ششمین رویداد سالانه امنیتی باگدشت با نام CTB در آبان ماه سال ۱۴۰۴ برگزار شد

بخش مسابقه‌ای رویداد :

پلتفرم امنیتی باگدشت پیش از شروع رویداد CTB، متخصصین امنیتی پلتفرم را به مسابقه دعوت می‌نماید تا با تیم‌سازی و آماگی خود بتوانند در بخش رقابتی آن شرکت نمایند. ملاک دعوت متخصصین به مسابقه، عملکرد حرفه‌ای و متعهدانه در پلتفرم امنیتی باگدشت طی یک سال گذشته می‌باشد. ۹ تیم در این بخش شرکت داشتند و تیم‌های ۴ نفره را تشکیل دادند. به هریک از تیم‌ها یک VPN، به منظور اجرای بررسی‌ها از طریق آن و بصورت از راه دور داده شد.

از سوی دیگر هریک از سازمان‌های حامی، بطور متوسط ۳ سامانه دارای اولویت خود را جهت ارزیابی در مسابقه معرفی نمودند. مسابقه در دوبخش از ساعت ۹ صبح ۲۲ مهر ماه تا ۲۶ مهر ماه و بخش دوم از ۲۶ مهر ماه ساعت ۱۶ تا ساعت ۲۴ روز شنبه ۳ آبان ادامه داشت. در بخش اول سازمان‌های تارا، دیجی کالا، ایرانسل، بانک توسعه تعاون و بانک تجارت و در بخش دوم سامانه‌های سازمانی کافه بازار، چارگون، علی بابا و بانک سامان مورد بررسی تیم‌ها قرار گرفتند.

عملکرد متخصصین بسیار حرفه‌ای بود و با کارتیمی و هماهنگی بسیار خوب به بررسی و ارسال گزارشات پرداختند. کمیته فنی باگدشت نیز پشتیبانی لازم جهت رفع ابهامات تیم‌ها را بر عهده داشت و گزارشات دریافتی را مورد بازبینی قرار داد. هریک از گزارشات توسط کمیته فنی باگدشت، بازتولید شد و متن گزارشات جهت شفاف‌سازی هرچه بیشتر برای سازمان‌های مربوطه تکمیل گردید. قوانین مسابقه بدین شکل بود که گزارشات تکراری با یک سطح پایین‌تر پذیرفته میشدند، تمامی تست‌ها باید از طریق VPN صورت میگرفت و گزارشات از طریق اکانت سرگروه در پلتفرم باگدشت ثبت میشد. کمیته فنی باگدشت با بررسی دقیق تمام گزارشات امتیازات مربوطه را به هر تیم اختصاص داد و لیدربرد مسابقه در دسترس عموم قرار گرفت. در پایان تیم اول مسابقه با کسب ۷۶۰ امتیاز، تیم دوم با کسب ۶۴۰ امتیاز و تیم سوم با کسب ۳۰۰ امتیاز رتبه‌های برتر مسابقه را از آن خود نمودند.

بخش آموزشی رویداد:

یکی دیگر از بخش‌های حائز اهمیت رویداد سالانه CTB باگدشت، بخش آموزشی آن است که بصورت مسئولیت اجتماعی بنابر سنجش نیازمندی مهارت‌های افراد علاقمند به حوزه امنیت سایبری برگزار می‌شود. در رویداد امسال دوره آشنایی با تست نفوذ اکتیودایرکتوری به مدت ۴ ساعت در روزهای ۱۸ و ۲۰ آبان ماه برای بیش از ۱۰۰ متخصص از سراسر کشور توسط مهندس آرین ارکانی برگزار گردید.

در این رویداد پس از خوشامدگویی مجری، اولین مقاله امنیتی توسط جناب اقای مهندس هیبتی برای حضار ارائه گردید. موضوع مقاله تکنیک‌های جدید “File Upload Bypass” بود.

پس از آن جناب آقای مهندس اکبرزاده، به ارائه دومین مقاله امنیتی با موضوع ” Logic Flaw in Card Ownership Verification” پرداخت.

بخش اختتامیه رویداد:

بیست و پنجم آبان ماه، اختتامیه ششمین رویداد امنیتی CTB باگدشت از ساعت ۱۴ الی ۱۸ در سالن پاسارگاد هتل اسپیناس با حضور مدیران ارشد و متخصصین امنیت کشور برگزار گردید.

در اختتامیه ششمین رویداد CTB باگدشت، دو پنل تخصصی با هدف اشتراک تجربیات مدیران ارشد امنیت سازمان‌ها برگزار گردید. پنل تخصصی اول با موضوع  `انتظارات امنیتی کاربران از پلتفرم‌ها ` با حضور مهندس هلالات، مدیر امنیت دیجی‌کالا؛ مهندس حسینیان تهرانی، معاون فناوری کافه بازار؛ مهندس احمدی، معاون فناوری تارا و مهندس زرجوئی، مدیر امنیت چارگون و با راهبری خانم سامانه سمیع خبرنگار ارشد ماهنامه پیوست برگزار گردید.

مهندس هلالات، مدیر امنیت فناوری اطلاعات دیجی‌کالا، گفت: «کاربران در درجه اول از پلتفرم‌ها انتظار سهولت و راحتی دارند. آنچه برای آن‌ها اهمیت دارد این است که دیتایی که در اختیار ما قرار می‌دهند، نزد پلتفرم‌ها امن بماند و منتشر نشود. پس از جنگ، سطح مانیتورینگ در پلتفرم‌ها افزایش یافت، اما این افزایش به سخت‌تر شدن تجربه کاربری منجر نشد. تنها میزان داده‌های امنیتی که از کاربر دریافت می‌شود بیشتر شده است، در حالی که تغییر قابل‌توجهی در ظاهر یا عملکرد سامانه مشاهده نمی‌شود. او همچنین افزود اطلاعات آماری دقیقی در این زمینه نداریم؛ اما متأسفانه بسیاری از نیروهای نخبه کشور در سال‌های اخیر مهاجرت کرده‌اند و این موضوع روی تیم‌های تخصصی تأثیر گذاشته است.»

مهندس هلالات درباره ضرورت استفاده از باگ‌بانتی نیز توضیح داد: «اغلب باگ‌هایی که در رویدادها گزارش می‌شود مربوط به اپلیکیشن‌ها یا وب است. دلیل اینکه سازمان‌ها از باگ‌بانتی استفاده می‌کنند این است که دیدگاه‌های متفاوتی از سوی متخصصان بیرونی وجود دارد و شرکت‌ها به اندازه کافی نیرو ندارند که همه تست‌های نفوذ را به‌صورت کامل انجام دهند. این رویدادها کمک می‌کند تعداد زیادی متخصص به سامانه‌ها نگاه کنند، آن‌ها را تست کنند، باگ‌ها را پیدا کنند و در نهایت به سازمان گزارش دهند.»

مهندس حسینیان تهرانی بیان نمود: «ما در کافه بازار حدود ۱۱۰ هزار اپلیکیشن به‌روز نشده و کم‌نصب را از پلتفرم حذف کردیم. مکانیزم‌های ما به عملکرد برخی اپ‌ها مشکوک شد و بررسی‌ها نشان داد که تصمیم درستی بوده است. این فرآیند در مردادماه رسانه‌ای شد. به‌نظر می‌رسد این اقدام مورد پسند کاربران بوده و کمک کرد اکوسیستم اپلیکیشن‌ها را سامان‌دهی کنیم. در شرایطی که کاربران اندروید با مشکلات مختلف روبه‌رو هستند، ما تلاش کردیم اپلیکیشن‌هایی که از نظر امنیتی سطح پایینی دارند در بخش دانلود و به‌روزرسانی در دسترس نباشند.»

او درباره وضعیت توسعه‌دهندگان نیز گفت: «تعدادی از توسعه‌دهندگان حذف شدند. مهاجرت هم اثر خودش را روی کافه‌بازار گذاشته است. انواع مختلف آن را دیده‌ایم؛ از کاهش تعداد دوستانی که با ما همکاری می‌کردند تا کسانی که دورکاری یا مهاجرت کرده‌اند. بعد از جنگ هم این وضعیت تشدید شد.»

مهندس حسینیان تهرانی درباره ترکیب تیم‌های امنیت و باگ‌بانتی نیز توضیح داد: «هرچقدر هم در داخل شرکت یک تیم منسجم تشکیل دهیم، در نهایت ذهنیت تیم داخلی این است که یک فیچر جدید ارائه کند یا فیچر قبلی را بررسی کند. اما وقتی گروه بزرگی از افراد توانمند بیرون از سازمان، به‌صورت متمرکز روی بسترهای ما کار می‌کنند، نتیجه متفاوتی حاصل می‌شود. این دو رویکرد مکمل یکدیگر هستند.»

مهندس احمدی، معاون فناوری تارا، درباره تجربه پس از جنگ توضیح داد: «جنگ یک اصل مهم را به ما یادآوری کرد: ریسک و تهدید همیشه از رگ گردن به ما نزدیک‌تر است، به‌ویژه در اکوسیستم فین‌تک. ما ۱۲ روز جنگ نداریم؛ ۳۶۵ روز سال درگیر جنگ هستیم. این تجربه دیدگاه‌ها را تغییر داد و نشان داد که دیتا چقدر ارزشمند است. جایی که رقیب دست بالا داشت، دقیقاً همان نقطه‌ای بود که دیتا در اختیار او بود. دیتا مهم‌ترین دارایی ماست و باید از آن محافظت شود.» او همچنین افزود: «بسیاری از مشتریان ما سازمانی هستند و امروز دیتا را با وسواس بیشتری ارائه می‌دهند. ما تلاش کردیم انعطاف بیشتری در همکاری با سازمان‌ها داشته باشیم، داده‌هایی که واقعاً نیاز نبود را حذف کنیم و سطح دریافت دیتا را مرحله‌به‌مرحله پیش ببریم.»

احمدی درباره مدیریت ریسک نیروی انسانی پس از مهاجرت گفت: «بعد از هر موج چالش، تعداد زیادی از متخصصان کشور را ترک می‌کنند. واقعیت این است که با حقوق محدود نمی‌توان در رقابت ماند، وقتی همان فرد در خارج از کشور درآمد بیشتری دارد. اما نکته مهم این است که نگرش شرکت به امنیت باید سرمایه‌گذاری محور باشد، نه هزینه‌ای قابل چشم‌پوشی. اگر امکان افزایش حقوق نیست، باید مزایای دیگری ایجاد کنیم، مسیرهای مالی بلندمدت طراحی کنیم و برای روزی که نیرو تصمیم به رفتن گرفت، آماده باشیم. مستندسازی و مستمر کردن دانش، کمترین آسیب را از خروج نیرو تضمین می‌کند. هوش مصنوعی جایگزین نیست اما می‌تواند در تحلیل‌ها کمک کند. همچنین مدل همکاری با شرکت‌های تخصصی امنیت و باگ‌بانتی را در نظر داریم تا در مواقع نیاز از ظرفیت آن‌ها بهره ببریم.»

مهندس زرجوئی، مدیر امنیت چارگون، درباره تغییرات امنیتی پس از جنگ توضیح داد: «دارایی اصلی سازمان در سرورها و نرم‌افزارها قرار دارد. بعد از جنگ، سازمان‌ها حساسیت بیشتری پیدا کردند و قوانین و مقررات گسترده‌تر شد، اما ما سعی کردیم کمک کنیم تا امنیت در بخش محصول ما رعایت شود. تلاش ما این است که اطمینان حاصل شود قوانین، استانداردها و ضوابط رعایت شده و اطمینان خاطر ایجاد شود. یکی از نکات مهم این بود که دانش تیم‌های امنیتی سازمان‌های دولتی به‌روز نبود؛ بنابراین ما سعی کردیم آنها را آگاه‌تر کنیم و چالش‌های موجود در زیرساخت را شناسایی کنیم.»

مهندس زرجوئی درباره باگ‌بانتی و انگیزه تیم‌ها گفت: «تیم داخلی ما همیشه در حال تست و نفوذ است، اما تجربه و ترفندهای متخصصان مختلف و انگیزه پاداش در رویدادهای باگ‌بانتی، عملکرد را قوی‌تر و جذاب‌تر می‌کند. این موضوع کمک زیادی به ما کرده است.» پس از آن، شبکه‌سازی میان حضار در زمان استراحت صورت پذیرفت.

پنل تخصصی دوم با موضوع “ضرورت‌های امنیتی در صنعت بانکی پس از جنگ” بود که آقایان دکتر سجادی، مدیرکل امنیت بانک تجارت؛ مهندس شادرخ، معاون مدیریت فناوری اطلاعات بانک سامان؛ دکتر ایثاری، معاون فناوری اطلاعات بانک سرمایه و دکتر بخشا، معاون فناوری اطلاعات بانک توسعه تعاون و با راهبری خانم مهرک محمودی سردبیر ماهنامه پیوست در این بخش حضور داشتند.

دکتر ایثاری، معاون فناوری اطلاعات بانک سرمایه، در پاسخ به پرسش محمودی درباره اینکه «امنیت در شبکه بانکی به چه صورت است» توضیح داد که ریشه وضعیت فعلی، در شیوه توسعه شبکه بانکی طی دو دهه گذشته قرار دارد. او با اشاره به روند ۲۰ ساله تحول نظام بانکی یادآوری کرد که دهه ۸۰ «دهه توسعه سرویس» در شبکه بانکی ایران بوده است؛ دوره‌ای که هم‌زمان با توسعه شبکه بانکی در جهان، با چهار تا پنج سال عقب‌ماندگی، عمده تمرکز بر گسترش سرویس‌ها و شکل‌گیری شبکه پرداخت (پیمنت) در اواخر دهه ۸۰ قرار گرفت. ایثاری توضیح داد که در آن سال‌ها، سرعت توسعه سرویس به‌قدری بالا بود که عملاً این سؤال که آیا این توسعه منجر به خدمات امن برای مشتریان می‌شود یا نه، مطرح نشد و به تعبیر او، مقوله امنیت در دهه ۸۰ مغفول ماند.

او ادامه داد: «انتقال دانش به نسل جدید به‌درستی انجام نشده و انحصار در حوزه IT بانکی، اجازه ورود بازیگران جدید، چه در توسعه سامانه‌ها و چه در امنیت و سایبرسکیوریتی، را محدود کرده است. همین انحصار باعث شده بسیاری از فین‌تک‌ها حتی حداقل استانداردهای شبکه بانکی را نشناسند.»

دکتر سجادی، مدیرکل امنیت بانک تجارت، با تأکید بر اینکه اولویت شماره یک در بانک‌ها سال‌ها «توسعه کسب‌وکار» بوده است، گفت: «چه در سطح رگولاتور و نهادهای حاکمیتی و چه در بدنه خود بانک‌ها، رقابت بر سر توسعه بازار و جذب منابع باعث شده امنیت در عمل در حاشیه قرار بگیرد.» او توضیح داد که معاونت فناوری اطلاعات از یک‌سو زیر فشار لاین‌های مختلف کسب‌وکار برای راه‌اندازی سرویس‌های جدید و جذب مشتری قرار دارد و از سوی دیگر باید ملاحظات امنیتی را اعمال کند.

او تأکید کرد که تمرکز بانک‌ها در سال‌های گذشته بر راه‌اندازی یک سرویس متمرکز و آنلاین بوده و اکنون که موضوع امنیت جدی‌تر شده، واحدهای امنیت تلاش می‌کنند در کنار این سرویس‌دهی گسترده، ملاحظات خود را نیز به کسب‌وکار بقبولانند؛ موضوعی که به گفته او، به‌طور طبیعی چالش‌برانگیز است.

دکتر سجادی توضیح داد که کاهش سطح حمله (Attack Surface) به‌طور کلی راهکاری درست است، اما ایران‌اکسس‌کردن به‌تنهایی نه صددرصد مؤثر است و نه می‌توان آن را کاملاً بی‌اثر دانست. او بیان کرد: «در حملات گسترده، به‌ویژه حملات APT، مهاجم معمولاً ترکیبی از دسترسی‌های مختلف را به‌کار می‌گیرد و بسیاری از آلودگی‌ها ممکن است سال‌ها قبل در داخل کشور یا داخل شبکه سازمان شکل گرفته باشد. محدود کردن دسترسی در لحظه بحران، الزاماً جلوی وقوع حمله را نمی‌گیرد.»

مهندس شادرخ، معاون مدیریت فناوری اطلاعات بانک سامان، با اشاره به وضعیت مقرراتی در حوزه امنیت بانکی گفت: «از سمت رگولاتور، دستورالعمل‌ها و استانداردهای مختلف امنیتی تدوین شده، اما چالش اصلی در انطباق این انتظارات با شرایط واقعی فناوری اطلاعات بانک‌ها و اکوسیستم ایران است.» او افزود: «موج مهاجرت نیروی متخصص، عدم دسترسی به خدمات ابری مشهور جهانی در حوزه امنیت و محدودیت دسترسی به دانش روز، اجرای کامل استانداردهای روز دنیا را بسیار سخت می‌کند.» به گفته او، حتی وقتی دستورالعمل‌های رگولاتوری «کاملاً مطابق استانداردهای روز دنیا» تدوین می‌شوند، پیاده‌سازی همه بندها در عمل ممکن نیست و بانک‌ها ناچارند با توجه به منابع و زیرساخت موجود، بهینه‌ترین حالت را انتخاب کنند.

مهندس شادرخ تأکید کرد: «حتی در صورت برون‌سپاری، بانک باید نقش ممیزی و نظارت کامل بر فرایندهای برون‌سپاری‌شده را حفظ کند؛ زیرا هیچ پیمانکاری، حتی بزرگ‌ترین شرکت‌های داخلی، به‌تنهایی قادر به جبران همه تبعات یک حادثه امنیتی و خدشه به اعتبار بانک نخواهد بود.»

دکتر بخشا با اشاره به وضعیت نیروی انسانی گفت: «جذب نیروی انسانی متخصص، به‌ویژه در بانک‌های دولتی و خصولتی، به دلیل مهاجرت گسترده متخصصان امنیت و سطح بالای حقوق و دستمزدی که این نیروها مطالبه می‌کنند، بسیار دشوار شده است.» به گفته او، برونسپاری به شرکت‌های تخصصی به‌عنوان یک راه‌حل عملی مطرح شده، اما خود این روش نیز مخاطرات امنیتی و نیاز جدی به نظارت بر عملکرد پیمانکاران ایجاد می‌کند.

او تأکید کرد: «پس از این رویداد، تمرکز در بسیاری از بانک‌ها، از جمله در بانک توسعه تعاون، از توسعه کسب‌وکار به‌سمت تداوم کسب‌وکار جابه‌جا شده است. برنامه‌ریزی برای سناریوهای مختلف اختلال، از قطع زیرساخت مخابرات تا سایر تهدیدها، در دستور کار قرار گرفته و موضوع BCP دیگر نمی‌تواند در اولویت‌های دوم و سوم باقی بماند.»

دکتر بخشا در پایان گفت: «اگر حمله دیگری رخ دهد، بسیار محتمل است که با روش‌های هوشمندتر و جدیدتر انجام شود. شبکه بانکی باید خود را برای انواع روش‌ها و سناریوهای حمله آماده کند. هدف اصلی مهاجمان ایجاد نارضایتی در میان مردم است و همین موضوع، ضرورت تداوم کسب‌وکار و آمادگی برای سناریوهای مختلف را پررنگ‌تر می‌کند.»

مدیرعامل شرکت باگدشت، سرکار خانم دکتر دهبسته، سخنرانی خود را با موضوع “تشریح عملکرد شرکت باگدشت در یک سال گذشته” برای حضار بیان نمودند. مدیرعامل شرکت باگدشت در سخنرانی خود با اشاره به تحولات اخیر، اظهار داشت که با توجه به اثرات روانی ناشی از این بحران‌ها، توجه به پروژه‌های امنیتی و ایجاد زیرساخت‌های امن‌تر در سازمان‌ها رشد قابل توجهی داشته است. اگرچه او یادآور شد که در برخی سازمان‌ها تصمیم‌گیری‌ها به‌طور شتابزده صورت می‌گیرد که ممکن است به پیامدهای بلندمدت و ریسک‌های جدی منتهی شود. به گفته وی، هنوز بسیاری از سازمان‌ها زیرساخت‌های لازم برای اجرای صحیح پروژه‌های امنیتی از جمله به‌روزرسانی فرآیندها، آموزش منابع انسانی و انجام پروژه‌ها متناسب با نیازهای واقعی خود را فراهم نکرده‌اند و بیشتر تصمیمات بر اساس ترندهای موجود در بازار گرفته می‌شود.

در خصوص اهمیت نیروی انسانی، خانم دکتر دهبسته اشاره کرد که متأسفانه بسیاری از جوانان تازه وارد به این حوزه، شناخت کافی از مسئولیت‌ها و تعهدات حرفه‌ای در زمینه امنیت ندارند. برخی از این افراد ممکن است تنها به دلیل جذابیت‌های مالی پیشنهادات مختلف، تصمیمات اشتباهی بگیرند که آثار منفی طولانی‌مدتی بر زندگی حرفه‌ای‌شان بگذارد. او در این راستا تصریح کرد که تیم او علاوه بر ارائه آموزش‌های تخصصی، سعی دارد با هدایت و حمایت صحیح از افراد، آنها را در مسیر درست حرفه‌ای و شخصی قرار دهد. در نهایت او به مدیران امنیت کشور توصیه کرد که «نیروی انسانی صرفاً یک نیروی فنی نیست و هر عضو تیم نیاز به توجه، گفتگو و هدایت دارد تا بتواند به شکل بهینه رشد کند و ریسک‌های احتمالی کاهش یابد.»

بخش پایانی اختتامیه رویداد به تقدیر از نمایندگان شرکت‌های حامی و ارائه تندیس یادبود رویداد و همچنین تقدیر از تیم‌های برتر رویداد CTB 6 اختصاص یافت.

تیم اول مسابقه شامل آقایان مرتضی امیرمحسنی، ایلیا عفیفی، هومن پاشایی، صابر ملایی برنده ۲۰۰ میلیون تومان، تیم دوم مسابقه شامل آقایان محمدجواد بناروئی، امیر پیامنی، محمدمتین دولتی، محمدعرفان توکلی برنده ۱۰۰ میلیون تومان و تیم سوم شامل آقایان محمدعلی اکبرزاده، مهدی باباخانی برنده ۵۰ میلیون تومان شدند.