نگاهی به بخش امنیت سایبری در گزارش عملکرد گروه اسنپ در ۱۴۰۲
به گزارش تجهیزات جانبی، در ادامه نگاهی به بخش امنیت سایبری گزارش عملکرد گروه اسنپ در ۱۴۰۲ خواهیم انداخت.
به گزارش تجهیزات جانبی به نقل از مهر، برپایه گزارش فوربز در سال ۲۰۲۳ اطلاعات شخصی بیشتر از ۳۵۳ میلیون نفر در سراسر جهان افشا شده است و تعداد حملات سایبری، نسبت به سال ۲۰۲۱، ۷۲ درصد افزایش داشته است. این آمار به خوبی نشان داده است که خطر حملات سایبری و افشای اطلاعات شخصی افراد در اینترنت به یک بحران جهانی تبدیل گشته و میتوان پیش بینی نمود که در سالهای آینده هم این روند صعودی خواهد بود. برای مقابله با این تهدید هم افراد و هم سازمان ها باید آمادگی های لازم را داشته باشند؛ افراد با یادگیری روش های مختلف برای حفاظت از اطلاعات شخصی شان و سازمان ها و شرکت ها با تشکیل سدهای دفاعی قوی و رعایت پروتکلهای امنیتی برای محافظت از اطلاعات کاربران و مشتریان شان می توانند از صدمه های احتمالی حملات سایبری و درز اطلاعات جلوگیری نمایند. بعد از هک شدن بخشی از اطلاعات اسنپ فود در زمستان ۱۴۰۲، گروه اسنپ اقدامات گسترده ای را برای ارتقای امنیت سایبری خود شروع کرد که در گزارش عملکرد ۱۴۰۲ این مجموعه که اخیرا انتشار یافته بازتاب داشته است. طبق گزارش عملکرد گروه اسنپ ۲۵ متخصص امنیت سایبری در گروه اسنپ مسئولیت حفاظت از داده های کاربران را به عهده دارند. حفظ محرمانگی، دسترس پذیری و صحت سنجی سامانه های اطلاعاتی، سرویس ها و داده های شرکتهای زیرمجموعه از مسئولیت های اصلی این تیم است و در کنار آن اقداماتی همچون افزایش جوایز برنامه باگ بانتی و برگزاری نخستین دوره مسابقات فتح پرچم (CTF) در ۱۴۰۲ انجام شده است. در ادامه نگاهی به بخش امنیت سایبری گزارش عملکرد گروه اسنپ در ۱۴۰۲ خواهیم انداخت. اقدامات اسنپ در جهت محافظت از داده ها در گزارش امنیت سایبری گروه اسنپ اشاره شده است که این مجموعه داده های حساس کاربران خویش را که شامل اطلاعات فردی (PII) می شود با استفاده از روش ها و استانداردهای امنیتی به صورت کامل رمزنگاری و محافظت می کند و با شناسایی دقیق داده های حساس آنها را از سایر اطلاعات تفکیک و با درجه امنیتی بالا ذخیره سازی می کند. همینطور در این گزارش توجه ویژه و نظارت مستمر گروه اسنپ بر نحوه دسترسی و استفاده از داده ها توسط کاربران و کارکنان اشاره شده که از نشت اطلاعات و سوءاستفاده از آنها جلوگیری می کند. بر همین مبنا گروه اسنپ دسترسی مستقیم و دائمی همکاران به پایگاه های داده حاوی اطلاعات حساس را ممنوع کرده است و از روش های جایگزین امن برای دسترسی به این داده ها استفاده می نماید. در کنار این اقدامات، گروه اسنپ آموزش همکاران در مورد خطرات سایبری، مهندسی اجتماعی و فیشینگ را هم به صورت متمرکزتر در ۱۴۰۲ در پیش گرفته و با تولید محتوا در این حوزه ها کارکنان را در مقابل این تهدیدها آگاه تر کرده است. امکان حذف حساب کاربری در اسنپ: یکی از مهم ترین امکان هایی که هر اپلیکیشنی برای حفظ حریم خصوصی کاربران باید در اختیار آنها قرار دهد امکان حذف حساب کاربری است. در ۱۴۰۲ اسنپ خودرو، اسنپ دکتر، اسنپ شاپ و اسنپ باکس، امکان حذف حساب کاربری را فراهم نموده اند. همینطور اسنپ دکتر اعلام نموده است که داده های پزشکی کاربران را بعد از ۲۴ ساعت حذف می کند. در این گزارش همینطور آمده است که بزودی تمامی زیرمجموعه های گروه اسنپ امکان حذف حساب کاربری را برای کاربران خود فراهم می کنند. امنیت اطلاعات: در ۱۴۰۲، گروه اسنپ با استفاده از روشهای فنی پیشرفته رمزنگاری، ماسک کردن و درهم ریزی امنیت داده کاربران خویش را بالاتر برده است. این تکنیکها به منظور حفظ محرمانگی اطلاعات کاربران و پیشگیری از دسترسی غیر مجاز به داده های حساس مورد استفاده قرار گرفته اند. با اجرای این روش ها، این مجموعه موفق شده یک لایه امنیتی قوی برای محافظت از اطلاعات کاربران ایجاد نماید. تعیین سیاست مدت زمان نگهداری اطلاعات: گروه اسنپ با تعیین سیاست های دقیق مدت زمان نگهداری اطلاعات، گام مهمی در جهت مدیریت بهینه داده ها و افزایش امنیت برداشته است. این سیاست ها شامل تعیین دوره های زمانی مشخص برای نگهداری داده های کاربران و حذف امن آنها بعد از اتمام دوره نگهداری است. این مبادرت به منظور کاهش ریسک های در رابطه با ذخیره سازی طولانی مدت داده ها و محافظت از حریم خصوصی کاربران انجام شده است. ایمن سازی زیرساخت های فناوری اطلاعات بر مبنای روش های معتبر: ایمن سازی زیرساخت های فناوری اطلاعات از اولویت های گروه اسنپ بوده و در ۱۴۰۲ با استفاده از روش های معتبر و استانداردهای بین المللی، اقدامات گسترده ای در این حوزه انجام شده است. همچون این اقدامات میتوان به پیاده سازی سیستم های پیشرفته تشخیص نفوذ، بروزرسانی مداوم نرم افزارها و سخت افزارهای امنیتی و همینطور آموزش مداوم کارکنان در زمینه امنیت اطلاعات اشاره نمود. ذخیره امن داده ها در چرخه توسعه نرم افزار گروه اسنپ با عنایت به اهمیت امنیت در چرخه توسعه نرم افزار، پارسال به دو سیاست کلی رمزنگاری در سطح برنامه کاربردی (Application Level Encryption) و رمزنگاری در سطح پایگاه داده (Database Level Encryption) روی آورده است. این سیاست ها با هدف حفظ حریم خصوصی کاربران و اطمینان از امنیت داده ها در تمامی مراحل توسعه و بهره برداری از نرم افزار پیاده سازی شده اند. با استفاده از رمزنگاری در سطح برنامه کاربردی، داده ها از همان لحظه ورود به سیستم به صورت رمزنگاری شده ذخیره می شوند، که این امر از دسترسی غیر مجاز به اطلاعات حساس جلوگیری می کند. همچنین، با استفاده از رمزنگاری در سطح پایگاه داده، تمامی داده های ذخیره شده به صورت امن و رمزنگاری شده نگهداری می شوند، که این اقدام هم به محافظت از اطلاعات کاربران در مقابل تهدیدات مختلف کمک می نماید. همینطور تیم امنیت سایبری سوپراپ اسنپ با استفاده از چارچوب رادار (RADAR) توانسته امنیت نرم افزار خویش را به صورت موثری پیاده سازی کند. تا آخر سال ۱۴۰۲ مطابق گزارش عملکرد گروه اسنپ، ۱۵۱ محصول و ۳۶ گروه زیر پوشش رادار قرار دارند. رادار از ابزارهای مختلفی مانند SAST، SCA، SBOM، تشخیص رمزهای عبور و اسکن زیرساخت ها استفاده می نماید و این ترکیب ابزارها و تکنیکها سبب می شود تا نقاط ضعف امنیتی در مراحل مختلف توسعه نرم افزار شناسایی و رفع شوند. باگ بانتی با جایزه ۱۵۰ میلیونی گروه اسنپ برنامه باگ بانتی را از اواخر سال ۱۳۹۸ راه اندازی نمود و در سال ۱۴۰۲ با افزایش رقم جوایز کوشش کرد بر اهمیت گسترش و پویا بودن برنامه باگ بانتی تاکید کند. در این برنامه، برای کشف صدمه پذیری های حیاتی، پاداشی به مبلغ ۱۵۰ میلیون تومان تعیین شده است. این برنامه به چهار سطح از متوسط تا حیاتی تقسیم بندی شده است و شکارچیان می توانند با شناسایی و گزارش صدمه پذیری ها، این پاداش ها را دریافت نمایند. این نمودار رشد گزارش های معتبر باگ بانتی اسنپ را از سال ۱۳۹۸ تا ۱۴۰۲ نشان داده است. برنامه باگ بانتی گروه اسنپ توانسته طی سالهای اخیر بخشی از صدمه پذیری های امنیتی را شناسایی و برطرف کند. این برنامه با مشارکت جامعه امنیتی و توسعه دهندگان، به شناسایی نقاط ضعف امنیتی و بهبود ساختار امنیتی محصولات اسنپ کمک شایانی کرده است. طبق این گزارش در سال ۱۴۰۲، ۳۳ باگ امنیتی از راه برنامه باگ بانتی به تیم امنیت سایبری گروه اسنپ گزارش شده و شکارچیان برای این گزارش ها پاداش دریافت کرده اند.
مسابقه فتح پرچم: چالشی برای مهارت های امنیتی در کنار برنامه باگ بانتی، گروه اسنپ نخستین دوره مسابقات فتح پرچم (CTF) را در تاریخ ۳ اسفند ۱۴۰۲ برگزار کرد. این مسابقه با هدف به چالش کشیدن مهارت های علاقه مندان به حوزه امنیت سایبری و کشف نگاههای نوآورانه برای حل مسائل امنیتی طراحی شده بود. در این رقابت ۶۸۰ نفر در چارچوب ۴۰۰ تیم شرکت نمودند و به مدت ۲۴ ساعت با یکدیگر به رقابت پرداختند. این مسابقه شامل ۳۵ چالش در زمینه های مختلف همچون وب، مهندسی معکوس، رمزنگاری پیشرفته، جرم شناسی و نفوذ به برنامه های کاربردی بود و در نهایت، از ۳۵ چالش طراحی شده، ۲۶ چالش حل شد و مجموع جوایز این مسابقه ۲۰۰میلیون تومان بود. این مسابقه نه تنها به شناسایی و تقویت مهارت های امنیتی کمک کرد، بلکه زمینه ساز ارتباط سازی و تبادل دانش بین شرکت کنندگان شد. تقویت ساختار امنیتی و ترویج فرهنگ امنیت سایبری اقدامات گروه اسنپ در ۱۴۰۲ نشان داده است این مجموعه در زمینه امنیت سایبری فعالانه درحال ایجاد تغییر و بهبود روش ها و یافتن صدمه پذیری هاست. برنامه باگ بانتی و برگزاری مسابقه فتح پرچم هم علاوه بر کمک به افزایش امنیت سوپراپ اسنپ، با افزایش آگاهی و تاکید بر اهمیت امنیت سایبری، به فرهنگ سازی در این حوزه هم کمک کرده است. با نگاهی به مجموع این اقدامات میتوان گفت مسیر اسنپ در زمینه امنیت سایبری به اقدامات اساسی و پایبندی به پروتکل ها محدود نمی شود و فرهنگ سازی و ایجاد فرصت برای شناسایی و ساخته شدن شبکه های ارتباطی بین افراد مستعد و علاقمند این حوزه و همکاری با آنها حرکتی است که می تواند در فضای اکوسیستم استارتاپی ایران اثرگذار باشد.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب