ضرورت صرف هزینه برای مشاورههای امنیتی پیش از اجرای پروژههای سایبری
مدیر گروه امنیت شبکه، سامانههای اطلاعاتی و صنعتی شرکت امنافزارگستر شریف معتقد است: اگر بخش کوچکی از هزینههای سنگینی که برخی از سازمانها در اجرای پروژههای امنیتی میکنند را در مشاورههای پیش از پیاده سازی و نظارت امنیتی حین پیاده سازی خرج کنند، علاوه بر سرعت گرفتن اقدامات امنیتی بعدی، گام بلندی در تامین امنیت محصولات نرم افزاری برداشتهاند، زیرا مبتنی بر راهبرد دفاع در عمق، حفاظت از داده ها از داخلی ترین لایه تا بیرونی ترین لایه می بایست انجام شود.
امین ترابی، مدیر گروه امنیت شبکه، سامانههای اطلاعاتی و صنعتی شرکت امنافزارگستر شریف در یادداشت ارسالی برای سیتنا، نوشت:
با رشد سریع شرکت های دانش بنیان در حوزه برنامه نویسی در سالهای اخیر، شاهد سفارشی شدن سطح وسیعی از سامانه های اطلاعاتی توسط سازمانها و نهادهای مختلف هستیم. کمتر پیش میآید که سازمانی از توان داخلی خود برای توسعه یک سامانه یا خدمت استفاده کند. از سوی دیگر محصولات نرم افزاری که در کشور توزیع میشود بعضا به صورت پودمانی طراحی میشوند و هر پودمان در محصولات مختلفی مورد استفاده قرار میگیرد. به همین جهت، معمولا سامانه های اطلاعاتی که محصول یک شرکت خاص باشند، از لحاظ امنیتی در یک سطح مشابه قرار دارند. این موضوع تهدیدهای زیادی را متوجه زیرساختهای اطلاعاتی کشور کرده است.
به عنوان نمونه یک محصول نرم افزاری اداری برای یک سازمان طراحی و راه اندازی می شود، کدهای مورد استفاده در این محصول در سایر محصولات مشابه شرکت طراح استفاده می شود، حال چنانچه یک آسیب پذیری سطح بالا در محصول خریداری شده کشف شود، بدین معناست که علاوه بر در معرض خطر بودن کارفرمای محصول، سایر محصولاتی هم که از کدهای آلوده در طراحی آنها استفاده شده است، آسیب پذیر هستند.
استفاده از کدها، رویه ها یا عملکردهای مشابه در محصولات نرم افزاری امری شایع در سطح جهان است. حتی بعضا این کدهای خاص توسط برنامه نویسان خرید و فروش هم می شود.
اما چه راهکاری وجود دارد تا از بروز این تهدیدها در سطح سازمانها و نهادهای مختلف و بعضا حساس جلوگیری کرد؟
پاسخ به این سوال در تعامل بالا بین کارفرما و پیمانکار طراحی محصولات نرم افزاری نهفته است. فارغ از محدودیت های قانونی در استفاده از نرم افزارهای بدون مجوز افتای ریاست جمهوری، پیمانکارانی که قصد طراحی یک محصول نرم افزاری را دارند می بایست به موضوع مهم و حیاتی مشاوره های پیش از پیاده سازی توجه ویژه داشته باشند. به طور معمول از دیدگاه یک توسعه دهنده محصولات نرم افزاری، کارکرد صحیح مولفه های نرم افزاری نشاندهنده صحت عملکرد تیم توسعه است؛ در حالی که بسیاری از مولفه ها، در زمان وقوع رخدادهای سایبری ممکن است رفتارهای مخرب و آسیب زا داشته و حتی علیه عملکرد اصلی سیستم اقدام کنند.
بنابراین لازم است تیم های توسعه دهنده، قبل از اقدام به پیاده سازی به موارد ذیل توجه کنند:
- با استفاده از مشاوره های امنیتی، طراحی منطقی سامانه های اطلاعاتی بررسی شود.
- جانمایی مولفه های خاص نرم افزاری می بایست دقیقا بررسی و در صورت لزوم اصلاح شود.
- ارتباطات نقش اساسی در امنیت یک سامانه دارد. توسعه دهندگان می بایست اتصالات و ارتباطات سامانه را با سامانه ها یا سرورهای مجاور به طور دقیق بررسی و اصلاح کنند.
- آشنایی توسعه دهندگان با مفاهیم پیشرفته کد نویسی امن (Secure coding) را بررسی و آموزشهای لازم ارائه شود.
- در حین کدنویسی و در پایان فازهای مختلف از ابزارهای پویش خطاهای امنیتی کدنویسی که اصطلاحا SAST نامیده می شود استفاده شود.
- پس از پایان کدنویسی و آماده شدن محصول از ابزارهای پویش آسیب پذیری پویا که اصطلاحا DAST نامیده می شوند استفاده شود.
اگر بخش کوچکی از هزینه های سنگینی که برخی از سازمانها در اجرای پروژههای امنیتی می کنند را در مشاوره های پیش از پیاده سازی و نظارت امنیتی حین پیاده سازی خرج کنند، علاوه بر سرعت گرفتن اقدامات امنیتی بعدی، گام بلندی در تامین امنیت محصولات نرم افزاری برداشتهاند، زیرا مبتنی بر راهبرد دفاع در عمق، حفاظت از داده ها از داخلی ترین لایه تا بیرونی ترین لایه می بایست انجام شود.
«امنیت»، دستاوردی فرآیند محور است که از کنار هم قرار گرفتن عوامل موثر و حلقههای زنجیری چون آموزش، مشاوره، اصلاح روال، کنترل، ساختار، نیروی انسانی متخصص و ... به دست می آید. انجام پروژه های امن سازی یا تست نفوذ بدون توجه به حلقه های فوق، «توسعه امنیت متوازن» را دچار اختلال می کند و این همان چیزی است که امروز در سازمانهای بعضا دولتی مشاهده میکنیم. تجهیزات میلیاردی که مشخص نیست برای محافظت از کدام دارایی، طبق چه طرحی، با چه هدفی خریداری و نصب شده اند و این انتظار نادرست را در مدیران بالادستی ایجاد کرده اند که در محدوده امن به سر می برند.
انتهای پیام
افزودن دیدگاه جدید