مرکز ماهر در راستای ماموریتهای خود به منظور ارتقای امنیت در سامانههای کشور، اقدام به برگزاری مسابقات ارزیابی امنیتی و کشف باگ (Bug bounty) در سطح وبسایتها و سامانههای دولتی تحت شبکهی اینترنت کرده است. در این راستا سامانه کلاه سفید مرکز ماهر (https://kolahsefid.cert.ir)، آماده ارزیابی امنیتی سامانهها از طریق برگزاری مسابقات عمومی و خصوصی است.
برخلاف قراردادهای مرسوم و سنتی آزمون نفوذ، با استفاده از سامانه کلاه سفید، تنها به ازای آسیبپذیریهای کشفشده توسط متخصصین امنیتی شرکتکننده در مسابقه و با داوری تیم مرکز ماهر هزینه ارزیابی امنیتی پرداخت میشود. همچنین پس از برگزاری مسابقه و ارزیابی نهایی سامانه توسط داوران، گواهی تاییدیه ارزیابی امنیتی سامانه به سازمان مربوطه اعطا میگردد.
سامانه کلاه سفید با توجه به همین چالشها، راهکار ارائه خدمات برگزاری مسابقه ارزیابی امنیتی را مطرح و بستری فراهم کرده است تا متخصصین مجرب امنیتی و سازمانها و شرکتهای تولید نرمافزار با حداکثر سرعت و حداقل هزینه در کنار یکدیگر قرار بگیرند. با توجه به تعداد بالای متخصصین این سامانه، که تعداد آنها تا کنون به بیش از 500 نفر رسیده است، طیف وسیعی از دانش و مهارت مورد نیاز برای ارزیابی امنیتی فراهم شده است.
این مسابقات به دو صورت عمومی و خصوصی برگزاری میگردد. در مسابقات عمومی کلیه متخصصین عضوشده در سامانه کلاه سفید امکان مشاهده جزئیات و شرکت در آن را دارند و در مسابقه خصوصی تنها متخصصین شناختهشده و منتخب، امکان شرکت دارند.
در مرحله اول، طی روزهای آینده ارزیابی امنیتی برخی از سامانههای مرکز ماهر و سازمان فناوری اطلاعات به مسابقه گذاشته خواهد شد. سایر دستگاههای دولتی نیز میتوانند در صورت تمایل جهت ارزیابی سامانههای خود در این مسابقات با مرکز ماهر تماس برقرار کنند.
شرایط و نحوهی برگزاری مسابقات در مستند پیوست ارائه شده است.
دانلود معرفی سامانه کلاه سفید
قوانین و مقررات مسابقات کلاه سفید
- 266