باگدشت نیز با عملکرد مثبت و حرفه ای خود جهت عضویت به تیم‌های خصوصی دعوت شدند. نکته‌ی بااهمیتی که از تحلیل داده‌های باگدشت در سال گذشته مشخص گردید این مورد است که ۶۴ درصد گزارش‌های دریافتی در سال گذشته از سوی متخصصین امنیت کشور در ساعات کاری و ۸۳ درصد گزارشات در روز‌های کاری بوده است که این امر نشان‌دهنده‌ی نگاه متخصصین به حوزه‌ی باگ‌بانتی به‌عنوان یک حرفه‌ی تمام وقت است.

همکاری با رسانه‌های تخصصی

در سال گذشته باگدشت‌ با رسانه‌های تخصصی گوناگونی همکاری داشته است که از آن بین می‌توان به رادیوی اینترنتی عصر پرداخت، ماهنامه‌ی پیوست، هفته‌نامه‌ی شنبه، آی‌کست پیوست و اکوموتیو اشاره نمود.

تحلیل باگدشت از چالشهای امنیتی سازمان‌ها

بر اساس تحلیل باگدشت از مشکلات و چالش‌هایی که سازمان‌ها در سال گذشته با آن روبرو بودند، می‌توان به موارد زیر اشاره داشت:

کاهش جریان نقدی و بودجه‌ی مصرفی در امنیت می‌تواند هشداردهنده‌ی رخداد حملات بیشتر از سوی مهاجمین در آینده باشد. همچنین غافل‌شدن از صرف بودجه در بهبود فرآیندهای امنیتی و نبود دانش ایمن‌سازی و جلوگیری از تکرار آسیب‌پذیری‌ها از نقاط ضعف دیده‌شده در بسیاری از سازمان‌ها هستنند که می‌تواند به بحران جذب و نگه‌داشت نیروی انسانی متخصص در سطح ملی نیز مرتبط باشد.

تغییرات مستمر قوانین و روال‌های اخذ مجوزها نیز بعضا می‌تواند ابهاماتی در عملکرد سازمان‌ها و همچنین شرکت‌های خدمات‌دهنده ایجاد نماید و سرعت بهبود امنیت را کاهش دهد.

دیدگاه‌های سنتی نسبت به مناقصات امنیت و لحاظ‌‌نمودن صرفا مبلغ کمتر در برون‌سپاری “امنیت” و نیز نسبت به تعریف پروژه‌های امنیت و به‌روز‌نبودن سازمان‌های کشور با تغییر ترند روز دنیا می‌تواند موجب کاهش آهنگ رشد و توسعه در حوزه امنیت شود.

BUGDASHT-Annual-Report-1401 دریافت

همچنین می توانید گزارش عملکرد باگدشت در سال های ۱۴۰۰، ۱۳۹۹ و ۱۳۹۸ را نیز مطالعه کنید.

وبلاگ

آخرین مطالب

کدنویسی امن – مدیریت نشست‌ها

اپلیکیشن‌های تحت وب برای شناسایی و تعامل با کاربرهای احراز هویت شده از نشست (Session) استفاده می‌کنند. درصورتی‌که احراز هویت کاربر و مدیریت نشست به‌درستی پیکربندی نشده باشد، مهاجمان ممکن است بتوانند رمزهای عبور، کلیدها یا توکن‌های نشست را به دست بیاورند تا از این طریق به حساب‌های کاربران دسترسی پیدا کنند و هویت آنها جعل کنند.

کدنویسی امن – احراز هویت و مدیریت رمز عبور

وقتی صحبت از هک و نقص امنیتی می‌شود، اولین چیزی که اغلب به ذهن شنونده می‌رسد لورفتن رمز عبور است. درصورتی‌که کاربرها از ترکیب ایمیل یا نام کاربری به همراه رمز عبور یکسان برای ثبت‌نام استفاده کرده باشند، هکرها می‌توانند داده‌های رمز عبور را برای دسترسی به سایر حساب‌های کاربری در وب‌سایت‌های مختلف استفاده کنند.

کدنویسی امن – کدگذاری خروجی‌ها

اگر امنیت سایبری چیزی به ما یاد داده باشد، این است که همیشه در سیستم‌ها نقص، هک و آسیب‌پذیری وجود خواهد داشت. امنیت سایبری به‌عنوان یک مسیر شغلی، زمینه‌ای است که همیشه در حال تغییر است؛ بنابراین با ظهور فناوری‌های جدید و تکنیک‌های جدید هک، باید به طور مداوم دانش خود را ارتقا دهید.

برگزاری چهارمین رویداد امنیتی CTB باگدشت با مشارکت ایرانسل، دیجی‌کالا و کاشف

رویداد شناسایی باگ‌های امنیتی «CTB» یا «Capture The Bug» برای چهارمین سال پیاپی توسط مجموعه باگدشت در مرداد ماه ۱۴۰۲ برگزار شد. هدف اصلی از برگزاری این رویداد، فرهنگ‌سازی و ایجاد همکاری میان متخصصان امنیتی و سازمان‌های کشور است.

کدنویسی امن – اعتبارسنجی ورودی‌ها

امروزه در دنیا وابستگی کسب‌وکارها. سازمان‌ها به نرم‌افزار و سیستم‌های کامپیوتری روزبه‌روز بیشتر می‌شود، ازاین‌رو انتشار اپلیکیشن‌های ایمن به اولویت اصلی توسعه‌دهندگان تبدیل شده است. خبر خوب این است که با نوشتن کد منبع (surce code) بهتر و ایمن‌تر می‌توان از بسیاری از سوءاستفاده‌ها و حملات بالقوه جلوگیری کرد.