This is beta version of Ravro English website. Some dynamic texts are in Persian. If you need support, contact with support@ravro.ir.
گزارش تست نفوذ سامانه‌های زیرمجموعه‌ی معاونت علمی و فناوری ریاست جمهوری

گزارش تست نفوذ سامانه‌های زیرمجموعه‌ی معاونت علمی و فناوری ریاست جمهوری

1266

طبق تفاهم‌نامه‌ای که معاونت علمی و فناوری ریاست جمهوری و راورو، در فروردین‌ماه ۱۴۰۰ امضا کرده‌اند، راورو در قالب پروژه‌ی کمپین “سرزمین‌ امن دانش‌بنیان‌ها” به ارائه‌ی خدمت باگ‌بانتی به کسب‌وکارهای دانش‌بنیان، با ۵۰٪ تخفیف پرداخت. در امتداد همان تفاهم‌نامه نیز، معاونت علمی و فناوری ریاست جمهوری، اجرای پروژه‌ی تست نفوذپذیری برای تعدادی از سامانه‌های زیرمجموعه‌ی خود را نیز به تیم متخصصین راورو سپرد.
آن‌چه در این‌بلاگ‌پست می‌خوانید، در شرح پروژه‌ی تست نفوذپذیری ذکرشده است.

آن‌چه در این بلاگ‌پست خواهید خواند:

• امنیت سایبری؛ دغدغه‌ی پراهمیت جهانی

• امنیت سایبری در میان کسب‌وکارهای ایرانی چه جایگاهی دارد؟

• اقدام معاونت علمی و فناوری ریاست جمهوری در راستای ارتقای امنیت سایبری

• شرحی از ارتقای امنیت سامانه‌ها

امنیت سایبری؛ دغدغه‌ی پراهمیت جهانی

مقوله‌ی امنیت سایبری از مفاهیمی است که در دنیای تکنولوژی و کسب‌وکارها، اهمیت قابل‌توجهی را می‌طلبد. مؤسسه PwC هر ساله گزارشی از مدیران ارشد C-Level سازمان‌ها در سطح جهانی ارائه می‌دهد. PwC در بخشی از این گزارش به تهدیدات و مخاطرات سالیان آتی کسب‌وکارها اشاره می‌کند. جالب توجه است که در گزارش سال ۲۰۲۰ در بین تهدیدات بالقوه برای چشم‌انداز رشد سازمان، تهدیدات سایبری مقام چهارم را به خود اختصاص داده‌، اما در سال ۲۰۲۱ به رتبه دوم رسیده‌اند! این تغییر جایگاه و مرتبه، بیان‌گر این نکته‌ی مهم است که کسب‌وکارهای جهانی متوجه این شده‌اند که یکی از نخستین تهدیدهای بقا و رشد کسب‌وکار در جهان این‌روزها، تهدید‌های سایبری هستند و ارتقای امنیت سایبری اقدامات جدی‌ای را می‌طلبد.

هکر

امنیت سایبری در میان کسب‌وکارهای ایرانی چه جایگاهی دارد؟

اما در میان کسب‌وکارهای ایرانی، این نگرانی به رسمیت شمرده می‌شود؟ تجربه‌ نشان می‌دهد که برخی از کسب‌وکارها، نیازی به "امنیت سایبری" را به‌درستی نمی‌شناسند و ارزش شایسته‌ای برای آن قائل نمی‌شوند. برخی نیز، این نیاز را می‌شناسند، اما بیان می‌کنند که در میان اولویت‌های موجود در لیست بودجه‌بندی خود جایی برای بودجه‌ی امنیت خالی نمی‌ماند. گفتنی‌ست که برخی کسب‌وکارها نیز به‌خوبی از اهمیت آن آگاهند و به‌تناسب مقیاس کسب‌وکار خود به اقدام امنیتی می‌پردازند.

اقدام معاونت علمی و فناوری ریاست جمهوری در راستای ارتقای امنیت سایبری

معاونت علمی و فناوری ریاست جمهوری نیز امنیت سایبری، این دغدغه‌ی پراهمیت جهانی، را به رسمیت شناخته و درصدد همراهی و پشتیبانی مالی از شرکت‌های دانش‌بنیان و سامانه‌های زیرمجموعه‌ی خود در راستای ارتقای امنیت سایبری برآمده است. در این راستا، به کسب‌وکار نوپای راورو که متشکل از جمعی از هکرهای کلاه‌سفید است، اعتماد کرده و اجرای اقداماتی را به این استارتاپ حوزه‌ی امنیت سپرده است. طبق تفاهم‌نامه‌ای که معاونت علمی و فناوری ریاست جمهوری و راورو، در فروردین‌ماه ۱۴۰۰ امضا کردا‌ند، راورو در قالب پروژه‌ی کمپین “سرزمین‌ امن دانش‌بنیان‌ها” به ارائه‌ی خدمت باگ‌بانتی به کسب‌وکارهای دانش‌بنیان، با ۵۰٪ تخفیف پرداخت. در امتداد همان تفاهم‌نامه نیز، معاونت علمی و فناوری ریاست جمهوری، اجرای پروژه‌ی تست نفوذپذیری برای تعدادی از سامانه‌های زیرمجموعه‌ی خود را نیز به تیم متخصصین راورو سپرد.

شرحی از ارتقای امنیت سامانه‌ها

طی پروژه‌ی تست نفوذ واگذارشده، تیم متخصصین راورو به تست نفوذپذیری ۲۲ سامانه‌ی زیرمجموعه‌ی معاونت علمی و فناوری به شیوه‌ی جعبه‌ی سیاه پرداختند. در این فرآیند تیم راورو به آنالیز و شناسایی وب‌سرویس‌ها، تکنولوژی نرم‌افزاری به‌کاررفته در سرورها، بررسی پورت‌ها، بررسی گواهینامه‌های امنیتی اخذشده و راهکارهای حفاظتی به‌کاررفته و … پرداختند و راهکارها و سیاست‌های امنیتی‌ پیشنهادی خود را نیز ارائه کردند. در نتیجه‌ی این پروژه ۷۲ آسیب پذیریی بالا و حیاتی و ۱۵ آسیب‌ پذیری متوسط کشف و گزارش شده‌اند. بهبود روند بررسی و کنترل تمامی ورودی‌های کاربر در سطح کلی برنامه‌ها، یکی از نیازهای امنیتی این سامانه‌ها بود.

تعداد آسیب‌پذیری‌های حیاتی و متوسط هر سامانه:

راورو آسیب پذیری باگ

میزان حساسیت کلیه‌ی آسیب‌پذیری‌های کشف‌شده:

باگ هکر امنیت

احسان عدالت، کارشناس و مشاور امنیت سایبری معاونت علم و فناوری ریاست جمهوری، در گفت‌وگوی خود با راورو، درباره‌ی هدف شکل‌گیری این هم‌کاری چنین گفته است: " به‌طور کلی قصد ما این بود که سازمان‌های بیش‌تری به امنیت سایبری اهمیت بدهند و با پلتفرم‌های باگ بانتی به‌عنوان کسب‌وکاری در این حوزه آشنا شوند. هکرهای بیش‌تری نیز با پلتفرم‌های باگ بانتی آشنا شوند و در حوزه‌ی هک قانون‌مند فعالیت و کسب درآمد کنند. هم‌چنین درصدد این بودیم که در رشد پلتفرم‌های باگ بانتی و رسیدنشان به نقطه‌ی پایدار همراهیشان کنیم. "

احسان عدالت در همان مصاحبه راجع به وضعیت امنیت سایبری کسب‌وکارها و سازمان‌های کشور گفته بود:

" من در سال‌های تجربه‌ام در حوزه‌ی امنیت سایبری، با شرکت های مختلف خصوصی و دولتی سروکار داشته‌ام. به‌طور ملموسی متوجه تفاوت فرهنگ‌های سازمانی شده‌ام. در ایران مقوله‌ی امنیت سایبری نسبت به سال های قبل رشد قابل‌توجهی کرده است. آگاهی نسبت به اهمیت بحث امنیت سایبری روزبه‌روز درحال افزایش است. نقطه‌ای که درحال‌حاضر از نظر وضعیت امنیت سایبری در آن قرار داریم، نقطه‌ی مطلوبی نیست. اتفاق‌هایی که اخیرا اتفاق افتاده‌اند، نشان‌دهنده‌ی این وضعیت هستند. اتفاق‌هایی مانند؛ حمله به ابرآروان، حمله به پمپ بنزین‌ها و ... . همه‌ی این‌ها نشان می‌دهند که ما هنوز به نقطه‌ی مطلوبی در امنیت سایبری نرسیده‌ایم. لازم است که آگاهی در خصوص امنیت سایبری بیش‌تر شود؛ مخصوصا در لایه‌ی مدیریتی. چون در بسیاری از مواقع، نقص‌های موجود ریشه در عدم آگاهی مدیران دارند. مدیرانی که نمی‌دانند که این قضیه چقدر اهمیت دارد. هم در سطح دولتی، هم در سطح جامعه نیاز به ارتقای آگاهی و افزایش اقدام‌های لازم در زمینه‌ی امنیت سایبری وجود دارد. "

رامین فرج‌پور، برنامه‌نویس و محقّق امنیتی و عضوی از تیم اجرایی پروژه:

" من، به‌عنوان کسی که در حوزه‌ی امنیت کار می‌کنم، برایم خوش‌حال‌کننده بود که یک نهاد دولتی مثل معاونت علمی و فناوری ریاست جمهوری، به ارتقای امنیت سایبری اهمیت می‌دهد و در جهت آن گام برمی‌دارد. به‌نظرم در شرایطی که بسیاری از کسب‌وکارها امنیت سایبری را به درستی درک نمی‌کنند و اقدام‌های لازم را انجام نمی‌دهند، این کار به فرهنگ‌سازی درجهت مهم‌ شمردن مقوله‌ی امنیت سایبری در کشور، کمک می‌کند. این‌که در این گام‌ها، به کسب‌وکارهای نوپا، مثل راورو و هکرهای کلاه‌سفید اعتماد می‌کنند، هم در راستای به رسمیت‌شناختن فعالیت قانون‌مند هکرهای کلاه‌سفید، خوش‌حال‌کننده است و باز هم به فرهنگ‌سازی کمک می‌کند. "

بلاگ‌پست‌های مرتبط:

تفاهم‌نامه‌ی راورو و تریگ آپ

اهدا‌ی ‌جایزه نگاه پلتفرمی به استارت‌آپ راورو در ششمین الکام استارز

راورو در شماره‌ی ۲۰۲ شنبه

راورو در خبرنامه‌ی شماره‌‌ی ۳۴ پادیوم