نگاهی به بخش امنیت سایبری در گزارش عملکرد گروه اسنپ در ۱۴۰۲ – خبرگزاری مهر | اخبار ایران و جهان

به گزارش کسب و کار خبرگزاری مهر، بر اساس گزارش فوربس، در سال ۲۰۲۳ اطلاعات شخصی بیش از ۳۵۳ میلیون نفر در سراسر جهان در معرض دید قرار گرفت و تعداد حملات سایبری نسبت به سال ۲۰۲۱ ۷۲ درصد افزایش یافت. این آمار به وضوح نشان می‌دهد. که خطر حملات سایبری و افشای اطلاعات شخصی‌سازی آنلاین به یک بحران جهانی تبدیل شده است و می‌توان پیش‌بینی کرد که این روند در سال‌های آینده همچنان رو به افزایش باشد. برای مقابله با این تهدید، افراد و سازمان ها باید آمادگی های لازم را داشته باشند. افراد و سازمان ها با یادگیری روش های مختلف برای حفاظت از اطلاعات شخصی خود می توانند با ایجاد موانع دفاعی قوی و پیروی از پروتکل های امنیتی برای محافظت از اطلاعات کاربران و مشتریان از آسیب های احتمالی ناشی از حملات سایبری و نشت اطلاعات جلوگیری کنند.

پس از هک شدن بخشی از اطلاعات اسنپ فود در زمستان 1402، گروه اسنپ اقدامات گسترده ای را برای بهبود امنیت سایبری خود آغاز کرد که در گزارش عملکرد 1402 که اخیراً توسط گروه منتشر شده منعکس شده است. بر اساس گزارش عملکرد گروه اسنپ، 25 کارشناس امنیت سایبری در گروه اسنپ مسئولیت حفاظت از اطلاعات کاربران را بر عهده دارند. حفظ محرمانه بودن، دسترسی و اعتبارسنجی سیستم‌ها، خدمات و داده‌های اطلاعاتی شرکت‌های تابعه یکی از وظایف اصلی این تیم است و در کنار این اقدامات اقداماتی از جمله افزایش جوایز برنامه Bug Bunty و برگزاری اولین دوره از Open the انجام شده است. مسابقات پرچم در سال 1402 ه. در ادامه، نگاهی به بخش امنیت سایبری گزارش عملکرد 1402 گروه اسنپ خواهیم داشت.

اقدامات اسنپ برای محافظت از داده ها

گزارش امنیت سایبری گروه اسنپ حاکی از آن است که با استفاده از روش‌ها و استانداردهای امنیتی، داده‌های حساس کاربران خود را که شامل اطلاعات شخصی (PII) می‌شود، کاملاً رمزگذاری و محافظت می‌کند و با شناسایی دقیق داده‌های حساس، آن‌ها را از سایر اطلاعات جدا کرده و با درجه بالایی ذخیره می‌کند. درجه امنیت این گزارش همچنین حاکی از توجه ویژه و نظارت مستمری است که گروه اسنپ به نحوه دسترسی و استفاده کاربران و کارمندان به داده ها و جلوگیری از نشت اطلاعات و سوء استفاده می کند. بر این اساس گروه اسنپ دسترسی مستقیم و دائمی همکاران به پایگاه های اطلاعاتی حاوی اطلاعات حساس را مسدود کرده و از روش های جایگزین امن برای دسترسی به این داده ها استفاده می کند.

علاوه بر این اقدامات، گروه اسنپ در سال 1402 به همکاران خود در زمینه خطرات سایبری، مهندسی اجتماعی و فیشینگ به صورت متمرکزتری آموزش داد و با تولید محتوا در این زمینه ها، کارکنان را نسبت به این تهدیدات بیشتر آگاه کرد.

امکان حذف حساب کاربری در اسنپ: یکی از مهم ترین ویژگی هایی که هر اپلیکیشنی باید برای حفظ حریم خصوصی کاربران ارائه دهد، امکان حذف حساب کاربری است. در سال 1402، اسنپ کار، اسنپ داکتر، اسنپ شاپ و اسنپ باکس امکان حذف حساب کاربری را فراهم کرده اند. SnapDoctor همچنین اعلام کرد که اطلاعات پزشکی کاربران را پس از 24 ساعت حذف خواهد کرد. در این گزارش همچنین اشاره شده است که به زودی تمامی زیرمجموعه های گروه اسنپ به کاربران خود امکان حذف حساب کاربری خود را خواهند داد.

امنیت اطلاعات: در سال 2014، گروه اسنپ امنیت داده های کاربران خود را با استفاده از فناوری های پیشرفته رمزگذاری، پوشش و درهم سازی افزایش داد. این فناوری ها برای حفظ محرمانه بودن اطلاعات کاربران و جلوگیری از دسترسی غیرمجاز به داده های حساس استفاده می شود. این گروه با پیاده سازی این روش ها توانستند یک لایه امنیتی قوی برای محافظت از اطلاعات کاربران ایجاد کنند.

تعریف سیاست های دوره نگهداری: گروه اسنپ با تعریف سیاست های دقیق نگهداری گام مهمی در جهت مدیریت بهینه داده ها و افزایش امنیت برداشته است. این خط‌مشی‌ها شامل تعیین دوره‌های زمانی خاص برای حفظ داده‌های کاربر و حذف ایمن آن‌ها پس از انقضای دوره نگهداری است. این اقدام برای کاهش خطرات مربوط به ذخیره سازی طولانی مدت داده ها و محافظت از حریم خصوصی کاربران انجام شده است.

ایمن سازی زیرساخت های فناوری اطلاعات با روش های مطمئن: ایمن سازی زیرساخت های فناوری اطلاعات یکی از اولویت های گروه اسنپ است و در سال 1402 هجری شمسی با استفاده از روش های معتبر و استانداردهای بین المللی اقدامات گسترده ای در این زمینه انجام شد. از جمله این اقدامات می‌توان به پیاده‌سازی سیستم‌های تشخیص نفوذ پیشرفته، به‌روزرسانی مستمر برنامه‌ها و دستگاه‌های امنیتی و آموزش مستمر کارکنان در زمینه امنیت اطلاعات اشاره کرد.

ذخیره سازی امن داده ها در چرخه توسعه نرم افزار

با توجه به اهمیت امنیت در چرخه توسعه نرم افزار، گروه اسنپ سال گذشته به دو سیاست کلی برای رمزگذاری در سطح برنامه و رمزگذاری در سطح پایگاه داده روی آورد. این سیاست ها با هدف حفاظت از حریم خصوصی کاربران و تضمین امنیت داده ها در تمامی مراحل توسعه و بهره برداری نرم افزار اجرا شده است.

با استفاده از رمزگذاری در سطح برنامه، داده ها از لحظه ورود به سیستم به صورت رمزگذاری شده ذخیره می شوند و از دسترسی غیرمجاز به اطلاعات حساس جلوگیری می کنند. همچنین با استفاده از رمزگذاری در سطح پایگاه داده، تمامی داده های ذخیره شده ایمن و رمزگذاری شده نگهداری می شوند که به محافظت از اطلاعات کاربران در برابر تهدیدات مختلف نیز کمک می کند.

تیم امنیت سایبری سوراپ اسنپ نیز با استفاده از چارچوب RADAR توانست امنیت نرم افزاری خود را به طور موثر پیاده سازی کند. بر اساس گزارش عملکرد گروه اسنپ، تا پایان سال 1402 هجری قمری، رادار 151 محصول و 36 گروه را پوشش می دهد. رادار از ابزارهای مختلفی مانند SAST، SCA، SBOM، کشف رمز عبور و اسکن زیرساخت استفاده می کند و این ترکیب ابزارها و تکنیک ها، شناسایی و رفع آسیب پذیری های امنیتی در مراحل مختلف توسعه نرم افزار را ممکن می سازد.

باگ بانتی با جایزه 150 میلیونی

گروه اسنپ در پایان سال 2018 برنامه Bug Bunty را راه اندازی کرد و در سال 2014 با افزایش جوایز سعی کرد بر اهمیت گسترش و پویایی برنامه Bug Bunty تاکید کند. در این برنامه برای کشف آسیب پذیری های بحرانی 150 میلیون تومان جایزه تعیین شد. این برنامه به چهار سطح از متوسط ​​تا بحرانی تقسیم می شود و شکارچیان می توانند با شناسایی و گزارش آسیب پذیری ها، این پاداش ها را کسب کنند. این نمودار رشد گزارش های اصلی Bug Bunty Snap را از سال 2018 تا 2019 نشان می دهد.

برنامه Bug Bunty گروه اسنپ در سال های اخیر توانسته است برخی از آسیب پذیری های امنیتی را شناسایی و رفع کند. این برنامه با مشارکت جامعه امنیتی و توسعه دهندگان، به شناسایی آسیب پذیری های امنیتی و بهبود معماری امنیتی محصولات اسنپ کمک کرده است. بر اساس این گزارش، در سال 1402 هجری شمسی، 33 نقص امنیتی از طریق برنامه BugBunty به تیم امنیت سایبری گروه اسنپ گزارش شد و شکارچیان بابت این گزارش ها پاداش گرفتند.

Capture the Flag Contest: چالشی برای مهارت های امنیتی

همراه با برنامه Bug Bunty، گروه اسنپ اولین دور مسابقات باز پرگاموم (CTF) را در 3 مارس 1402 برگزار کرد. این مسابقه با هدف به چالش کشیدن مهارت های علاقه مندان به امنیت سایبری و کشف رویکردهای نوآورانه برای حل مشکلات امنیتی طراحی شد. 680 نفر در قالب 400 تیم در این مسابقات شرکت کردند و به مدت 24 ساعت با یکدیگر به رقابت پرداختند. این مسابقه شامل 35 چالش در زمینه های مختلف از جمله وب، مهندسی معکوس، رمزنگاری پیشرفته، جرم شناسی و هک اپلیکیشن بود در نهایت از 35 چالش طراحی شده، 26 چالش حل شد و مجموع جوایز این مسابقه به 200 میلیون تومان رسید. این رقابت نه تنها به شناسایی و ارتقای مهارت های امنیتی کمک کرد، بلکه به عنوان بستری برای شبکه سازی و تبادل دانش بین شرکت کنندگان عمل کرد.

تقویت زیرساخت های امنیتی و ارتقای فرهنگ امنیت سایبری

اقدامات گروه اسنپ در سال 1402 نشان می دهد که این گروه فعالانه در حال تغییر و بهبود روش ها و یافتن آسیب پذیری در حوزه امنیت سایبری است. برنامه Bug Bunty و برگزاری مسابقه Open the Flag علاوه بر کمک به افزایش امنیت Super Snap، با افزایش آگاهی و تاکید بر اهمیت امنیت سایبری به فرهنگ سازی در این صنعت کمک کرد. با توجه به مجموع این اقدامات می توان گفت که مسیر اسنپ در حوزه امنیت سایبری به اقدامات اساسی و رعایت پروتکل ها، فرهنگ سازی و ایجاد فرصت شناسایی و شبکه سازی در بین افراد مستعد و علاقه مند در این حوزه محدود نمی شود. امنیت سایبری. این حوزه و همکاری با آنها گامی است که می تواند در اکوسیستم استارتاپی در ایران تاثیرگذار باشد.