به گزارش فوربز در سال 2023 اطلاعات شخصی بیش از 353 میلیون نفر در سراسر دنیا افشا شده است و تعداد حملات سایبری، نسبت به سال 2021، 72 درصد افزایش داشته است. این آمار بهخوبی نشان میدهد که خطر حملات سایبری و افشای اطلاعات شخصی افراد در اینترنت به یک بحران جهانی تبدیل شده و میتوان پیشبینی کرد که در سالهای آینده نیز این روند صعودی خواهد بود.
برای مقابله با این تهدید هم افراد و هم سازمانها باید آمادگیهای لازم را داشته باشند؛ افراد با یادگیری روشهای مختلف برای محافظت از اطلاعات شخصیشان و سازمانها و شرکتها با ایجاد سدهای دفاعی قوی و رعایت پروتکلهای امنیتی برای حفاظت از اطلاعات کاربران و مشتریانشان میتوانند از آسیبهای احتمالی حملات سایبری و درز اطلاعات جلوگیری کنند.
پس از هک شدن بخشی از اطلاعات اسنپفود در زمستان 1402، گروه اسنپ اقدامات گستردهای را برای ارتقای امنیت سایبری خود آغاز کرد که در گزارش عملکرد 1402 این مجموعه که به تازگی منتشر شده بازتاب داشته است.
بر اساس گزارش عملکرد گروه اسنپ 25 متخصص امنیت سایبری در گروه اسنپ مسئولیت محافظت از دادههای کاربران را به عهده دارند. حفظ محرمانگی، دسترسپذیری و صحتسنجی سامانههای اطلاعاتی، سرویسها و دادههای شرکتهای زیرمجموعه از مسئولیتهای اصلی این تیم است و در کنار آن اقداماتی از جمله افزایش جوایز برنامه باگ بانتی و برگزاری اولین دوره مسابقات فتح پرچم (CTF) در 1402 انجام شده است.
در ادامه نگاهی به بخش امنیت سایبری گزارش عملکرد گروه اسنپ در 1402 خواهیم انداخت.
اقدامات اسنپ در راستای حفاظت از دادهها
در گزارش امنیت سایبری گروه اسنپ اشاره شده است که این مجموعه دادههای حساس کاربران خود را که شامل اطلاعات فردی (PII) میشود با بهرهگیری از روشها و استانداردهای امنیتی به طور کامل رمزنگاری و محافظت میکند و با شناسایی دقیق دادههای حساس آنها را از سایر اطلاعات تفکیک و با درجه امنیتی بالا ذخیرهسازی میکند.
همچنین در این گزارش توجه ویژه و نظارت مستمر گروه اسنپ بر نحوه دسترسی و استفاده از دادهها توسط کاربران و کارکنان اشاره شده که از نشت اطلاعات و سوءاستفاده از آنها جلوگیری میکند. بر همین مبنا گروه اسنپ دسترسی مستقیم و دائمی همکاران به پایگاههای داده حاوی اطلاعات حساس را ممنوع کرده است و از روشهای جایگزین امن برای دسترسی به این دادهها استفاده میکند.
در کنار این اقدامات، گروه اسنپ آموزش همکاران در مورد خطرات سایبری، مهندسی اجتماعی و فیشینگ را هم به صورت متمرکزتر در 1402 در پیش گرفته و با تولید محتوا در این زمینهها کارکنان را در برابر این تهدیدها آگاهتر کرده است.
امکان حذف حساب کاربری در اسنپ: یکی از مهمترین امکانهایی که هر اپلیکیشنی برای حفظ حریم خصوصی کاربران باید در اختیار آنها قرار دهد امکان حذف حساب کاربری است. در 1402 اسنپخودرو، اسنپدکتر، اسنپشاپ و اسنپباکس، امکان حذف حساب کاربری را فراهم کردهاند. همچنین اسنپدکتر اعلام کرده است که دادههای پزشکی کاربران را پس از 24 ساعت حذف میکند. در این گزارش همچنین آمده است که بهزودی تمامی زیرمجموعههای گروه اسنپ امکان حذف حساب کاربری را برای کاربران خود فراهم میکنند.
امنیت اطلاعات: در 1402، گروه اسنپ با استفاده از تکنیکهای پیشرفته رمزنگاری، ماسک کردن و درهمریزی امنیت داده کاربران خود را بالاتر برده است. این تکنیکها بهمنظور حفظ محرمانگی اطلاعات کاربران و جلوگیری از دسترسی غیرمجاز به دادههای حساس مورد استفاده قرار گرفتهاند. با اجرای این روشها، این مجموعه موفق شده یک لایه امنیتی قوی برای حفاظت از اطلاعات کاربران ایجاد کند.
تعیین سیاست مدت زمان نگهداری اطلاعات: گروه اسنپ با تعیین سیاستهای دقیق مدت زمان نگهداری اطلاعات، گام مهمی در جهت مدیریت بهینه دادهها و افزایش امنیت برداشته است. این سیاستها شامل تعیین دورههای زمانی مشخص برای نگهداری دادههای کاربران و حذف امن آنها پس از اتمام دوره نگهداری است. این اقدام بهمنظور کاهش ریسکهای مرتبط با ذخیرهسازی طولانیمدت دادهها و حفاظت از حریم خصوصی کاربران انجام شده است.
ایمنسازی زیرساختهای فناوری اطلاعات بر اساس روشهای معتبر: ایمنسازی زیرساختهای فناوری اطلاعات از اولویتهای گروه اسنپ بوده و در 1402 با بهرهگیری از روشهای معتبر و استانداردهای بینالمللی، اقدامات گستردهای در این زمینه انجام شده است. از جمله این اقدامات میتوان به پیادهسازی سیستمهای پیشرفته تشخیص نفوذ، بهروزرسانی مداوم نرمافزارها و سختافزارهای امنیتی و همچنین آموزش مداوم کارکنان در زمینه امنیت اطلاعات اشاره کرد.
ذخیره امن دادهها در چرخه توسعهی نرمافزار
گروه اسنپ با توجه به اهمیت امنیت در چرخه توسعه نرمافزار، در سال گذشته به دو سیاست کلی رمزنگاری در سطح برنامه کاربردی (Application Level Encryption) و رمزنگاری در سطح پایگاه داده (Database Level Encryption) روی آورده است. این سیاستها با هدف حفظ حریم خصوصی کاربران و اطمینان از امنیت دادهها در تمامی مراحل توسعه و بهرهبرداری از نرمافزار پیادهسازی شدهاند.
با استفاده از رمزنگاری در سطح برنامه کاربردی، دادهها از همان لحظه ورود به سیستم به صورت رمزنگاری شده ذخیره میشوند، که این امر از دسترسی غیرمجاز به اطلاعات حساس جلوگیری میکند. همچنین، با بهرهگیری از رمزنگاری در سطح پایگاه داده، تمامی دادههای ذخیرهشده به صورت امن و رمزنگاری شده نگهداری میشوند، که این اقدام نیز به حفاظت از اطلاعات کاربران در برابر تهدیدات مختلف کمک میکند.
همچنین تیم امنیت سایبری سوپراپ اسنپ با استفاده از چارچوب رادار (RADAR) توانسته امنیت نرمافزار خود را به طور موثری پیادهسازی کند. تا پایان سال 1402 مطابق گزارش عملکرد گروه اسنپ، 151 محصول و 36 گروه تحت پوشش رادار قرار دارند. رادار از ابزارهای مختلفی مانند SAST، SCA، SBOM، تشخیص رمزهای عبور و اسکن زیرساختها استفاده میکند و این ترکیب ابزارها و تکنیکها باعث میشود تا نقاط ضعف امنیتی در مراحل مختلف توسعه نرمافزار شناسایی و رفع شوند.
باگ بانتی با جایزه 150 میلیونی
گروه اسنپ برنامه باگ بانتی را از اواخر سال 1398 راهاندازی کرد و در سال 1402 با افزایش رقم جوایز تلاش کرد بر اهمیت گسترش و پویا بودن برنامه باگ بانتی تاکید کند. در این برنامه، برای کشف آسیبپذیریهای حیاتی، پاداشی به مبلغ 150 میلیون تومان تعیین شده است.
این برنامه به چهار سطح از متوسط تا حیاتی تقسیمبندی شده است و شکارچیان میتوانند با شناسایی و گزارش آسیبپذیریها، این پاداشها را دریافت کنند. این نمودار رشد گزارشهای معتبر باگ بانتی اسنپ را از سال 1398 تا 1402 نشان میدهد.
برنامه باگ بانتی گروه اسنپ توانسته طی سالهای اخیر بخشی از آسیبپذیریهای امنیتی را شناسایی و برطرف کند. این برنامه با مشارکت جامعه امنیتی و توسعهدهندگان، به شناسایی نقاط ضعف امنیتی و بهبود ساختار امنیتی محصولات اسنپ کمک شایانی کرده است. طبق این گزارش در سال 1402، 33 باگ امنیتی از طریق برنامه باگ بانتی به تیم امنیت سایبری گروه اسنپ گزارش شده و شکارچیان برای این گزارشها پاداش دریافت کردهاند.
مسابقه فتح پرچم: چالشی برای مهارتهای امنیتی
در کنار برنامه باگ بانتی، گروه اسنپ اولین دوره مسابقات فتح پرچم (CTF) را در تاریخ 3 اسفند 1402 برگزار کرد. این مسابقه با هدف به چالش کشیدن مهارتهای علاقهمندان به حوزه امنیت سایبری و کشف رویکردهای نوآورانه برای حل مسائل امنیتی طراحی شده بود. در این رقابت 680 نفر در قالب 400 تیم شرکت کردند و به مدت 24 ساعت با یکدیگر به رقابت پرداختند. این مسابقه شامل 35 چالش در زمینههای مختلف از جمله وب، مهندسی معکوس، رمزنگاری پیشرفته، جرمشناسی و نفوذ به برنامههای کاربردی بود و در نهایت، از 35 چالش طراحیشده، 26 چالش حل شد و مجموع جوایز این مسابقه 200میلیون تومان بود. این مسابقه نه تنها به شناسایی و تقویت مهارتهای امنیتی کمک کرد، بلکه زمینهساز ارتباطسازی و تبادل دانش بین شرکتکنندگان شد.
تقویت ساختار امنیتی و ترویج فرهنگ امنیت سایبری
اقدامات گروه اسنپ در 1402 نشان میدهد این مجموعه در زمینه امنیت سایبری فعالانه در حال ایجاد تغییر و بهبود روشها و یافتن آسیبپذیریهاست. برنامه باگ بانتی و برگزاری مسابقه فتح پرچم هم علاوه بر کمک به افزایش امنیت سوپراپ اسنپ، با افزایش آگاهی و تاکید بر اهمیت امنیت سایبری، به فرهنگسازی در این زمینه هم کمک کرده است.
با نگاهی به مجموع این اقدامات میتوان گفت مسیر اسنپ در زمینه امنیت سایبری به اقدامات اساسی و پایبندی به پروتکلها محدود نمیشود و فرهنگسازی و ایجاد فرصت برای شناسایی و ساخته شدن شبکههای ارتباطی بین افراد مستعد و علاقمند این حوزه و همکاری با آنها حرکتی است که میتواند در فضای اکوسیستم استارتاپی ایران تاثیرگذار باشد.