نگاهی به بخش امنیت سایبری در گزارش عملکرد گروه اسنپ در سال ۱۴۰۲
در سال ۲۰۲۳ اطلاعات شخصی بیش از ۳۵۳ میلیون نفر در سراسر دنیا افشا شده است و تعداد حملات سایبری، نسبت به سال ۲۰۲۱، ۷۲ درصد رشد کرده است.
به گزارش آی تی بوم ؛ این آمار بهخوبی نشان میدهد که خطر حملات سایبری و افشای اطلاعات شخصی افراد در اینترنت به بحرانی جهانی تبدیل شده و میتوان پیشبینی کرد که در سالهای آینده نیز این روند صعودی خواهد بود. برای مقابله با این تهدید هم افراد هم سازمانها باید آمادگیهای لازم را داشته باشند؛ افراد با یادگیری روشهای مختلف برای محافظت از اطلاعات شخصیشان و سازمانها و شرکتها با ایجاد سدهای دفاعی قوی و رعایت پروتکلهای امنیتی برای حفاظت از اطلاعات کاربران و مشتریهایشان میتوانند از آسیبهای احتمالی حملات سایبری و درز اطلاعات جلوگیری کنند.
پس از هک شدن بخشی از اطلاعات اسنپفود در زمستان ۱۴۰۲، گروه اسنپ اقدامات گستردهای را برای ارتقای امنیت سایبریاش آغاز کرد که در گزارش عملکرد ۱۴۰۲ این مجموعه که بهتازگی منتشر شده، بازتاب داشته است. براساس گزارش عملکرد گروه اسنپ، ۲۵ متخصص امنیت سایبری در گروه اسنپ مسئولیت محافظت از دادههای کاربران را برعهده دارند. حفظ محرمانگی، دسترسپذیری و صحتسنجی سامانههای اطلاعاتی، سرویسها و دادههای شرکتهای زیرمجموعه از مسئولیتهای اصلی این تیم است. علاوهبراین، اقداماتی مانند افزایش جوایز برنامه باگ بانتی و برگزاری اولین دوره مسابقات فتح پرچم (CTF) نیز در ۱۴۰۲ انجام شده است. در ادامه، نگاهی به بخش امنیت سایبری گزارش عملکرد گروه اسنپ در ۱۴۰۲ میاندازیم.
اقدامات اسنپ در راستای حفاظت از دادهها
در گزارش امنیت سایبری گروه اسنپ اشاره شده است که این مجموعه دادههای حساس کاربرانش، شامل اطلاعات فردی (PII)، را با بهرهگیری از روشها و استانداردهای امنیتی کامل رمزنگاری و محافظت میکند و با شناسایی دقیق دادههای حساس، آنها را از سایر اطلاعات تفکیک و با درجه امنیتی بالا ذخیره میکند. همچنین در این گزارش توجه ویژه و نظارت مستمر گروه اسنپ بر نحوه دسترسی و استفاده کاربران و کارکنان از دادهها اشاره شده که از نشت اطلاعات و سوءاستفاده از آنها جلوگیری میکند. بر همین مبنا، گروه اسنپ دسترسی مستقیم و دائمی همکاران به پایگاههای داده حاوی اطلاعات حساس را ممنوع کرده است و از روشهای جایگزین امن برای دسترسی به این دادهها استفاده میکند.
در کنار این اقدامات، گروه اسنپ آموزش همکاران در زمینه خطرات سایبری، مهندسی اجتماعی و فیشینگ را هم بهصورت متمرکزتر در ۱۴۰۲ در پیش گرفته و با تولید محتوا در این زمینهها کارکنان را در برابر این تهدیدها آگاهتر کرده است.
امکان حذف حساب کاربری در اسنپ
یکی از مهمترین امکانهایی که هر اپلیکیشنی برای حفظ حریم خصوصی کاربران باید در اختیار آنها قرار دهد، امکان حذف حساب کاربری است. از سال ۱۴۰۲، اسنپخودرو، اسنپدکتر، اسنپشاپ و اسنپباکس امکان حذف حساب کاربری را فراهم کردهاند. همچنین اسنپدکتر اعلام کرده است که دادههای پزشکی کاربران را پس از ۲۴ ساعت حذف میکند. همچنین در این گزارش، آمده است بهزودی تمام زیرمجموعههای گروه اسنپ امکان حذف حساب کاربری را برای کاربران خود فراهم میکنند.
زمانی مشخص برای نگهداری دادههای کاربران و حذف امن آنها پس از اتمام دوره نگهداری است. این اقدام برای کاهش ریسکهای ذخیرهسازی طولانیمدت دادهها و حفاظت از حریم خصوصی کاربران انجام شده است.
ایمنسازی زیرساختهای فناوری اطلاعات بر اساس روشهای معتبر
ایمنسازی زیرساختهای فناوری اطلاعات از اولویتهای گروه اسنپ بوده و سال ۱۴۰۲ با بهرهگیری از روشهای معتبر و استانداردهای بینالمللی، اقدامات گستردهای در این زمینه انجام داده است. ازجمله این اقدامات میتوان به پیادهسازی سیستمهای پیشرفته تشخیص نفوذ، بهروزرسانی مداوم نرمافزارها و سختافزارهای امنیتی همچنین آموزش مداوم کارکنان در زمینه امنیت اطلاعات اشاره کرد.
ذخیره امن دادهها در چرخه توسعه نرمافزار
گروه اسنپ سال گذشته باتوجهبه اهمیت امنیت در چرخه توسعه نرمافزار، به دو سیاست کلی رمزنگاری در سطح برنامه کاربردی (Application Level Encryption) و رمزنگاری در سطح پایگاه داده (Database Level Encryption) روی آورده است. این سیاستها با هدف حفظ حریم خصوصی کاربران و اطمینان از امنیت دادهها در تمامی مراحل توسعه و بهرهبرداری از نرمافزار پیاده شدهاند.
با استفاده از رمزنگاری در سطح برنامه کاربردی، دادهها از همان لحظه ورود به سیستم بهصورت رمزنگاریشده ذخیره میشوند که این کار از دسترسی غیرمجاز به اطلاعات حساس جلوگیری میکند. همچنین با بهرهگیری از رمزنگاری در سطح پایگاه داده، تمامی دادههای ذخیرهشده بهصورت امن و رمزنگاریشده نگهداری میشوند که به حفاظت از اطلاعات کاربران در برابر تهدیدات مختلف کمک میکند.
همچنین تیم امنیت سایبری سوپراپ اسنپ با استفاده از چارچوب رادار (RADAR) توانسته امنیت نرمافزار خود را بهطور مؤثری پیاده کند. تا پایان سال ۱۴۰۲، مطابق گزارش عملکرد گروه اسنپ، ۱۵۱ محصول و ۳۶ گروه تحت پوشش رادار قرار دارند. رادار از ابزارهای مختلفی مانند SAST، SCA، SBOM، تشخیص رمزهای عبور و اسکن زیرساختها استفاده میکند و این ترکیب ابزارها و تکنیکها باعث میشود نقاط ضعف امنیتی در مراحل مختلف توسعه نرمافزار شناسایی و رفع شوند.
باگ بانتی با جایزه ۱۵۰ میلیونی
گروه اسنپ برنامه باگ بانتی را از اواخر ۱۳۹۸ راهاندازی کرد و سال ۱۴۰۲ با افزایش رقم جوایز تلاش کرد بر اهمیت گسترش و پویا بودن برنامه باگ بانتی تأکید کند. در این برنامه، برای کشف آسیبپذیریهای حیاتی، پاداش ۱۵۰ میلیون تومانی تعیین شده است. این برنامه به 4 سطح از متوسط تا حیاتی تقسیمبندی شده است و شکارچیان میتوانند با شناسایی و گزارش آسیبپذیریها، این پاداشها را از آن خود کنند. این نمودار رشد گزارشهای معتبر باگ بانتی اسنپ را از ۱۳۹۸ تا ۱۴۰۲ نشان میدهد.
برنامه باگ بانتی گروه اسنپ توانسته طی سالهای اخیر بخشی از آسیبپذیریهای امنیتی را شناسایی و برطرف کند. این برنامه با مشارکت جامعه امنیتی و توسعهدهندگان، به شناسایی نقاط ضعف امنیتی و بهبود ساختار امنیتی محصولات اسنپ کمک شایانی کرده است. طبق این گزارش، در سال ۱۴۰۲، شکارچیان از طریق برنامه باگ بانتی ۳۳ باگ امنیتی را به تیم امنیت سایبری گروه اسنپ گزارش کردهاند و برای این گزارشها پاداش گرفتهاند.
مسابقه فتح پرچم: چالشی برای مهارتهای امنیتی
در کنار برنامه باگ بانتی، گروه اسنپ ۳ اسفند ۱۴۰۲، اولین دوره مسابقات فتح پرچم (CTF) را برگزار کرد. این مسابقه با هدف به چالش کشیدن مهارتهای علاقهمندان به حوزه امنیت سایبری و کشف رویکردهای نوآورانه برای حل مسائل امنیتی طراحی شده بود. در این رقابت، ۶۸۰ نفر در قالب ۴۰۰ تیم شرکت کردند و ۲۴ ساعت با یکدیگر رقابت کردند. این مسابقه شامل ۳۵ چالش در زمینههای مختلف ازجمله وب، مهندسی معکوس، رمزنگاری پیشرفته، جرمشناسی و نفوذ به برنامههای کاربردی بود و درنهایت، از ۳۵ چالش طراحیشده، ۲۶ چالش حل شد و مجموع جوایز این مسابقه ۲۰۰میلیون تومان بود. این مسابقه نهتنها به شناسایی و تقویت مهارتهای امنیتی کمک کرد، بلکه زمینهساز ارتباطسازی و تبادل دانش بین شرکتکنندگان شد.
تقویت ساختار امنیتی و ترویج فرهنگ امنیت سایبری
اقدامات گروه اسنپ در ۱۴۰۲ نشان میدهد این مجموعه در زمینه امنیت سایبری فعالانه درحال ایجاد تغییر و بهبود روشها و یافتن آسیبپذیریهاست. برنامه باگ بانتی و برگزاری مسابقه فتح پرچم نیز علاوهبر کمک به افزایش امنیت سوپراپ اسنپ، با افزایش آگاهی و تأکید بر اهمیت امنیت سایبری، به فرهنگسازی در این زمینه هم کمک کرده است. با نگاهی به مجموع این اقدامات میتوان گفت مسیر اسنپ در زمینه امنیت سایبری به اقدامات اساسی و پایبندی به پروتکلها محدود نمیشود و فرهنگسازی و ایجاد فرصت برای شناسایی و ساخته شدن شبکههای ارتباطی بین افراد مستعد و علاقهمند این حوزه و همکاری با آنها حرکتی است که میتواند در فضای اکوسیستم استارتاپی ایران تأثیرگذار باشد.
منبع : دیجیاتو