شیرجه عمیق بلوبانک؛ ارتقای امنیت در عصر هوش مصنوعی

شیرجه عمیق بلوبانک؛ ارتقای امنیت در عصر هوش مصنوعی
 شیرجه عمیق بلوبانک؛ ارتقای امنیت در عصر هوش مصنوعی

مراسم اختتامیه رویداد باگ‌بانتی بلوبانک با نام Deep Dive امروز، چهارشنبه ۲۱ خرداد ماه، با حضور مدیران ارشد این نئوبانک، کارشناسان امنیت و هکرهای کلاه‌سفید برگزار شد. رویداد Deep Dive با هدف کشف و شناسایی سرویس‌های بلوبانک برگزار شده تا بتواند گامی در راستای ارتقای امنیت این نئوبانک و زمینه‌ساز اعتماد بیشتر کاربران به بلوبانک سامان باشد.

در این مراسم، گزارش‌های کشف‌شده و تیم‌های برتر معرفی شدند. طبق اعلام پریماه محمدپور، مشاور ارشد معماری و توسعه راهکارهای نوین بانکی، ۶۰ نفر برای شرکت در رویداد Deep Dive ثبت نام کرده بودند که در نهایت ۵۱ نفر در قالب ۲۲ تیم یک تا ۵ نفره در این رویداد شرکت کردند. ماحصل تلاش این شرکت‌کنندگان ثبت ۷۸ گزارش بوده است.

محمدپور توضیح داد که «تمام سرویس‌های بلو اعم از اپلیکیشن اندروید و OpenAPI در این رویداد مورد بررسی قرار گرفته و باگ‌ها و آسیب‌پذیری‌ها در ۴ سطح medium, high, critical و vital دسته‌بندی شدند. شناسایی آسیب در هر یک از این سطوح پاداش خاص خود را داشت.»

هکرهای کلاه سفید مجموعا ۱۲ گزارش از باگ‌های سطح low گزارش داده بودند که طبق توافق آسیب‌پذیری‌ها در این سطح مشمول پاداش نشده است. ۸ مورد از گزارش‌ها نیز در سطح low بوده و هیچ موردی از آسیب‌پدیری در سطح high, crtical و vital توسط هکرها گزارش نشده است.

تیم‌های اول تا سوم در این رویداد معرفی شده و جوایزشان را دریافت کردند. تیم اول برنده جایزه ۱۱۵ میلیون تومانی شدو تیم دوم جایزه ۸۵ میلیون تومانی را از آن خود کرد و تیم سوم هم ۴۷ میلیون تومان پاداش گرفت.

مدیرعامل بلوبانک: رویداد Deep Dive جشن اعتمادسازی و امنیت بود

رضا حیدری، مدیرعامل بلوبانک، در این مراسم توضیح داد که هدف این نئوبانک از برگزاری یک رویداد باگ‌بانتی این بوده که «اطمینان پیدا کنیم خط دفاعی ‌ما توانایی کافی برای دفاع از امنیت‌مان را دارد.» او در ادامه اضافه کرد:

این رویداد عملا جشنی بود که من نامش را جشن اعتمادسازی و امنیت می‌کذارم که با کمک هکرها تلاش کردیم این پیام را به کاربران بلو برسانیم که این فضا امن است و می‌توانند زندگی مالی‌شان را نزد ما به امانت بگذارند.
- رضا حیدری، مدیرعامل بلوبانک

او در پایان از هکرهای مشارکت‌کننده در این رویداد به دلیل همراهی با بلو در مسیر ایجاد امنیت و اعتماد به این نئوبانک تشکر کرد.

نایب رئیس هیئت‌مدیره بلوبانک: باید موثر، منعطف و به دور از خطر باشیم

جمال غضنفری، نایب رئیس هیئت‌مدیره بلوبانک، نیز در ادامه این مراسم، رویداد Deep Dive را آغاز مسیر بلوبانک در زمینه ارتقای امنیت دانست و اعلام کرد که بلو پذیرای هر پیشنهادی در زمینه ارتقای امنیت است. او در ادامه اضافه کرد:

بلوبانک سامان باید سکویی توانمند، هوشمند و امن باشد، به دور از خطر و آسیب اما موثر و منعطف. یعنی ضمن ارائه خدمت هم می‌خواهیم بسیار تاثیرگذار و منعطف باشیم و هم خطر و تهدیدهایمان اندک باشد.
- جمال غضنفری، نایب رئیس هیئت‌مدیره بلوبانک

غضنفری امنیت را یک مقوله نسبی خواند و توضیح داد که هیچ کسب‌وکاری نمی‌تواند تضمین بدهد که در مقابل همه مخاطرات امن است اما در ادامه تاکید کرد:

«نباید دیوار دفاعی‌مان را به حال خود رها کنیم چون نقطه ضعف‌هایش آشکار می‌شود و امنیت از بین می‌رود. برگزاری رویداد‌هایی از این دست برای ارزیابی و محک زدن امنیت‌مان را ضروری می‌دانیم. رویدادهای دیگری را هم برگزار خواهیم کرد تا در جوانب دیگر هم وضع امنیت بلوبانک را بسنجیم.»
- جمال غضنفری، نایب رئیس هیئت‌مدیره بلوبانک

نایب‌رئیس هیئت‌مدیره بلوبانک با بیان این که شتاب و میزان تغییرات تکنولوژی بالاست و سنگینی بار این کسب‌وکار گاهی مانع از آن می‌شود که بلوبانک خودش را با تغییرات تطبیق بدهد، گفت: «از هکرها درخواست می‌کنیم که با ما تعامل همیشگی داشته باشند تا ارتقای امنیت را میسر کنیم. تمهیدات دفاعی ما را مستمر آزمایش کنید و نتایج آن را به ما بدهید که خدمات ما امن‌تر شوند.»

باگ‌بانتی چه تاثیری بر ارتقای امنیت سازمان‌ها دارد؟

پنل تخصصی با موضوع «ارتقای معماری امنیتی در سازمان‌های با اجرای برنامه‌ باگ‌بانتی» نیز در ادامه مراسم اختتامیه رویداد Deep Dive برگزار شد. متخصصان حوزه امنیت در این پنل درباره چالش‌ها، الگوهای پیاده‌سازی و تجارب معماری امنیت در زیرساخت‌های پیچیده بحث کردند.

امیرحسین قاسمی، مدیرکل امنیت گروه اسنپ، معتقد است که «اجرای برنامه‌های باگ‌بانتی نیاز به جسارت و بلوغ بالای یک کسب‌‌وکار دارد. ما در اسنپ از سال‌ها پیش با کمک هکرهای کلاه سفید برنامه‌های باگ‌بانتی را اجرا کرده‌ایم.»

اجرای برنامه‌های باگ‌بانتی نیاز به جسارت و بلوغ بالای یک کسب‌‌وکار دارد

قاسمی توضیح داد که استانداردهای امنیت برای همه سازمان‌ها، اعم از سازمان‌های سنتی و استارتاپ‌ها یکسان است و هرچند سرعت رسد استارتاپ‌ها بسیار زیاد است اما باید این پویایی را داشته باشند که در هر بخشی سطح قابل قبولی از استانداردهای امنیت را ارائه کنند. او در ادامه درباره به‌کارگیری ابزارهای هوش مصنوعی در حوزه امنیت گفت:

موج هوش مصنوعی اکنون به راه افتاده و استفاده از آن اجتناب‌ناپذیر است. تیم‌های امنیت با استفاده از این ابزارها می‌توانند سرعت و عمق کارشان را بیشتر کنند. ما هم در اسنپ از این ابزارها استفاده می‌کنیم یا کمک می‌گیریم. هر تکنولوژی جدید هم استفاده‌های خاص خود و خطرات خاص خود را دارد و باید هوشمندانه از آن‌ها استفاده شود تا خطرات‌شان کاهش پیدا کند.
- امیرحسین قاسمی، مدیرکل امنیت گروه اسنپ

مدیرکل امنیت گروه اسنپ در مورد این که چه زمانی یک سازمان باید سراغ برگزاری باگ‌بانتی برود نیز گفت: «یک سیر بلوغ در کسب‌وکارها باید وجود داشته باشد تا به اجرای رویداد باگ‌بانتی برسد. اول باید تیم امنیت را داخل شرکت بسازند، بعد Red Team تشکیل بدهند و موارد مختلفی را آزمایش کنند. زمانی که این مراحل طی شد باید باگ‌بانتی را به‌صورت خصوصی (private) برگزار کنند تا دولوپرها باگ‌ها را شناسایی کنند. بعد از این، اعتمادبه‌نفس سازمان بالا رفته و می‌تواند رویداد باگ‌بانتی را به‌صورت عمومی‌تر برگزار کند.

حاکمیت تعاریف سخت و سنتی امنیت را کنار گذاشته است

وحید خدابخشی، مدیر ریسک و امنیت شاپرک، نیز در این پنل بر لزوم دنبال کردن استانداردهای امنیت توسط استارتاپ‌ها تاکید کرد. او هم‌چنین در خصوص تغییر نگاه رگولاتور به مساله امنیت گفت:

حاکمیت و رگولاتور به این جمع‌بندی رسیده که تعاریف سخت و سفت سنتی در حوزه امنیت را کنار بگذارد و از آن امنیت سنتی به سمت افزایش تاب‌آوری و ضمانت تداوم کسب‌وکار برود. نقطه هم‌گرایی تکنولوژی و امنیت همین است که امنیت جای مناسب خود را پیدا کند و پیشران توسعه باشد چون هرکجا که رگولاتوری در برابر توسعه ایستاده امنیت از بین رفته است.
- وحید خدابخشی، مدیر ریسک و امنیت شاپرک

او درباره به‌کارگیری ابزارهای AI در حوزه امنیت نیز تذکر داده و گفت: «ولع زیاد استفاده از هوش مصنوعی همه را دربرگرفته و تا چند سال آینده اتکا به فضای هوش مصنوعی بیشتر هم می‌شود و پازل هوش مصنوعی به‌تدریج تکمیل خواهد شد چون فرصت‌های بسیاری به ما می‌دهد. اما استفاده از هوش مصنوعی به معنی اتکای بیش از حد به این ابزار گاهی منصفانه بودن فرایندهای بانکی، مثل اعتبارسنجی برای اعطای تسهیلات، را زیر سوال می‌برد چون دیتای ورودی ماشین‌ها ممکن است تمیز نباشد و سوگیری‌هایی داشته باشد.»

مدیر ریسک و امنیت شاپرک در توضیح اهمیت برگزاری برنامه‌های باگ‌بانتی توسط سازمان‌ها و کسب‌وکارها نیز گفت:

وقتی سازمان‌ها با برگزاری باگ‌بانتی خود را در معرض محک عمومی قرار می‌دهند به افزایش امنیت مجموعه کمک می‌کنند. البته این رویدادها کم‌کم از شناسایی صرف آسیب‌ها به سمت رویدادهایی می‌رود که کمک می‌کند یک حمله واقعی شبیه‌سازی شود و دفاع صورت بگیرد تا رویدادها حالت واقعی‌تری پیدا کنند.
- وحید خدابخشی، مدیر ریسک و امنیت شاپرک

استارتاپ‌ها باید امنیت را به شکل منعطف و جدید تعریف کنند

سعیده زینالی، مدیر معماری امن داتین، نیز در این پنل جسارت بلوبانک در برگزاری رویداد باگ‌بانتی را ارزشمند دانست و درباره ایجاد امنیت در مجموعه‌های استارتاپی گفت:

ذات و ماهیت استارتاپ‌ها ایجاب می‌کند که امنیت را به شکل منعطف و با تعاریف جدید آن داشته باشند و از روش‌های چابک استفاده کنند تا امنیت متناسب با این نوع کسب‌وکارها برقرار شود. مثال آن همین رویداد deep dive بلو است که کمک می‌کند یک کسب‌وکار سطح اعتماد و امنیتش را محک بزند و بالا ببرد.
- سعیده زینالی، مدیر معماری امن داتین

زینالی نگاه به حوزه امنیت در ایران را هنوز سنتی می‌داند: «نگاهی که به دنبال ایده‌های جدید نیست و به ایده‌های سنتی بسنده می‌کند. اما واقعیت این است که امنیت شما را ناچار می‌کند که به سمت ایده‌های جدیدتر بروید.»

او معتقد است که به دلیل وجود مخاطرات در حوزه امنیت تلفیقی از هوش مصنوعی و نیروی انسانی مورد نیاز است. بنابراین، به اعتقاد او امور روتین امنیت را می‌توان به هوش مصنوعی سپدر اما حضور نیروی انسانی در حوزه امنیت ضروری است. مدیر معماری امن داتین در ادامه درباره به‌کارگیری هوش مصنوعی در این حوزه گفت:

از AI برای شناسایی مخاطرات می‌توانیم استفاده کنیم. با توجه به این که اتوماسیون قلب AI است کمک می‌کند که سریع‌تر از روش‌های سنتی بتوانیم آسیب‌ها را شناسایی کنیم. یک سیستم هوشمند و توانمند می‌تواند حمله‌ها و خرابکاری‌های داخلی را پیگیری کند و تشخیص بدهد تا آسیب شناسایی شود.
- سعیده زینالی، مدیر معماری امن داتین

در استفاده از هوش مصنوعی نباید سطحی‌نگر باشیم

اسماعیل ملااحمدی، مدیر ارشد امنیت اطلاعات بلوبانک، نیز درباره علت برگزاری رویداد باگ‌بانتی توسط این نئوبانک این طور توضیح داد:

در مسیر بلوغ یک سازمان به جایی می‌رسیم که نیاز داریم از زوایای دید مختلف به امنیت خود نگاه کنیم. به یک بلوغ می‌رسیم که در همه حوزه‌های یک سازمان وجود دارد که به دنبال مشکلات خود باشد و آن‌ها را شناسایی کنیم.
- اسماعیل ملااحمدی، مدیر ارشد امنیت اطلاعات بلوبانک

او در ادامه اضافه کرد: «در حال حاضر نحوه برخورد و مواجهه با آسیب‌پذیری‌ها به شکل تکذیب است. یعنی تکذیب می‌کنند که آسیب‌پذیری وجود داشته اما اگر رویدادهایی مثل باگ‌بانتی بیشتر برگزار شود کم‌کم فرهنگ مواجهه صحیح با این مسائل هم تغییر می‌کند.»

البته مدیر ارشد امنیت اطلاعات بلوبانک اعتقاد دارد که در استارتاپ‌های حوزه مالی مفهوم امنیت از معنای کلاسیک آن گذر کرده و کمک‌کننده کسب‌وکار است نه ترمز و سد راه آن.

او در مورد به‌کارگیری AI در حوزه امنیت نیز قائل به هدف‌گرا بودن است، نه صرفا روی موج سوار شدن: «استفاده از هر تکنولوژی جدید آدابی دارد و باید مراقب باشیم که در این مسیر گرفتار سطحی‌نگری نشویم. باید نتیجه‌گرا باشیم و ببینیم از استفاده از هوش مصنوعی دنبال چه هدفی هستیم نه این که صرفا سوار بر موج جامعه فقط بگوییم که از هوش مصنوعی استفاده می‌کنیم.

با همین ملاحظه است که ملااحمدی در مورد رویکرد بلوبانک در این زمینه می‌گوید: «ما با ملاحظاتی سراغ استفاده از خوش مصنوعی می‌رویم؛ دیتا را به‌طور کامل در اختیار هوش مصنوعی قرار نمی‌دهیم چون بحث افشا و نشر اطلاعات بحث مهمی است که کسب‌وکارها را تهدید می‌کند.»

جدیدترین اخبار علم و فناوری در خوشه خبر

🔗 پست‌های مرتبط:

برچسب
⚠ گزارش اشکال
 

 منبع خبر

جدیدترین ویدئوها

رونمایی از استعداد آرایشگری همسر شاهرخ استخری با موهای خرگوشی و بانمک دخترش نبات/ چه ناز شد+فیلم play icon
رونمایی از استعداد آرایشگری همسر شاهرخ استخری با موهای خرگوشی و بانمک دخترش نبات/ چه ناز شد+فیلم
ویدئو/ جناب خان به مژده لواسانی: میتونی نصف لواسان رو بزنی به نامم؟ play icon
ویدئو/ جناب خان به مژده لواسانی: میتونی نصف لواسان رو بزنی به نامم؟
رکورددار پرواز در جهان؛ داستان یک ایرانی شگفت‌انگیز (+ویدئو) play icon
رکورددار پرواز در جهان؛ داستان یک ایرانی شگفت‌انگیز (+ویدئو)
به یادماندنی ترین سکانس عاشقانه سریال شهرزاد / از بله گفتن شهرزاد تا مرگ مرگ بزرگ آقا play icon
به یادماندنی ترین سکانس عاشقانه سریال شهرزاد / از بله گفتن شهرزاد تا مرگ مرگ بزرگ آقا
تراکتور چراغ خاموش به دنبال ستاره مدنظر پرسپولیس play icon
تراکتور چراغ خاموش به دنبال ستاره مدنظر پرسپولیس
قایدی: هرگز در پرسپولیس بازی نمی‌کنم! play icon
قایدی: هرگز در پرسپولیس بازی نمی‌کنم!
ویدئویی از حرکات عارف آقاسی که استقلالی‌ها را به وجد می‌آورد play icon
ویدئویی از حرکات عارف آقاسی که استقلالی‌ها را به وجد می‌آورد
طعنه جنجالی به کارناوال زاکانی در شبکه خبر play icon
طعنه جنجالی به کارناوال زاکانی در شبکه خبر
مشاهده همه ›

قیمت روز طلا، سکه و ارز

جدیدترین ها

مشاهده همه ›

از بین اخبار

چه زمانی استرس تبدیل به بیماری می‌شود؟

چه زمانی استرس تبدیل به بیماری می‌شود؟

«پیرپسر» و «صدام» چقدر فروختند؟

«پیرپسر» و «صدام» چقدر فروختند؟

لیست قیمت شاسی بلند ارزان دست دوم / + جدول خرداد ۱۴۰۴

لیست قیمت شاسی بلند ارزان دست دوم / + جدول خرداد ۱۴۰۴

آخرین وضعیت ترافیکی جاده‌های کشور اعلام شد

آخرین وضعیت ترافیکی جاده‌های کشور اعلام شد

مسابقه انتخابی تیم ملی اسکیت برد

مسابقه انتخابی تیم ملی اسکیت برد

گاو پرستان زیر پای ایران را خالی کردند

گاو پرستان زیر پای ایران را خالی کردند

راهنمای جامع ثبت نام آنلاین بیمه تامین اجتماعی زنان خانه‌دار در سال 1404

راهنمای جامع ثبت نام آنلاین بیمه تامین اجتماعی زنان خانه‌دار در سال 1404

غدیر بزرگترین عید مسلمانان؛ باید در مسیر ولایت حرکت کنیم

غدیر بزرگترین عید مسلمانان؛ باید در مسیر ولایت حرکت کنیم

تصاویر جدیدی از لحظه برخاستن و سقوط هواپیمای هندی

تصاویر جدیدی از لحظه برخاستن و سقوط هواپیمای هندی

سپر غذایی شما در برابر آلودگی هوا این‌هاست

سپر غذایی شما در برابر آلودگی هوا این‌هاست

متکی: گروسی مزدور تل‌آویو است

متکی: گروسی مزدور تل‌آویو است

افزایش فشار بر بیت‌کوین؛ پیش‌بینی روند صعودی با تأیید سطح پشتیبانی ۱۰۸،۰۰۰ دلار

افزایش فشار بر بیت‌کوین؛ پیش‌بینی روند صعودی با تأیید سطح پشتیبانی ۱۰۸،۰۰۰ دلار

مشاهده همه ›