پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
تمدید پروانه فعالیت بهسازان ملت در حوزه خدمات عملیاتی افتا
به گفته ابراهیم خلیلزاده، مدیر واحد مهندسی امنیت بهسازان ملت، کسی که مجوز افتا داشته باشد میتواند برای شرکتها و سازمانها آزمون ازریابی امنیتی انجام دهد و تمدید مجدد این مجوز به آنها این امکان را میدهد تا در زمینه ارزیابی امنیتی سامانهها با غیر از بانک ملت همکاری داشته باشند.
پروانه فعالیت درحوزه عملیاتی افتا (امنیت فضای تولید و تبادل اطلاعات) به مدت دو سال دیگر برای شرکت بهسازان ملت تمدید شد. به این ترتیب این شرکت اجازه دارد تا بر اساس این پروانه تحت نظارت سازمان فناوری اطلاعات ایران، با گرایش آزمون و ارزیابی امنیتی در کشور فعالیت کند.
به گفته ابراهیم خلیلزاده، مدیر واحد مهندسی امنیت بهسازان ملت، کسی که مجوز افتا داشته باشد میتواند برای شرکتها و سازمانها آزمون ازریابی امنیتی انجام دهد و تمدید مجدد این مجوز به آنها این امکان را میدهد تا در زمینه ارزیابی امنیتی سامانهها با غیر از بانک ملت همکاری داشته باشند.
از اقدامات جدیدی که بهسازان ملت به بحث ارزیابی امنیتی خود اضافه کرده، علاوه بر تجهیز تیمشان، میتوان به توانایی ارزیابی امنیتی به سبک red team اشاره کرد.
برای آشنایی بیشتر با سبک red team ، خلیلزاده اینطور توضیح میدهد: «در ازریابی امنیت معمولی روال به این صورت است که یک نرمافزار یا یک سامانه همراه با اطلاعات اولیه مانند نام کاربری و پسورد در اختیار شما قرار میگیرد که بتوانید وارد سامانه شوید و شروع کنید به ازریابی سامانه تا منجر به کشف آسیبپذیری در سامانه شود. بحث red team فضایش متفاوت است.
شما قصد نفوذ به یک سازمان را میکنید و از هر ابزار و روشی هم برای رسیدن به مقصد استفاده میکنید. یکی از بزرگترین مولفههایی که در مورد red team مطرح است، استفاده از مهندسی اجتماعی است. برای مثال من به اپراتور یک شرکت زنگ میزنم و سعی میکنم اپراتور را فریب دهم تا اپراتور نرمافزاری که مد نظرم است را در سیستمش نصب کند و از آن طریق بتوانم سیستم اپراتور را در اختیار بگیرم و ارتباطی بین خودم و شبکه آن شرکت ایجاد کنم تا نفوذ را گسترش دهم. در red team از مجموعه تکنیکها و روشهای متفاوتتری استفاده میشود که یکی از مهمترین روشها استفاده از همین مهندسی اجتماعی است.»
درواقع باید گفت که ارزیابی امنیتی توسط red team آزمون نفوذی است که به صورت هدفمند و با هدف دسترسی به داده، ماشین و دارایی حیاتی و مهم یک سازمان انجام میشود. در این مدل ارزیابی یافتن آسیبپذیری تنها راه نبوده و تیم به هر روش ممکن در تلاش برای نفوذ به زیرساخت سازمان خواهد بود. در زمان تست red team ، گروه زیرساخت و امنیت سازمان از انجام تست بیاطلاع بوده و در صورتی که متوجه نفوذ شوند باید مانند واکنش به تهدیدات واقعی، اقدام به جلوگیری از نفوذ کنند. البته باید گفت که این خدمات صرفا با هماهنگی مدیران بالا دستی انجام میشود.
حتی به گفته مدیر واحد مهندسی امنیت بهسازان ملت، اطلاعات موجود در سطل آشغال (Recycle bin) شرکتها هم میتواند برای نفوذ به سیستم و سامانه آن شرکت، کمککننده باشد. او در ادامه توضیح داد که روشها محدود به روشهای فنی ارزیابی امنیت یک نرمافزار نیست و هر روشی که شما بتوانید نفوذتان را در یک شبکه انجام دهید، به کار گرفته میشود.