معرفی کتاب "مدل سازیِ تهدید"

دانستن این نکته که چه کسی امکان دارد به شما حمله کند و اینکه در این حمله به دنبال چه چیزی است، نکته‌ای کلیدی در طراحی اقدامات امنیتی موثر به شمار می‌رود. طبق گزارش نیویورک تایمز از واقعه رخنه به شرکت سونی در سال ۲۰۱۴، زمانی که کارمندان شرکت سونی - که شمارشان به بیش از ۷۰۰۰ نفر می‌رسد - در اواخر ماه نوامبر به محل کار خود رسیدند، با تصویر هولناکِ سرِ بریده شده‌ی مدیر عامل این شرکت بر روی نمایشگر‌های رایانه‌های خود مواجه شدند. مدتی بعد از این حادثه، سونی تمام سامانه‌های دیجیتال خود را تعطیل کرد.

به احتمال زیاد، مدل‌سازی سونی از تهدیدات سایبری به این شکل برنامه‌ریزی شده بوده است: عده‌ای از سودجویان قصد دارند مالکیت معنوی ما را به سرقت ببرند؛ رخنه‌گران می‌خواهند اطلاعات مالی و خصوصیِ مشتریان ما را بدزدند؛ روزنامه نگاران نیز به دنبال فرصتی برای کنجکاوی و رسوا نمودن شرکت هستند. ولی هیچکس تصور نمی‌کرد که یک گروه رخنه‌گر - که پنهانی یا آشکارا توسط حکومت دیگری حمایت می‌شد - بخواهد شرکت سونی را، تنها به دلیل مشارکت در ساخت یک فیلم نه چندان خوشایند، از بین ببرد.

هنوز هم هیچ‌کس از منابع نامحدود برخوردار نیست تا بتواند سامانه‌هایی ابداع کند که با هرگونه تهدید قابل تصور (و حتی تهدیدات غیرقابل تصور) مقابل نمایند. انتخاب‌ها بایستی بر اساس درک منطقی از خطرات باشند. در اینجاست که کتاب جدیدِ آدام شاستَک به یاری ما می‌آید: «مدل‌سازی تهدید : طراحی برای امنیت».

آدام شاستَک، سابقه‌ی همکاری با مجموعه‌های امنیت سایبری نظیر شرکت کانادایی Zero Knowledge Systems و هم‌چنین همکاری در پایه‌گذایِ انجمن بین‌المللیِ رمزنگاریِ مالی و هم‌نشستِ (سمپوزیوم) فناوری‌های ارتقادهنده‌ی حریم خصوصی را در کارنامه‌ی خود دارد. وی هم چنین چند سال به عنوان مدیر برنامه‌ی ابزار طراحی مقابله با تهدید - موسوم به  SDL - برای مایکروسافت کار می‌کرد.

کتاب به صورت روش‌مند از مفاهیم پایه شروع کرده و مباحثی نظیر برنامه‌ریزی ساختارمند، ایجاد بازبینه (checklist)، کار با درختان حمله به منظور یافتن تهدیدات، مدیریت و کاهش اثرِ حمله‌های احتمالی، یافتن ابزار‌ها، و روش‌هایی برای معتبر ساختنِ نتایج موارد بالا را مطرح می‌کند. در فصل‌های بعدی کتاب نیز درباره‌ی بعد جدیدی از رایانش ابری بحث می‌کند.

اگر مباحث مطرح شده به همین‌جا ختم می‌شد، می‌توانستیم اسمش را دفترچه‌ی راهنما بگذاریم، ولی چیزی که این کتاب را برجسته می‌کند توجه آن به مساله‌ی حریم خصوصی و قابلیت استفاده (usability) است.

شاستک یکی از فصول کتابش را به مقوله‌ی حریم خصوصی اختصاص داده و چگونگی یافتنِ تهدیدات حریم خصوصی را شرح می‌دهد. وی در این باره هشدار می‌دهد که بی‌توجهی به نگرانی‌های موجود در زمینه‌ی حریم خصوصی رویکردی اشتباه است. وی nymity slider را به عنوان مثال ذکر کرده و آن را پروتکلی که باعث تهدید حریم خصوصی است معرفی می‌کند. nymity میزان اطلاعات مربوط به هویت افراد است که در تراکنش‌ها فاش می‌شود.

قابلیت استفاده، که اغلب مورد بی‌توجهی قرار می‌گیرد، از اهمیت کلیدی برخوردار است. ابداعِ سامانه‌های امنیتی که درک آنها از نظر شناختی عملا برای انسان‌ها ممکن نیست و یا اضافه نمودن دشواری‌های بیش از حد برای یک کار عادی که از کارمندان انتظار می‌رود انجام دهند، به خودی خود، یک تهدید امنیتی به شمار می‌روند.

دو فصل دیگر از کتاب نیز جای تامل دارد: فصلی راجع به تهدیدات مربوط به سامانه‌های رمزنگاری، و دیگری در باره چگونگیِ به کار گیری مدل‌سازی در سازمان‌ها. به نظر می‌رسد که فصل آخر از جمله مشکل‌ترین مباحث کتاب باشد.

 

پرونده‌ی پیوست: 
0
هنوز هیچ ستاره‌ای موجود نیست.