زمانی که شرکت‌های امنیتی در مبارزه با هکرها شکست می‌خورند، چه اتفاقی رخ می‌دهد؟

حمله‌ موفقیت‌آمیزی که گزارش آن چندی پیش منتشر شد، شرکت چندملیتی Equifax را به‌واسطه یک نقض داده‌ای درهم نوردید. رخنه‌ای که درنهایت باعث شد اطلاعات حساس متعلق به بیش از 145 میلیون نفر فاش شود. پیش از آنکه گزارش مربوط به این نقض داده‌ای منتشر شود، شرکت Equifax یکی از قابل اعتمادترین شرکت‌هایی بود که بسیاری از مردم و حتی کسب‌وکارها اطلاعات حساس خود را به این شرکت می‌سپردند تا از آن‌ها نگهداری کند. نکته قابل تأملی که در ارتباط با شرکت Equifax وجود دارد این است که شرکت یاد شده خود سرویس‌هایی را برای شناسایی و مقابله با سرقت هویت در اختیار سازمان‌ها قرار می‌دهد. پس از آنکه گزارش نفوذ به این شرکت منتشر شد، بسیاری از سازمان‌های بزرگ تصمیم گرفتند زیرساخت‌های امنیتی خود را یک بار دیگر به دقت مورد بررسی قرار دهند. تقریباً دو سال پیش بود که خبر نفوذ به شرکت Target سازمان‌ها را بر آن داشت تا زیرساخت‌های امنیتی خود را دوباره به‌دقت مورد بررسی قرار دهند. اکنون سازمان‌های بسیار بزرگ برنامه‌های دقیقی را برای شناسایی مخاطراتی که در برنامه‌های حساس آن‌ها وجود دارد به مرحله اجرا درآورده‌اند. یک سال پیش نیز سازمان بورس و اوراق بهادار ایالات متحده گزارش کرد که در اثر یک حمله سایبری، هکرها موفق شده‌اند به اطلاعات محرمانه این سازمان دست پیدا کنند و از طریق این داده‌های حساس معاملات کلان غیرقانونی را ترتیب دهند. اما این تنها سازمان‌های مرتبط با سرویس‌های مالی نیستند که قربانی این‌گونه حملات شده‌اند. شرکت امنیتی Avast نیز چندی پیش اعلام کرد یکی از سرویس‌های تفریحی محبوب این شرکت مورد حمله هکری قرار گرفته و هکرها موفق شده‌اند با کار گذاشتن یک در پشتی که قادر است از مکانیسم‌های امنیتی عبور کند، چیزی حدود 700 هزار سامانه کامپیوتری را آلوده سازند. 

مطلب پیشنهادی

بایدها و نبایدهای مکانیسم احراز هویت دوعاملی

مکانیسم احراز هویت دوعاملی چیست و چرا سازمان‌ها از آن استفاده می‌کنند؟

رصدهای میدانی کارشناسان امنیتی نشان می‌دهد که هکرها آماده شده‌اند چند غول بزرگ حوزه فناوری و صنعت را در فاز دوم مورد حمله قرار دهند و تروجان‌های صنعتی را به درون زیرساخت‌های آن‌ها وارد کنند. به همین دلیل است که شرکت‌ها به تکاپو افتاده‌اند تا کوچک‌ترین رخنه‌های احتمالی را شناسایی کنند. نفوذ بی‌سابقه به شرکت‌های پیشگام در عرصه فناوری، شرکت‌های امنیتی، دفاتر اعتباری و سازمان‌های مالی این شائبه را به وجود آورده است که آیا به‌راستی نرم‌افزارهای امنیتی آن‌گونه که ادعا می‌شود قادر هستند از ما در برابر حملات دفاع کنند؟ اگر چنین است پس چرا شرکت‌های صاحب‌نام در این زمینه تحت نفوذ قرار گرفته‌‌اند؟ جواب این پرسش در حوزه نرم‌افزار قرار دارد. طراحی یک نرم‌افزار مطمئن و ایمن فرآیند ساده‌ای نیست. تأمین امنیت نرم‌افزارها این‌گونه نیست که شما از فناوری‌های نوین استفاده کنید یا نرم‌افزارهای خود را تا به آنجا پیچیده کنید که هیچ کاربری نتواند از آن استفاده کند. به امید اینکه نرم‌افزار مورد نفوذ قرار نگیرد. درست است که ما می‌توانیم از متدولوژی‌هایی همچون Formal برای ساخت ایمن‌ترین نرم‌افزارها درست همانند آن‌هایی که در هواپیماها مورد استفاده قرار می‌گیرد استفاده کنیم، اما به‌کارگیری چنین متدولوژی‌هایی به‌شدت قیمت نهایی نرم‌افزار را افزایش می‌دهد. از طرفی حوزه امنیت ماهیتی کاملاً پویا دارد. در نتیجه سازمان‌ها چاره‌ای ندارند جزء اینکه خود را با پیشرفت‌ها هماهنگ سازند و همچنین سعی کنند این سازگاری را برای مدت‌های مدید حفظ کنند. درباره سازمان Equifax شاهد بودیم که عدم وصله کردن یک آسیب‌پذیری شناسایی شده در چهارچوب متن ‌باز آپاچی استراتس که در یکی از برنامه‌های تحت وب این شرکت مورد استفاده قرار می‌گرفت، باعث شد میلیون‌ها رکورد اطلاعاتی به سرقت برود. در حالی که ابزارهای متعددی برای شناسایی باگ‌ها در نرم‌افزارها از جمله نرم‌افزارهای متن‌ باز وجود دارد، اما سهل‌انگاری در این زمینه باعث شده است شرکت‌ها تاوان زیادی در این خصوص بپردازند. مشکل دیگر بسیاری از سازمان‌ها این است که از «مدل پیاده‌سازی امنیت بر حسب بلوغ» موسوم به BSIMM که قادر است بر مبنای داده‌های واقعی مشکلات را به‌خوبی نشان دهد استفاده نمی‌کنند. مدل BSIMM این قابلیت را در اختیار سازمان‌ها قرار می‌دهد که امتیاز و رتبه امنیتی خود را با سازمان‌های هم‌تراز مورد مقایسه قرار دهند. مزیت مهمی که مدل یاد شده دارد این است که تحت مجوز Creative Commons عرضه می‌شود. در نتیجه سازمان‌ها به‌شکل رایگان می‌توانند آن ‌را دانلود کنند و مورد استفاده قرار دهند. این سامانه به‌خوبی قادر است نرم‌افزارهای متن ‌باز و همچنین مؤلفه‌های آن‌ها را مورد بررسی قرار دهد و خطرات را گزارش کند. در حالی که امنیت باید به‌عنوان اولویت اصلی در فرآیند توسعه نرم‌افزارها مورد توجه قرار گیرد، اما متأسفانه شاهد هستیم که سازمان‌ها برای حفظ مزیت رقابتی خود در اغلب موارد این فاکتور را قربانی می‌کنند تا بتوانند سرعت طراحی و تحویل نرم‌افزار را افزایش دهند.