نگاهی به بخش امنیت سایبری در گزارش عملکرد گروه اسنپ در ۱۴۰۲
توسعه نرم افزار: در ادامه نگاهی به بخش امنیت سایبری گزارش عملکرد گروه اسنپ در 1402 خواهیم انداخت.
به گزارش تجاری خبرگزاری مهر، بر طبق گزارش فوربز در سال ۲۰۲۳ اطلاعات شخصی بالاتر از ۳۵۳ میلیون نفر در سرتاسر دنیا افشا شده است و تعداد حملات سایبری، نسبت به سال ۲۰۲۱، ۷۲ درصد افزایش داشته است. این آمار به خوبی نشان میدهد که خطر حملات سایبری و افشای اطلاعات شخصی افراد در اینترنت به یک بحران جهانی تبدیل گشته و می توان پیش بینی نمود که در سال های آتی نیز این روند صعودی خواهد بود. برای مقابله با این تهدید هم افراد و هم سازمان ها باید آمادگی های لازم را داشته باشند؛ افراد با یادگیری روش های مختلف برای صیانت از اطلاعات شخصی شان و سازمان ها و شرکتها با بوجودآوردن سدهای دفاعی قوی و رعایت پروتکلهای امنیتی برای صیانت از اطلاعات کاربران و مشتریان شان می توانند از لطمه های احتمالی حملات سایبری و درز اطلاعات جلوگیری نمایند. بعد از هک شدن قسمتی از اطلاعات اسنپ فود در زمستان ۱۴۰۲، گروه اسنپ اقدامات گسترده ای را برای ارتقای امنیت سایبری خود شروع کرد که در گزارش عملکرد ۱۴۰۲ این مجموعه که بتازگی انتشار یافته بازتاب داشته است. طبق گزارش عملکرد گروه اسنپ ۲۵ متخصص امنیت سایبری در گروه اسنپ مسئولیت صیانت از داده های کاربران را به عهده دارند. حفظ محرمانگی، دسترس پذیری و صحت سنجی سامانه های اطلاعاتی، سرویس ها و داده های شرکت های زیرمجموعه از مسئولیت های اصلی این تیم است و در کنار آن اقداماتی همچون افزایش جوایز برنامه باگ بانتی و برگزاری نخستین دوره مسابقات فتح پرچم (CTF) در ۱۴۰۲ انجام شده است. در ادامه نگاهی به بخش امنیت سایبری گزارش عملکرد گروه اسنپ در ۱۴۰۲ خواهیم انداخت. اقدامات اسنپ در امتداد صیانت از داده ها در گزارش امنیت سایبری گروه اسنپ اشاره شده است که این مجموعه داده های حساس کاربران خودرا که شامل اطلاعات فردی (PII) می شود با بهره بردن از روش ها و استانداردهای امنیتی بطور کامل رمزنگاری و محافظت می کند و با شناسایی دقیق داده های حساس آنها را از سایر اطلاعات تفکیک و با درجه امنیتی بالا ذخیره سازی می کند. همین طور در این گزارش توجه ویژه و نظارت مستمر گروه اسنپ بر نحوه دسترسی و استفاده از داده ها توسط کاربران و کارکنان اشاره شده که از نشت اطلاعات و سوءاستفاده از آنها جلوگیری می کند. بر همین مبنا گروه اسنپ دسترسی مستقیم و دائمی همکاران به پایگاه های داده حاوی اطلاعات حساس را ممنوع کرده است و از روش های جایگزین امن برای دسترسی به این داده ها استفاده می نماید. در کنار این اقدامات، گروه اسنپ آموزش همکاران در مورد خطرات سایبری، مهندسی اجتماعی و فیشینگ را هم بصورت متمرکزتر در ۱۴۰۲ در پیش گرفته و با تولید محتوا دراین زمینه ها کارکنان را در مقابل این تهدیدها آگاه تر کرده است. امکان حذف حساب کاربری در اسنپ: یکی از مهم ترین امکان هایی که هر اپلیکیشنی برای حفظ حریم خصوصی کاربران باید در اختیار آنها قرار دهد امکان حذف حساب کاربری است. در ۱۴۰۲ اسنپ خودرو، اسنپ دکتر، اسنپ شاپ و اسنپ باکس، امکان حذف حساب کاربری را فراهم نموده اند. همین طور اسنپ دکتر اعلام نموده است که داده های پزشکی کاربران را بعد از ۲۴ ساعت حذف می کند. در این گزارش همین طور آمده است که به زودی تمامی زیرمجموعه های گروه اسنپ امکان حذف حساب کاربری را برای کاربران خود فراهم می کنند. امنیت اطلاعات: در ۱۴۰۲، گروه اسنپ با بهره گیری از مهارتهای پیشرفته رمزنگاری، ماسک کردن و درهم ریزی امنیت داده کاربران خودرا بالاتر برده است. این مهارتها بمنظور حفظ محرمانگی اطلاعات کاربران و جلوگیری از دسترسی بدون مجوز به داده های حساس مورد استفاده قرار گرفته اند. با اجرای این روش ها، این مجموعه موفق شده یک لایه امنیتی قوی برای صیانت از اطلاعات کاربران بوجود آورد. تعیین سیاست مدت زمان نگهداری اطلاعات: گروه اسنپ با تعیین سیاست های دقیق مدت زمان نگهداری اطلاعات، گام مهمی در راستای مدیریت بهینه داده ها و افزایش امنیت برداشته است. این سیاست ها شامل تعیین دوره های زمانی مشخص برای نگهداری داده های کاربران و حذف امن آنها بعد از اتمام دوره نگهداری است. این مبادرت به منظور کاهش ریسک های در رابطه با ذخیره سازی طولانی مدت داده ها و صیانت از حریم خصوصی کاربران انجام شده است. ایمن سازی زیرساخت های فناوری اطلاعات برمبنای روش های معتبر: ایمن سازی زیرساخت های فناوری اطلاعات از اولویت های گروه اسنپ بوده و در ۱۴۰۲ با بهره بردن از روش های معتبر و استانداردهای بین المللی، اقدامات گسترده ای دراین زمینه انجام شده است. همچون این اقدامات می توان به پیاده سازی سیستم های پیشرفته تشخیص نفوذ، بروزرسانی مداوم نرم افزارها و سخت افزارهای امنیتی و همین طور آموزش مداوم کارکنان در حوزه امنیت اطلاعات اشاره نمود. ذخیره امن داده ها در چرخه توسعه نرم افزار گروه اسنپ باتوجه به اهمیت امنیت در چرخه توسعه نرم افزار، در سال قبل به دو سیاست کلی رمزنگاری در سطح برنامه کاربردی (Application Level Encryption) و رمزنگاری در سطح پایگاه داده (Database Level Encryption) روی آورده است. این سیاست ها با هدف حفظ حریم خصوصی کاربران و اطمینان از امنیت داده ها در تمامی مراحل توسعه و بهره برداری از نرم افزار پیاده سازی شده اند. با بهره گیری از رمزنگاری در سطح برنامه کاربردی، داده ها از همان لحظه ورود به سیستم بصورت رمزنگاری شده ذخیره می شوند، که این امر از دسترسی بدون مجوز به اطلاعات حساس جلوگیری می کند. همچنین، با بهره بردن از رمزنگاری در سطح پایگاه داده، تمامی داده های ذخیره شده بصورت امن و رمزنگاری شده نگهداری می شوند، که این اقدام نیز به صیانت از اطلاعات کاربران در مقابل تهدیدات مختلف کمک می نماید. همین طور تیم امنیت سایبری سوپراپ اسنپ با بهره گیری از چارچوب رادار (RADAR) توانسته امنیت نرم افزار خودرا بطور موثری پیاده سازی کند. تا انتهای سال ۱۴۰۲ مطابق گزارش عملکرد گروه اسنپ، ۱۵۱ محصول و ۳۶ گروه تحت پوشش رادار قرار دارند. رادار از ابزارهای مختلفی مانند SAST، SCA، SBOM، تشخیص رمزهای عبور و اسکن زیرساخت ها استفاده می نماید و این ترکیب ابزارها و مهارتها موجب می شود تا نقاط ضعف امنیتی در مراحل مختلف توسعه نرم افزار شناسایی و رفع شوند. باگ بانتی با جایزه ۱۵۰ میلیونی گروه اسنپ برنامه باگ بانتی را از اواخر سال ۱۳۹۸ راه اندازی نمود و در سال ۱۴۰۲ با افزایش رقم جوایز کوشش کرد بر اهمیت گسترش و پویا بودن برنامه باگ بانتی تاکید کند. در این برنامه، برای کشف لطمه پذیری های حیاتی، پاداشی به مبلغ ۱۵۰ میلیون تومان تعیین شده است. این برنامه به چهار سطح از متوسط تا حیاتی تقسیم بندی شده است و شکارچیان می توانند با شناسایی و گزارش لطمه پذیری ها، این پاداش ها را دریافت نمایند. این نمودار رشد گزارش های معتبر باگ بانتی اسنپ را از سال ۱۳۹۸ تا ۱۴۰۲ نشان میدهد. برنامه باگ بانتی گروه اسنپ توانسته طی سالهای اخیر قسمتی از لطمه پذیری های امنیتی را شناسایی و برطرف کند. این برنامه با مشارکت جامعه امنیتی و توسعه دهندگان، به شناسایی نقاط ضعف امنیتی و بهبود ساختار امنیتی محصولات اسنپ کمک شایانی کرده است. طبق این گزارش در سال ۱۴۰۲، ۳۳ باگ امنیتی بوسیله برنامه باگ بانتی به تیم امنیت سایبری گروه اسنپ گزارش شده و شکارچیان برای این گزارش ها پاداش دریافت کرده اند.
مسابقه فتح پرچم: چالشی برای مهارت های امنیتی در کنار برنامه باگ بانتی، گروه اسنپ نخستین دوره مسابقات فتح پرچم (CTF) را در تاریخ ۳ اسفند ۱۴۰۲ برگزار کرد. این مسابقه با هدف به چالش کشیدن مهارت های علاقه مندان به حوزه امنیت سایبری و کشف رویکرد های نوآورانه برای حل مسائل امنیتی طراحی شده بود. در این رقابت ۶۸۰ نفر در قالب ۴۰۰ تیم شرکت کردند و به مدت ۲۴ ساعت با یکدیگر به رقابت پرداختند. این مسابقه شامل ۳۵ چالش در حوزه های مختلف همچون وب، مهندسی معکوس، رمزنگاری پیشرفته، جرم شناسی و نفوذ به برنامه های کاربردی بود و در نهایت، از ۳۵ چالش طراحی شده، ۲۶ چالش حل شد و مجموع جوایز این مسابقه ۲۰۰میلیون تومان بود. این مسابقه نه فقط به شناسایی و تقویت مهارت های امنیتی کمک کرد، بلکه زمینه ساز ارتباط سازی و تبادل دانش بین شرکت کنندگان شد. تقویت ساختار امنیتی و ترویج فرهنگ امنیت سایبری اقدامات گروه اسنپ در ۱۴۰۲ نشان میدهد این مجموعه در حوزه امنیت سایبری فعالانه درحال ایجاد تغییر و بهبود روش ها و یافتن لطمه پذیری هاست. برنامه باگ بانتی و برگزاری مسابقه فتح پرچم هم علاوه بر کمک به افزایش امنیت سوپراپ اسنپ، با افزایش آگاهی و تاکید بر اهمیت امنیت سایبری، به فرهنگ سازی دراین زمینه هم کمک کرده است. با نگاهی به مجموع این اقدامات می توان گفت مسیر اسنپ در حوزه امنیت سایبری به اقدامات اساسی و پایبندی به پروتکل ها محدود نمی شود و فرهنگ سازی و ایجاد فرصت برای شناسایی و ساخته شدن شبکه های ارتباطی بین افراد مستعد و علاقمند این حوزه و همکاری با آنها حرکتی است که می تواند در فضای اکوسیستم استارتاپی ایران موثر باشد.
مطلب توسعه نرم افزار را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط در DevSoft
نظرات بینندگان DevSoft در مورد این مطلب