چه اتفاقی می‌افتد وقتی شرکت‌های امنیتی در امنیت شکست می‌خورند؟

چند حمله‌ی سایبری اخیر توانسته‌اند با موفقیت سازمان‌هایی را هدف قرار دهند که در حوزه‌ی امنیت الگو هستند. چرا حتی سازمان‌هایی که از بیشترین آگاهی امنیتی برخوردار هستند در معرض خطر قرار می‌گیرند، و این برای دیگران چه معنایی دارد؟

بررسی حملات سایبری سطح بالای اخیر

برجسته‌ترین حمله‌ی اخیر، نفوذ به سازمان اعتبارسنجیِ Equifax بود که در نتیجه‌ی آن داده‌های حساس بیش از ۱۴۵ میلیون نفر افشاء شدند. قبل از گزارش این نفوذ، شرکت Equifax مورد اعتماد مصرف‌کنندگان و کسب‌ و کارها بود و آن‌ها اطلاعات حساس خود را برای نگه‌داری به این سازمان می‌سپردند. شرکت Equifax حتی سرویس‌هایی برای شناسایی و مقابله با سرقت هویت ارائه می‌دهد. این نفوذ اخیر منجر به این شد که سازمان‌های بسیاری سطح امنیتی خود را مورد بررسی قرار دهند، اتفاقی که از زمان نفوذ به شرکت‌ Target در دو سال گذشته مشاهده نشده بود، این حادثه باعث شد سازمان‌های بسیاری با آزمایش فقط برنامه‌های کاربردی حساس خود، خطرات بسیاری کشف کنند.

در سمت دولت آمریکا نیز، اخیرا کمیسیون اوراق بهادار و بورس اعلام کرد که از سال ۲۰۱۶ میلادی مهاجمان از طریق یک نفوذ توانسته‌اند به اطلاعات غیرعمومی دسترسی پیدا کره و از این دسترسی برای انجام معاملات غیر قانونی بهره ببرند.

شرکت ضدبدافزار Avast نیز اعلام کرد که یکی از خدمات رفاهی نرم‌افزار محبوب آن توسط نفوذگران به سرقت رفته و توسط یک درب پشتی که بررسی‌های امنیتی این شرکت را دور می‌زند، بارگیری شده است و ۷۰ هزار رایانه را تحت تاثیر قرار داده است. علاوه‌ بر این، شواهد نشان می‌دهد که مهاجمان به طور خاص چندین غول تکنولوژی را به منظور جاسوسی صنعتی در مرحله‌ی دوم یک حمله‌ی بدافزاری هدف قرار داده‌اند.

و در نهایت، اخیراً در اخبار آمده بود که آژانس امنیت ملی آمریکا مورد نفوذ قرار گرفته است و گزارش شده است که در نتیجه‌ی این نفوذ روسیه توانسته است جزئیات راه‌کارهای دفاعی آمریکا در برابر تهدیدات سایبری و چگونگی نظارت آژانس امنیت ملی آمریکا بر شبکه‌های رایانه‌ای خارجی را به دست آورد. این اطلاعات توسط نفوذگرانی به دست آمده است که ظاهرا برای دولت روسیه کار می‌کنند.

 

 

طراحی، توسعه، و استفاده از نرم‌افزار ایمن

بنابراین سوال این است که چرا دفاتر اعتباری، تنظیم‌کننده‌های مالی، و شرکت‌های امنیتی مورد نفوذ قرار می‌گیرند؟ جواب این است که ساخت نرم‌افزار ایمن کار آسانی نیست. امنیت نرم‌افزار یک چالش پیچیده است که نمی‌توان فقط با بهره‌گیری از فناوری‌های نوآورد یا پیچیده کردن نرم‌افزارها که منجر به دردسر بیش‌تر  کاربران نرم‌افزار می‌شود، آن را رفع کرد.

حقیقت این است که امنیت نرم‌افزاری دائماً در حال پیشرفت است وسازمان‌ها باید خود را با این پیشرفت سازگار کرده و این سازگاری را برای مدت طولانی حفظ کنند. سازمان‌ها نیاز دارند با یک ابتکار امنیت نرم‌افزاری جامع و هماهنگ که نحوه ی طراحی، توسعه و استفاده از نرم‌افزار را تعیین می‌کند، امنیت را در خود نهادینه کنند.

به عنوان مثال، نفوذ به سازمان اعتبارسنجی Equifax در نتیجه‌ی یک آسیب‌پذیری وصله‌نشده در یک چارچوب متن‌باز به نام آپاچی استراتس بود که در یکی از برنامه‌های وب شرکت Equifax مورد استفاده قرار می‌گرفت. این یک آسیب‌پذیری شناخته‌شده بود که دسترسی به وصله‌ی آن بسیار آسان است. ابزارهای زیادی وجود دارد که با استفاده از آن‌ها می‌توان برنامه‌های متن‌باز را شناسایی کرده و آسیب‌پذیری‌های عناصر متن‌باز کشف‌شده را گزارش داد. پس چرا این آسیب‌پذیری کشف و وصله نشد؟

 

 

برای سنجش امنیت نرم‌افزار از داده‌های واقعی استفاده کنید

برای پاسخ، بیایید یافته‌های مدل ایجاد امنیت برحسب بلوغ (Building Security In Maturity Model) یا همان BSIMM را بررسی کنیم که داده‌های واقعی در مورد این‌که سازمان‌های دنیای واقعی چگونه یک رویکرد جامع را برای امنیت نرم‌افزار می‌پذیرند، ارائه می‌دهد. ایده این است از داده‌های واقعی برای نشان دادن این‌که تا چه اندازه در امنیت نرم‌افزاری موفق هستیم و چه چالش‌های وجود دارد استفاده کنیم. مدل BSIMM همچنین به سازمان‌ها اجازه می‌دهد که امتیاز امنیت خود را با سازمان‌های دیگر مقایسه کنند، و برای آن‌ها امتیازی ارائه می‌دهد که می‌توانند برای بهبود فرآیندهای کسب‌ و کار خود در هر زمانی از آن استفاده کنند. مطالعه‌ی BSIMM تحت مجوز Creative Commons مجاز است و می‌تواند به صورت رایگان بارگیری شود.

نسخه‌ی ۸ مدل BSIMM  ۱۱۳ فعالیت امنیتی را درباره‌ی ۱۰۹ سازمان شرکت‌کننده را می‌سنجد. دو مورد از این فعالیت‌ها تعیین می‌کنند که آیا سازمان می‌تواند از طریق یک سامانه مولفه‌های متن‌باز را در نرم‌افزار خود شناسایی کند یا خیر؟ (فعالیت SR2.4) و آیا سازمان اقداماتی برای کنترل خطرات مرتبط با این اجزاء متن‌باز انجام می‌دهد یا خیر؟(فعالیت ۳.۱).

داده‌های BSIMM نشان می‌دهند که فقط ۲۵ درصد سازمان‌ها با استفاده از سامانه، نرم‌افزار متن‌باز را در بین تمام نر‌افزارهای خود شناسایی می‌کنند، و کمتر از ۱۰ درصد آن‌ها به طور فعال خطر نرم‌افزار متن‌باز را کنترل می‌کنند. خطر مولفه‌های متن‌باز به وضوح قابل درک است، خطر این مولفه‌ها به طور فزاینده‌ای اهمیت می‌یابد زیرا تقریباً هر برنامه‌ از مولفه‌های متن‌باز تشکیل شده است. در حقیقت، یک تجزیه و تحلیل مولفه‌های متن‌باز در سال ۲۰۱۶ میلادی که توسط شرکت Black Duck انجام شد، نشان داد که ۶۷ درصد از برنامه‌هایی که آن‌ها مورد بررسی قرار دادند شامل یک آسیب‌پذیری شناخته‌شده‌ی مرتبط با مولفه‌های متن‌باز بودند.

داده‌های مربوط به بررسی‌ مولفه‌های متن‌باز و عواقب بالقوه‌ای که در نتیجه‌ی نفوذ به سازمان اعتبارسنجی Equifax نشان داده شد، بینش روشنی را در مورد این‌که چرا حتی شرکت‌های بسیار پیشرفته نیز می‌توانند با موفقیت مورد حمله قرار بگیرند، فراهم می‌کند. ۵۰ درصد از آسیب‌پذیری‌های موجود در نرم‌افزارها، اشکالاتی در طراحی و معماری برنامه‌ها هستند، اما امنیت به ندرت در مراحل اولیه‌ی توسعه مورد توجه قرار می‌گیرد. سازمان‌ها تلاش می‌کنند تا شیوه‌های امنیتی خوبی را در توسعه‌ی نرم‌افزارها به کار بگیرند، اما اغلب فشارهای رقابتی سازمان‌ها را مجبور می‌کنند تا امنیت را قربانی کنند تا بتوانند سرعت تحویل نرم‌افزار را افزایش دهند.

 

 

در نهایت، نرم‌افزار‌های آسیب‌پذیر زیادی وجود دارند و مهاجمان می‌دانند که نرم‌افزار یک نقطه‌ی ورود قابل اعتماد است. سازمان‌ها تاکید بیشتری بر ایجاد امنیت در نرم‌افزار می‌کنند، اما هنوز ما راه زیادی برای رفتن داریم. بنابراین اگر یک روز بیدار شویم و ببینیم که نفوذ به شرکت Equifax سرفصل خبرها شده است،‌نباید شگفت‌زده شویم!

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید