BugHunters Companies Targets Bug Reports Blog About
فا
BugHuntersCompaniesTargetsBug ReportsAbout
فاLogin Sign Up
This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
شکارچیان آسیب پذیری، از امنیت سایبری برای کسب‌‌وکارها می‌گویند

شکارچیان آسیب پذیری، از امنیت سایبری برای کسب‌‌وکارها می‌گویند

21

این بلاگ‌پست شامل تجمیع و برداشتی هدفمند از محتوای گپ‌و‌گفت‌هایی با متخصصین تست نفوذ است که قبلا در بلاگ راورو منتشر کرده‌ایم. در گپ‌وگفت‌های قبلی پرسش‌های مشترک و مشابهی را از افراد متفاوت پرسیده بودیم و هر یک از افراد از دیدگاه خود، پاسخ‌هایی منحصربه‌فرد و متفاوت به این سوال‌ها داده‌اند. این‌طور فکر می‌کنیم که جمع‌بندی و درکنارهم قراردادن پاسخ‌هایی به هریک از این پرسش‌ها داده شده، در یک متن جدید می‎‌تواند ارزش‌مند و دارای پیامی جدید باشد. پاسخ‌هایی که شامل نکاتی هستند که در زمینه‌ی امنیت سایبری و امن‌ترشدن می‌توانند به کار کسب‌وکارها بیایند.

آن‌چه در این بلاگ‌پست خواهید خواند:

براساس تجربه‌‌های بررسی سامانه‌ی کسب‌وکارها

دقیق‌تر امنیت و الزاماتش را بشناسید

از همان اوایل کار، برروی امنیت سرمایه‌گذاری کنید

متناسب با کسب‌وکار برای امنیت فکری کنید

نیروی مرتبط و متخصص را به کار بگیرید

آپدیت باشید

تا حد ممکن کدنویسی امن را جدی بگیرید

آسیب‌پذیری‌ها را رفع کنید

از دیتا غافل نشوید

در این بلاگ‌پست گفته‌هایی از 7 شکارچی آسیب پذیری و متخصص تست نفوذ را خواهید خواند که مشاهدات خود از کسب‌وکارها و تجربیات خود از بررسی سامانه‌ی کسب‌وکارها را به اشتراک گذاشته‌اند و راجع به امنیت سایبری برای کسب‌وکارها گفته‌اند.

گفته‌هایی از:

امید شجاعی، پیمان زینتی، محمدصالح مهری، عرفان توکلی، امید شجاعی، بهراد رضایی و زهرا

داخل پرانتز: ترتیب ارائه‌ی پاسخ‌های افراد در متن، مطابق با ترتیب گپ‌وگفت‌های منتشرشده با آن‌ها در بلاگ راوروست.

براساس تجربه‌‌های بررسی سامانه‌ی کسب‌وکارها

ما از شکارچیان آسیب پذیری و متخصصین تست نفوذ، که هر یک تجربه‌ی تست نفوذ، باگ بانتی و ... را داشتند، پرسیدیم:

در تجربیات خود، شاهد چه نکات امنیتی رعایت‌نشده‌ای در سمت کسب‌وکارها بوده‌اید؟

جای چه مواردی را در نگاه کسب‌وکارها نسبت به امنیت سایبری خالی می‌بینید؟

دوست دارید چه نکات مرتبطی را در این باره با کسب‌وکارها درمیان بگذارید؟

شکارچیان آسیب پذیری، هر یک به انتخاب خود، به نکات و موارد متفاوتی اشاره کرده‌اند. پس از جمع‌آوری پاسخ‌های جداگانه‌ی افراد، ما به دنبال نقاط مشترک و متفاوت گشتیم و به دسته‌بندی موارد اشاره‌شده پرداختیم.

دقیق‌تر امنیت و الزاماتش را بشناسید

امید شجاعی:

یک مورد که به نظر من وجود دارد به این نکته مرتبط است که طبیعتا امنیت لایه‌به‌لایه است و ما باید در هر لایه و در هر بخش امنیت را رعایت کنیم. برای هر بخش استانداردهای مختلفی وجود دارد؛ چه در شبکه چه در لایه داخلی شبکه. مثلا؛ سازمانی را می‌بینیم که چند سامانه‌اش را روی شبکه‌ی اینترنت و در دسترس قرار داده است. که سامانه‌هایشان امن است. ولی متاسفانه شبکه در داخل سازمان فلت است، بدون هیچ کنترل دسترسی‌ و هیچ چیزی. خب اگر اتفاقی بیفتد و دسترسی‌ای از داخل سازمان گرفته شود، می‌تواند در روند کار آن سازمان و امنیت اطلاعات تاثیرگذار باشد.

یک مورد دیگر هم به سیستم‌های تشخیص مربوط می‌شود. در حال حاضر SOCها ( سیستم های تشخیص تهدید) در این بخش فعال هستند و فعالیت می‌کنند. به نظر من این بخش جای بزرگ‌ترشدن، فعالیت و پیشرفت بیشتری دارد.

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با امید شجاعی

پیمان زینتی:

این نکته راجع به راهکارهای امنیتی به ذهنم می‌آید که هر کدام به یک شکل خاص و ابعاد خاصی را پوشش می‌دهند. لازم است کسب‌وکارها به این نکته توجه کنند. تست نفوذ نیاز است، باگ بانتی هم نیاز است. آن بغل Red Team هم نیاز است که باشد. هر کدام از این‌ها، اصطلاحا " یک جای کار را می‌گیرند". همه‌شان درکنارهم، لازم و معنادار هستند. مثلا در Red Team بعد انسانی هم چک می‌شود، به مهندسی اجتماعی هم پرداخته می‌شود. همیشه که فقط موارد فنی مهم نیستند، ابعاد انسانی هم مهم هستند. در تست نفوذ و باگ بانتی این موارد پوشش داده نمی‌شوند و بیشتر به موارد فنی پرداخته می‌شود که آن‌ها هم مهم هستند. تست نفوذ و باگ بانتی هم باهم تفاوت‌هایی دارند. متخصص تست نفوذی که تست نفوذ را انجام می‌دهد، آن را به چشم یک روال کاری و وظیفه می‌بیند و به‌طور معمولی انجامش می‌دهد. ولی کسی که به شکار آسیب پذیری می‌پردازد، حتی بر سر آن حداقل آورده‌ی مالی‌اش هم که شده، جان و دل بیشتری برای کار می‌گذارد.

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ و امنیت سایبری؛ با پیمان زینتی

از همان اوایل کار، برروی امنیت سرمایه‌گذاری کنید

محمدصالح مهری:

همان‌طور که امنیت سایبری برای کسب‌وکارها مهم است، لازم است از نظر مالی هم برایش هزینه کنند. اکثر شرکت‌ها تا وقتی کسب‌وکارشان کوچک است، کمتر دغدغه‌ی امنیتش را دارند. این شرکت‌ها، زمانی که کسب‌وکارشان وسعت پیدا می‌کند، ناگهان به دنبال این می‌روند که باید برای امنیت سایبری چه کنند. خب، خشت اول چون نهد معمار کج، تا ثریا می‌رود دیوار کج! هنگامی که از همان اول کار، امنیت را جدی بگیرند، اوضاع متفاوت پیش می‌رود. می‌توانند به همان میزان که کسب‌وکارشان گسترده‌تر می‌شود، روی امنیتشان هم کار کنند. وقتی بحث امنیت را جدی می‌گیرید و در هر قدم جلو می‌برید، خیالتان راحت می‌شود که امنیت پا‌به‌پای توسعه‌ی نرم‌افزار پیش می‌رود. در این حالت، وقتی کسب‌وکار بزرگ‌تر شد، دیگر مثل حالت قبل جای نگرانی زیادی ندارد.

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با محمدصالح مهری

متناسب با کسب‌وکار برای امنیت فکری کنید

عرفان توکلی:

دغدغه‌ی امنیت را داشتن، خیلی مهم است! البته به business و کسب و کار هم بستگی دارد؛ باتوجه به کاربرد سایت و مقدار و نوع دیتایی که قرار است از افراد در آن ذخیره شود. به طور مثال؛ در تجربه‌ی من یک پروژه‌ی دولتی بود. اطلاعات بسیاری از مردم در میان بود. امنیت سایبری برای آن کسب‌وکار به شدت اهمیت داشت. از آن طرف، پروژه‌های دیگری هم هستند. مثلا؛ نوبت‌دهی آرایشگاه و این چیزهای ساده. خب اهمیت و دغدغه‌ی امنیت در این کسب‌وکار، خیلی کمتر بود. امن‌بودن در این‌جا خیلی ملاک و مدنظر قرار نمی‌گیرد. البته که باز هم اهمیت خودش را دارد و کاملا بی‌اهمیت نیست. ولی خب ددلاین‌ها و سریع‌تر پیش‌رفتن کارها در اولویت بیشتری قرار می‌گیرند.

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با عرفان توکلی

نیروی مرتبط و متخصص را به کار بگیرید

امید شجاعی:

مورد دیگر این است که لازم است در زمینه‌ی امنیت سایبری، نیروی متخصص آن کار را در سازمان به کار بگیرند؛ نیروی متخصصی که تجربه و دانش مرتبط دارد و در همان زمینه مطالعه و کار کرده است. نه این که صرفا نیرویی از بخش آی‌تی را به عنوان نیروی امنیت assign کنند تا به این کار بپردازد.

آپدیت باشید

بهراد رضایی:

در بسیاری از کسب‌وکارها شاهد استفاده از ورژن قبلی کتابخانه‌ها و آپدیت‌نکردن مکانیزم‌های امنیتی مورداستفاده بوده‌ام. همچنین دیده‌ام که بلک‌لیست‌هایی که اضافه می‌کنند، دقت لازم را ندارد و دقیق نیست. همه‌ی این موارد به نوعی به کدنویسی امن و آپدیت نگه‌داشتن سرور مربوط می‌شوند.

به طور روزانه آسیب‌پذیری‌های جدیدی مربوط به سرویس‌هایی که کسب‌وکارها از شرکت‌های دیگر می‌گیرند، منتشر می‌شوند. اگر کسب‌وکارها به آپدیت توجه نکنند، با آسیب پذیری Zero Day ای که (در نسخه‌ی قبلی مورداستفاده‌ی آن‌ها وجود داشته است) می‌توانند مورد هک قرار بگیرند. مثلا ما موقعی که داریم با دوستانمان سامانه‌ی یک کسب‌وکار را تست می‌کنیم، می گوییم:" Zero Dayهایی که قبلا برای این سرویس‌ آمده را هم چک کنیم." چون طبق تجربه‌ای که داشته‌ایم، شاهد این بوده‌ایم که برخی از کسب‌وکارها آپدیت را انجام نمی‌دهند.

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با بهراد رضایی

تا حد ممکن کدنویسی امن را جدی بگیرید

بهراد رضایی:

در کدنویسی بسیاری از سامانه‌ها، نکات کدنویسی امن رعایت نشده است. نمی‌دانم. ممکن است به علت هزینه باشد که برنامه‌نویس با مهارت کدنویسی امن استخدام نمی‌کنند. یا ممکن است برنامه‌نویس از دستش در برود. اتفاقی ست که پیش می‌آید. کسی مقصر نیست. برنامه‌نویسی واقعا کار خیلی پیچیده‌ای است، مخصوصا برای وب‌سایت‌های خیلی بزرگ.

عرفان توکلی:

من در ایران، حقیقتا خیلی کم دغدغه‌ی کدنویسی امن را جدی می‌بینم! به خاطر این‌که من خودم هم مدیر پروژه بوده‌ام، دیده‌ام که از لحاظ فشارهای کاری و ددلاین و این داستان‌هایی که وجود دارند، خیلی روی کدنویسی امن و Secure Coding مانور نمی‌دهیم. در تجربه‌ی ما که این طور بود. (با توجه به مشاهداتم) فکر می‌کنم که شرکت‌های دیگر هم حقیقتا چندان اهمیتی نمی‌دهند. دلیلش هم بیشتر به خاطر همین فشارهای کاری و ددلاین است.

به طور مثال؛ در یک پروژه‌ای که ما داشتیم این‌طور بود که ما می‌دیدیم که مشکل وجود دارد. ولی به خاطر ددلاین نمی‌توانستیم وقت زیادی بگذاریم و می‌گفتیم : " اوکی، حالا این را Push می‌کنیم، پیش می‌بریم و روی پروداکشن، بالا می‌آوریم و حالا بعدا درستش می‌کنیم." این "بعدا" هم حقیقتا دیگر هیچ‌وقت نمی‌آمد و باعث می‌شد که این مشکل باقی بماند و بزرگ‌تر شود. درواقع اگر از همان Base ، کار را بد بسازیم ، به مرور زمان باید برای ارتقای امنیت هزینه‌های جانبی فراوانی کنیم.

آسیب‌پذیری‌ها را رفع کنید

بهراد رضایی:

در تست نفوذها ها شاهد این بوده‌ام که برخی آسیب پذیری های با سطح خطر low در اکثر وب‌سایت‌هایی که تست کرده‌ایم، وجود داشته‌اند. اما کسب‌وکارها اصلا توجهی به این آسیب پذیری ها نمی‌کنند و اهمیتی نمی‌دهند. در حالی که همان آسیب پذیری با سطح خطر پایین، ممکن است باعث یک اکسپلویت شدیدتر شود. به همین دلیل بهتر است که کسب‌وکارها به این آسیب پذیری ها هم توجه کنند و آن‌ها را جدی بگیرند.

از دیتا غافل نشوید

زهرا:

ما در تست نفوذ سازمان‌ها چندین بار شاهد این مورد بوده‌ایم که توانسته‌ایم با جست‌وجویی در اینترنت به اطلاعاتی از مسئولین کسب‌وکار برسیم. چند باری پیش آمده که با تست اطلاعات افراد به‌عنوان رمزعبورشان، توانسته‌ایم وارد اکانت شویم و دسترسی‌هایی پیدا کنیم. اکثر کسب‌وکارهای بزرگ، اطلاعات اعضایشان به راحتی در اینترنت پیدا می‌شود و در دسترس است. خود سایت رسمیو منبعی برای این کار است. من فکر می‌کنم لازم است به این نکات خیلی توجه شود. نیاز است سازمان‌ها، آموزش بیشتری در زمینه‌ی رفتارهای امن داشته باشند و برای کارکنانشان هم آگاهی‌رسانی کنند. افراد باید بدانند که ممکن است چه سوءاستفاده‌هایی از دیتایشان صورت بگیرد. لازم است از دیتایشان مراقبت کنند و خصوص در انتخاب رمزعبور بیشتر دقت کنند.

من شاهد این بوده‌ام که در بسیاری از سایت‌های دانشگاه‌ها، سیستم های اتوماسیون اداری و ... افراد از کد ملی، شماره موبایل یا موارد دیگر به‌عنوان رمزعبور استفاده می‌کنند. از آن طرف هم این اطلاعات به‌راحتی در اینترنت یافت می‌شوند. ما با کمک این سری اطلاعات، آسیب پذیری Account Take over هم ثبت کرده‌ایم.

پیشنهاد خواندنی: تجربیات و نکات تست نفوذ؛ با زهرا

سخن آخر:

در این بلاگ پست دیدگاه 7 شکارچی آسیب پذیری و متخصص تست نفوذ را در مورد امنیت سایبری برای کسب‌وکارها، شنیدیم.

نظر شما چیست؟

در تجربیات خود، شاهد چه نکات امنیتی رعایت‌نشده‌ای در سمت کسب‌وکارها بوده‌اید؟

بلاگ‌پست‌های مرتبط:

12 نکته‌ی مهم و ساده برای ایمن‌سازی حداقلی کسب‌وکار

5 هزینه پنهان یک حمله سایبری

رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم.

نکاتی درباره تست نفوذ که کسب‌وکارها معمولا به آن‌ها توجه نمی‌کنند

Ravro

"Ravro" is a Kurdish word that means professional hunter.
We, in Ravro, try to provide the best cybersecurity solutions for businesses in order to decrease their cybersecurity challenges especially weaknesses. Ravro tries to make communication between BugHunters & Businesses easier for a safer future.

Subscription

To receive latest Ravro's newsletter

Links
BugHunter
Company
Be Secure ;)© All Rights Reserved.