نگاهی به امنیت سایبری اسنپ در سال 1402; اسنپ ​​در زمینه حفاظت از داده ها چه کرد؟

بر اساس گزارش فوربس، در سال 2023 اطلاعات شخصی بیش از 353 میلیون نفر در سراسر جهان فاش شده است و تعداد حملات سایبری نسبت به سال 2021 72 درصد افزایش یافته است. این آمار به وضوح نشان می دهد که خطر حملات سایبری و افشای اطلاعات شخصی در اینترنت به یک بحران جهانی تبدیل شده است و می توان پیش بینی کرد که این روند در سال های آینده همچنان رو به افزایش باشد. برای مقابله با این تهدید، هم افراد و هم سازمان ها باید آمادگی های لازم را داشته باشند. افراد و سازمان ها با یادگیری روش های مختلف حفاظت از اطلاعات شخصی خود می توانند با ایجاد موانع دفاعی قوی و رعایت پروتکل های امنیتی برای حفاظت از اطلاعات کاربران و مشتریان خود از آسیب های احتمالی حملات سایبری و نشت اطلاعات جلوگیری کنند.

پس از هک شدن بخشی از اطلاعات اسنپ فود در زمستان 1402، گروه اسنپ اقدامات گسترده ای را برای بهبود امنیت سایبری خود آغاز کرد که در گزارش عملکرد 1402 اخیراً منتشر شده این گروه منعکس شد. بر اساس گزارش عملکرد گروه اسنپ، 25 کارشناس امنیت سایبری در گروه اسنپ وظیفه حفاظت از اطلاعات کاربران را بر عهده دارند. حفظ محرمانه بودن، دسترسی و اعتبارسنجی سیستم های اطلاعاتی، خدمات و داده های شرکت های زیرمجموعه از وظایف اصلی این تیم بوده و در کنار آن اقداماتی از جمله افزایش جوایز برنامه Bug Bunty انجام شده است. و برگزاری اولین دوره مسابقات Conquest of the Flag (CTF) در سال 1402. در ادامه نگاهی خواهیم داشت به قسمت امنیت سایبری گزارش عملکرد گروه اسنپ در سال 1402.

در گزارش امنیت سایبری گروه اسنپ آمده است که با استفاده از روش ها و استانداردهای امنیتی، داده های حساس کاربران خود که شامل اطلاعات شخصی (PII) است را به طور کامل رمزگذاری و محافظت می کند و با شناسایی دقیق داده های حساس، آن ها را از سایر اطلاعات جدا می کند. با امنیت بالا جدا و ذخیره می کند. همچنین در این گزارش به توجه ویژه و نظارت مستمر گروه اسنپ بر نحوه دسترسی و استفاده از داده ها توسط کاربران و کارکنان اشاره شده است که از نشت اطلاعات و سوء استفاده جلوگیری می کند. بر این اساس گروه اسنپ دسترسی مستقیم و دائمی همکاران به پایگاه های اطلاعاتی حاوی اطلاعات حساس را ممنوع کرده و از روش های جایگزین امن برای دسترسی به این داده ها استفاده می کند.

علاوه بر این اقدامات، گروه اسنپ در سال 1402 به صورت متمرکزتر آموزش همکاران را در زمینه خطرات سایبری، مهندسی اجتماعی و فیشینگ انجام داده و با تولید محتوایی در این زمینه ها، کارکنان را نسبت به این تهدیدات بیشتر آگاه کرده است.

امکان حذف حساب کاربری در اسنپ: یکی از مهم ترین امکاناتی که هر اپلیکیشنی باید برای حفظ حریم خصوصی کاربران در اختیار کاربران قرار دهد، امکان حذف حساب کاربری است. در خودروهای اسنپ ۱۴۰۲ اسنپ دکتر، اسنپ شاپ و اسنپ باکس امکان حذف اکانت کاربری را فراهم کرده اند. همچنین SnapDoctor اعلام کرده است که پس از 24 ساعت اطلاعات پزشکی کاربران را حذف خواهد کرد. در این گزارش همچنین آمده است که به زودی تمامی زیر مجموعه های گروه اسنپ امکان حذف اکانت کاربری را در اختیار کاربران خود قرار می دهند.

امنیت اطلاعات: در سال 1402، گروه اسنپ از روش‌های رمزگذاری، پوشش و درهم‌سازی پیشرفته استفاده کرد. امنیت داده های کاربران خود را افزایش داده است. این تکنیک ها به منظور حفظ محرمانه بودن اطلاعات کاربران و جلوگیری از دسترسی غیرمجاز به داده های حساس استفاده می شود. این مجموعه با پیاده سازی این روش ها موفق به ایجاد یک لایه امنیتی قوی برای حفاظت از اطلاعات کاربران شده است.

تعیین خط مشی دوره نگهداری اطلاعات: گروه اسنپ با تعیین خط مشی های دقیق دوره نگهداری اطلاعات گام مهمی در جهت مدیریت بهینه داده ها و افزایش امنیت برداشته است. این خط‌مشی‌ها شامل تنظیم دوره‌های زمانی خاص برای حفظ داده‌های کاربر و حذف ایمن آن‌ها پس از پایان دوره نگهداری است. این اقدام به منظور کاهش خطرات مربوط به ذخیره سازی طولانی مدت داده ها و حفظ حریم خصوصی کاربران انجام شده است.

ایمن سازی زیرساخت های فناوری اطلاعات بر اساس روش های معتبر: ایمن سازی زیرساخت های فناوری اطلاعات یکی از اولویت های گروه اسنپ بوده و در سال 1402 با استفاده از روش های معتبر و استانداردهای بین المللی اقدامات گسترده ای در این زمینه انجام شده است. از جمله این اقدامات می توان به پیاده سازی سیستم های پیشرفته تشخیص نفوذ، به روز رسانی مستمر نرم افزارها و سخت افزارهای امنیتی و همچنین آموزش مستمر کارکنان در زمینه امنیت اطلاعات اشاره کرد.

با توجه به اهمیت امنیت در چرخه توسعه نرم افزار، گروه اسنپ در سال گذشته به دو سیاست کلی رمزگذاری سطح برنامه و رمزگذاری سطح پایگاه داده روی آورده است. این سیاست ها با هدف حفاظت از حریم خصوصی کاربران و تضمین امنیت داده ها در تمامی مراحل توسعه و بهره برداری نرم افزار اجرا شده است.

با استفاده از رمزگذاری در سطح برنامه، داده ها از لحظه ورود به سیستم به صورت رمزگذاری شده ذخیره می شوند که از دسترسی غیرمجاز به اطلاعات حساس جلوگیری می کند. همچنین با استفاده از رمزگذاری در سطح پایگاه داده، تمامی داده های ذخیره شده ایمن و رمزگذاری شده نگهداری می شوند که این امر به محافظت از اطلاعات کاربران در برابر تهدیدات مختلف نیز کمک می کند.

همچنین تیم امنیت سایبری سوراپ اسنپ با استفاده از چارچوب RADAR توانسته امنیت نرم افزار خود را به طور موثر پیاده سازی کند. بر اساس گزارش عملکرد گروه اسنپ تا پایان سال 1402، 151 محصول و 36 گروه تحت پوشش رادار قرار دارند. رادار از ابزارهای مختلفی مانند SAST، SCA، SBOM، شناسایی رمز عبور و اسکن زیرساخت استفاده می کند و این ترکیب ابزارها و تکنیک ها، شناسایی و رفع نقاط ضعف امنیتی در مراحل مختلف توسعه نرم افزار را ممکن می سازد.

گروه اسنپ در پایان سال 2018 برنامه باگ بانتی را راه اندازی کرد و در سال 1402 با افزایش جوایز سعی کرد بر اهمیت گسترش و پویایی برنامه باگ بانتی تاکید کند. در این برنامه برای کشف آسیب پذیری های بحرانی 150 میلیون تومان جایزه تعیین شده است. این برنامه به چهار سطح از متوسط ​​تا بحرانی تقسیم می شود و شکارچیان می توانند با شناسایی و گزارش آسیب پذیری ها، این پاداش ها را کسب کنند. این نمودار رشد گزارش های معتبر Bug Bunty Snap را از سال 2018 تا 2019 نشان می دهد.

برنامه Bug Bunty گروه اسنپ توانسته است برخی از آسیب پذیری های امنیتی را در سال های اخیر شناسایی و برطرف کند. این برنامه با مشارکت جامعه امنیتی و توسعه دهندگان به شناسایی نقاط ضعف امنیتی و بهبود ساختار امنیتی محصولات اسنپ کمک کرده است. بر اساس این گزارش، در سال 1402، 33 باگ امنیتی از طریق برنامه BugBunty به تیم امنیت سایبری گروه اسنپ گزارش شد و شکارچیان بابت این گزارش ها پاداش دریافت کردند.