سامانه کشف آسیب پذیری سیستمهای فناوری اطلاعات راهاندازی شد
سامانه مسابقات کشف باگ و آسیبپذیری سیستم های فناوری اطلاعات در ایران، با همکاری مرکز ماهر سازمان فناوری اطلاعات و مرکز پژوهشی آپای دانشگاه صنعتی امیرکبیر راهاندازی شد.
به گزارش بازتاب به نقل از مرکز پژوهشی آپای (آگاهیرسانی، پشتیبانی و امداد رخدادهای رایانه ای) دانشگاه صنعتی امیرکبیر، سامانه کلاه سفید در راستای ارتقای امنیت سامانههای فناوری اطلاعات راه اندازی شده است.
یکی از راهکارهای ارتقای امنیت اطلاعات در کسب وکارهای اینترنتی، انجام تستهای امنیتی دورهای و کشف باگها و آسیبپذیریها، پیش از سوءاستفاده از آنها توسط نفوذگران است.
در ایران از زمان پیدایش اینترنت و پس از آن با افزایش فرهنگ امنیت اطلاعات، تستهای امنیتی نیز رواج یافتهاند، اما همواره این موضوع با مشکل عدم کارایی تستها در قبال هزینههای پرداختی روبرو بوده است.
مشکل از آن جا پیدا میشود که پس از انعقاد قرارداد تست امنیتی، به هر صورت درصد زیاد و یا همه هزینه باید در قبال تست پرداخت شود و این درحالی است که ممکن است هیچگونه آسیبپذیری کشف نشود و یا تست مناسبی صورت نگرفته باشد.
ریشه این مشکل را در مسائل مختلفی میتوان جستجو کرد. تستهای امنیتی سنتی توسط یک تیم واحد با دانش محدود انجام میشود و بسیار محتمل است که بسیاری از باگها و نقاط ضعف از چشم این تیم مخفی بماند، یا تیم، وقت کافی برای تست اختصاص ندهد و حتی تیم ارزیابی امنیتی دارای سطح دانش کافی نباشد.
از این رو سامانه کلاه سفید با فهم این چالش و یافتن راهحلی برای آن، ایده برگزاری مسابقات ارزیابی امنیتی را مطرح کرده است که سامانه یا پورتال، در معرض ارزیابی طیف وسیعی از متخصصان قرار داده میشود.
در این سامانه، جهت ارزیابی محصول، پورتال یا سامانه، کافی است به عنوان یک کاربر سازمانی در سایت کلاه سفید به آدرس https://www.kolahsefid.org ثبت نام کرده، جزئیات مسابقه و مبالغ جوایز مشخص شده و مبلغی به عنوان جوایز مسابقه در سایت ودیعه گذاشته شود.
در صورتی که باگی در سامانه مربوطه کشف شود، پس از ارزیابی و تایید آن توسط داوران، مبلغ آن باگ از ودیعه پرداختی کسر و به متخصص پرداخت خواهد شد. در صورتی که سامانه امن باشد، تنها مبلغ جزیی جهت برگزاری مسابقه درنظر گرفته میشود و ودیعه پرداختی قابل عودت یا استفاده برای مسابقات دیگر است.
از سوی دیگر در صورتی که افراد در حوزه ارزیابی امنیتی و کشف باگ وآسیبپذیری متخصص باشند، میتوانند با مراجعه به این سامانه و مشاهده مسابقات فعال، اقدام به کشف باگ وآسیبپذیری کرده و با گزارش آن، جایزه مربوطه را دریافت کنند.
این سامانه دارای مجوز فعالیت رسمی از مرکز افتای ریاست جمهوری است و داوران آن از کارشناسان مرکز پژوهشی آپا دانشگاه صنعتی امیرکبیر (https://apa.aut.ac.ir) هستند.