نگاهی به بخش امنیت سایبری در گزارش عملکرد گروه اسنپ در سال ۱۴۰۲

به گزارش فوربز، در سال ۲۰۲۳ اطلاعات شخصی بیش از ۳۵۳ میلیون نفر در سراسر دنیا افشا شده است و تعداد حملات سایبری، نسبت به سال ۲۰۲۱، ۷۲ درصد رشد کرده است.

این آمار به‌خوبی نشان می‌دهد که خطر حملات سایبری و افشای اطلاعات شخصی افراد در اینترنت به بحرانی جهانی تبدیل شده و می‌توان پیش‌بینی کرد که در سال‌های آینده نیز این روند صعودی خواهد بود. برای مقابله با این تهدید هم افراد هم سازمان‌ها باید آمادگی‌های لازم را داشته باشند؛ افراد با یادگیری روش‌های مختلف برای محافظت از اطلاعات شخصی‌شان و سازمان‌ها و شرکت‌ها با ایجاد سدهای دفاعی قوی و رعایت پروتکل‌های امنیتی برای حفاظت از اطلاعات کاربران و مشتری‌هایشان می‌توانند از آسیب‌های احتمالی حملات سایبری و درز اطلاعات جلوگیری کنند.

پس از هک شدن بخشی از اطلاعات اسنپ‌فود در زمستان ۱۴۰۲، گروه اسنپ اقدامات گسترده‌ای را برای ارتقای امنیت سایبری‌اش آغاز کرد که در گزارش عملکرد ۱۴۰۲ این مجموعه که به‌تازگی منتشر شده، بازتاب داشته است. براساس گزارش عملکرد گروه اسنپ، ۲۵ متخصص امنیت سایبری در گروه اسنپ مسئولیت محافظت از داده‌های کاربران را برعهده دارند. حفظ محرمانگی، دسترس‌پذیری و صحت‌سنجی سامانه‌های اطلاعاتی، سرویس‌ها و داده‌های شرکت‌های زیرمجموعه از مسئولیت‌های اصلی این تیم است. علاوه‌براین، اقداماتی مانند افزایش جوایز برنامه‌ باگ‌ بانتی و برگزاری اولین دوره‌ مسابقات فتح پرچم (CTF) نیز در ۱۴۰۲ انجام شده است. در ادامه، نگاهی به بخش امنیت سایبری گزارش عملکرد گروه اسنپ در ۱۴۰۲ می‌اندازیم.

اقدامات اسنپ در راستای حفاظت از داده‌ها

در گزارش امنیت سایبری گروه اسنپ اشاره شده است که این مجموعه داده‌های حساس کاربرانش، شامل اطلاعات فردی (PII)، را با بهره‌گیری از روش‌ها و استانداردهای امنیتی کامل رمزنگاری و محافظت می‌کند و با شناسایی دقیق داده‌های حساس، آن‌ها را از سایر اطلاعات تفکیک و با درجه امنیتی بالا ذخیره‌ می‌کند. همچنین در این گزارش توجه ویژه و نظارت مستمر گروه اسنپ بر نحوه‌ دسترسی و استفاده کاربران و کارکنان از داده‌ها اشاره شده که از نشت اطلاعات و سوءاستفاده از آن‌ها جلوگیری می‌کند. بر همین مبنا، گروه اسنپ دسترسی مستقیم و دائمی همکاران به پایگاه‌های داده حاوی اطلاعات حساس را ممنوع کرده است و از روش‌های جایگزین امن برای دسترسی به این داده‌ها استفاده می‌کند.

در کنار این اقدامات، گروه اسنپ آموزش همکاران در زمینه خطرات سایبری، مهندسی اجتماعی و فیشینگ را هم به‌صورت متمرکزتر در ۱۴۰۲ در پیش گرفته و با تولید محتوا در این زمینه‌ها کارکنان را در برابر این تهدیدها آگاه‌تر کرده است.

امکان حذف حساب کاربری در اسنپ

یکی از مهم‌ترین امکان‌هایی که هر اپلیکیشنی برای حفظ حریم خصوصی کاربران باید در اختیار آن‌ها قرار دهد، امکان حذف حساب کاربری است. از سال ۱۴۰۲، اسنپ‌خودرو، اسنپ‌دکتر، اسنپ‌شاپ و اسنپ‌باکس امکان حذف حساب کاربری را فراهم کرده‌اند. همچنین اسنپ‌دکتر اعلام کرده است که داده‌های پزشکی کاربران را پس از ۲۴ ساعت حذف می‌کند. همچنین در این گزارش، آمده است به‌زودی تمام زیرمجموعه‌های گروه اسنپ امکان حذف حساب کاربری را برای کاربران خود فراهم می‌کنند.

امنیت اطلاعات

سال ۱۴۰۲، گروه اسنپ با استفاده از تکنیک‌های پیشرفته رمزنگاری، ماسک‌کردن و درهم‌ریزی امنیت داده کاربرانش را بالاتر برده است. این تکنیک‌ها با هدف حفظ محرمانگی اطلاعات کاربران و جلوگیری از دسترسی غیرمجاز به داده‌های حساس استفاده شده‌اند. با اجرای این روش‌ها، این مجموعه موفق شده لایه امنیتی قوی برای حفاظت از اطلاعات کاربران ایجاد کند.

تعیین سیاست مدت نگهداری اطلاعات

گروه اسنپ با تعیین سیاست‌های دقیق برای مدت نگهداری اطلاعات، گام مهمی در راه مدیریت بهینه داده‌ها و افزایش امنیت برداشته است. این سیاست‌ها شامل تعیین دوره‌های زمانی مشخص برای نگهداری داده‌های کاربران و حذف امن آن‌ها پس از اتمام دوره نگهداری است. این اقدام برای کاهش ریسک‌های ذخیره‌سازی طولانی‌مدت داده‌ها و حفاظت از حریم خصوصی کاربران انجام شده است.

ایمن‌سازی زیرساخت‌های فناوری اطلاعات بر اساس روش‌های معتبر

ایمن‌سازی زیرساخت‌های فناوری اطلاعات از اولویت‌های گروه اسنپ بوده و سال ۱۴۰۲ با بهره‌گیری از روش‌های معتبر و استانداردهای بین‌المللی، اقدامات گسترده‌ای در این زمینه انجام داده است. ازجمله این اقدامات می‌توان به پیاده‌سازی سیستم‌های پیشرفته تشخیص نفوذ، به‌روزرسانی مداوم نرم‌افزارها و سخت‌افزارهای امنیتی همچنین آموزش مداوم کارکنان در زمینه امنیت اطلاعات اشاره کرد.

ذخیره‌ امن داده‌ها در چرخه‌ توسعه‌ نرم‌افزار

گروه اسنپ سال گذشته با‌توجه‌به اهمیت امنیت در چرخه توسعه نرم‌افزار، به دو سیاست کلی رمزنگاری در سطح برنامه کاربردی (Application Level Encryption) و رمزنگاری در سطح پایگاه داده (Database Level Encryption) روی آورده است. این سیاست‌ها با هدف حفظ حریم خصوصی کاربران و اطمینان از امنیت داده‌ها در تمامی مراحل توسعه و بهره‌برداری از نرم‌افزار پیاده‌ شده‌اند.

با استفاده از رمزنگاری در سطح برنامه کاربردی، داده‌ها از همان لحظه ورود به سیستم به‌صورت رمزنگاری‌شده ذخیره می‌شوند که این کار از دسترسی غیرمجاز به اطلاعات حساس جلوگیری می‌کند. همچنین با بهره‌گیری از رمزنگاری در سطح پایگاه داده، تمامی داده‌های ذخیره‌شده به‌صورت امن و رمزنگاری‌شده نگهداری می‌شوند که به حفاظت از اطلاعات کاربران در برابر تهدیدات مختلف کمک می‌کند.

همچنین تیم امنیت سایبری سوپراپ اسنپ با استفاده از چارچوب رادار (RADAR) توانسته امنیت نرم‌افزار خود را به‌طور مؤثری پیاده‌ کند. تا پایان سال ۱۴۰۲، مطابق گزارش عملکرد گروه اسنپ، ۱۵۱ محصول و ۳۶ گروه تحت پوشش رادار قرار دارند. رادار از ابزارهای مختلفی مانند SAST، SCA، SBOM، تشخیص رمزهای عبور و اسکن زیرساخت‌ها استفاده می‌کند و این ترکیب ابزارها و تکنیک‌ها باعث می‌شود نقاط ضعف امنیتی در مراحل مختلف توسعه نرم‌افزار شناسایی و رفع شوند.

باگ‌ بانتی با جایزه ۱۵۰ میلیونی

گروه اسنپ برنامه‌ باگ‌ بانتی را از اواخر ۱۳۹۸ راه‌اندازی کرد و سال ۱۴۰۲ با افزایش رقم جوایز تلاش کرد بر اهمیت گسترش و پویا بودن برنامه‌ باگ‌ بانتی تأکید کند. در این برنامه، برای کشف آسیب‌پذیری‌های حیاتی، پاداش ۱۵۰ میلیون تومانی تعیین شده است. این برنامه به 4 سطح از متوسط تا حیاتی تقسیم‌بندی شده است و شکارچیان می‌توانند با شناسایی و گزارش آسیب‌پذیری‌ها، این پاداش‌ها را از آن خود کنند. این نمودار رشد گزارش‌های معتبر باگ‌ بانتی اسنپ را از ۱۳۹۸ تا ۱۴۰۲ نشان می‌دهد.

برنامه‌ باگ‌ بانتی گروه اسنپ توانسته طی سال‌های اخیر بخشی از آسیب‌پذیری‌های امنیتی را شناسایی و برطرف کند. این برنامه با مشارکت جامعه‌ امنیتی و توسعه‌دهندگان، به شناسایی نقاط ضعف امنیتی و بهبود ساختار امنیتی محصولات اسنپ کمک شایانی کرده است. طبق این گزارش، در سال ۱۴۰۲، شکارچیان از طریق برنامه‌ باگ بانتی ۳۳ باگ امنیتی را به تیم امنیت سایبری گروه اسنپ گزارش کرده‌اند و برای این گزارش‌ها پاداش گرفته‌اند.

مسابقه فتح پرچم: چالشی برای مهارت‌های امنیتی

در کنار برنامه‌ باگ‌ بانتی، گروه اسنپ ۳ اسفند ۱۴۰۲، اولین دوره‌ مسابقات فتح پرچم (CTF) را برگزار کرد. این مسابقه با هدف به چالش کشیدن مهارت‌های علاقه‌مندان به حوزه امنیت سایبری و کشف رویکردهای نوآورانه برای حل مسائل امنیتی طراحی شده بود. در این رقابت، ۶۸۰ نفر در قالب ۴۰۰ تیم شرکت کردند و ۲۴ ساعت با یکدیگر رقابت کردند. این مسابقه شامل ۳۵ چالش در زمینه‌های مختلف ازجمله وب، مهندسی معکوس، رمزنگاری پیشرفته، جرم‌شناسی و نفوذ به برنامه‌های کاربردی بود و درنهایت، از ۳۵ چالش طراحی‌شده، ۲۶ چالش حل شد و مجموع جوایز این مسابقه ۲۰۰میلیون تومان بود. این مسابقه نه‌تنها به شناسایی و تقویت مهارت‌های امنیتی کمک کرد، بلکه زمینه‌ساز ارتباط‌‌سازی و تبادل دانش بین شرکت‌کنندگان شد.

تقویت ساختار امنیتی و ترویج فرهنگ امنیت سایبری

اقدامات گروه اسنپ در ۱۴۰۲ نشان می‌دهد این مجموعه در زمینه‌ امنیت سایبری فعالانه درحال ایجاد تغییر و بهبود روش‌ها و یافتن آسیب‌پذیری‌هاست. برنامه‌ باگ‌ بانتی و برگزاری مسابقه فتح پرچم نیز علاوه‌بر کمک به افزایش امنیت سوپراپ اسنپ، با افزایش آگاهی و تأکید بر اهمیت امنیت سایبری، به فرهنگ‌سازی در این زمینه هم کمک کرده است. با نگاهی به مجموع این اقدامات می‌توان گفت مسیر اسنپ در زمینه امنیت سایبری به اقدامات اساسی و پایبندی به پروتکل‌ها محدود نمی‌شود و فرهنگ‌سازی و ایجاد فرصت برای شناسایی و ساخته شدن شبکه‌های ارتباطی بین افراد مستعد و علاقه‌مند این حوزه و همکاری با آن‌ها حرکتی است که می‌تواند در فضای اکوسیستم استارتاپی ایران تأثیرگذار باشد.