ضرورت صرف هزینه برای مشاوره‌های امنیتی پیش از اجرای پروژه‌های سایبری

امین ترابی، مدیر گروه امنیت شبکه، سامانه‌های اطلاعاتی و صنعتی شرکت امن‌افزارگستر شریف در یادداشت ارسالی برای سیتنا، نوشت:

با رشد سریع شرکت های دانش بنیان در حوزه برنامه نویسی در سال‌های اخیر، شاهد سفارشی شدن سطح وسیعی از سامانه های اطلاعاتی توسط سازمان‌ها و نهادهای مختلف هستیم. کمتر پیش می‌آید که سازمانی از توان داخلی خود برای توسعه یک سامانه یا خدمت استفاده کند. از سوی دیگر محصولات نرم افزاری که در کشور توزیع می‌شود بعضا به صورت پودمانی طراحی می‌شوند و هر پودمان در محصولات مختلفی مورد استفاده قرار می‌گیرد. به همین جهت، معمولا سامانه های اطلاعاتی که محصول یک شرکت خاص باشند، از لحاظ امنیتی در یک سطح مشابه قرار دارند. این موضوع تهدیدهای زیادی را متوجه زیرساخت‌های اطلاعاتی کشور کرده است.

به عنوان نمونه یک محصول نرم افزاری اداری برای یک سازمان طراحی و راه اندازی می شود، کدهای مورد استفاده در این محصول در سایر محصولات مشابه شرکت طراح استفاده می شود، حال چنانچه یک آسیب پذیری سطح بالا در محصول خریداری شده کشف شود، بدین معناست که علاوه بر در معرض خطر بودن کارفرمای محصول، سایر محصولاتی هم که از کدهای آلوده در طراحی آنها استفاده شده است، آسیب پذیر هستند.

استفاده از کدها، رویه ها یا عملکردهای مشابه در محصولات نرم افزاری امری شایع در سطح جهان است. حتی بعضا این کدهای خاص توسط برنامه نویسان خرید و فروش هم می شود.

اما چه راهکاری وجود دارد تا از بروز این تهدیدها در سطح سازمان‌ها و نهادهای مختلف و بعضا حساس جلوگیری کرد؟

پاسخ به این سوال در تعامل بالا بین کارفرما و پیمانکار طراحی محصولات نرم افزاری نهفته است. فارغ از محدودیت های قانونی در استفاده از نرم افزارهای بدون مجوز افتای ریاست جمهوری، پیمانکارانی که قصد طراحی یک محصول نرم افزاری را دارند می بایست به موضوع مهم و حیاتی مشاوره های پیش از پیاده سازی توجه ویژه داشته باشند. به طور معمول از دیدگاه یک توسعه دهنده محصولات نرم افزاری، کارکرد صحیح مولفه های نرم افزاری نشاندهنده صحت عملکرد تیم توسعه است؛ در حالی که بسیاری از مولفه ها، در زمان وقوع رخدادهای سایبری ممکن است رفتارهای مخرب و آسیب زا داشته و حتی علیه عملکرد اصلی سیستم اقدام کنند.

بنابراین لازم است تیم های توسعه دهنده، قبل از اقدام به پیاده سازی به موارد ذیل توجه کنند:

• با استفاده از مشاوره های امنیتی، طراحی منطقی سامانه های اطلاعاتی بررسی شود.
• جانمایی مولفه های خاص نرم افزاری می بایست دقیقا بررسی و در صورت لزوم اصلاح شود.
• ارتباطات نقش اساسی در امنیت یک سامانه دارد. توسعه دهندگان می بایست اتصالات و ارتباطات سامانه را با سامانه ها یا سرورهای مجاور به طور دقیق بررسی و اصلاح کنند.
• آشنایی توسعه دهندگان با مفاهیم پیشرفته کد نویسی امن (Secure coding) را بررسی و آموزش‌های لازم ارائه شود.
• در حین کدنویسی و در پایان فازهای مختلف از ابزارهای پویش خطاهای امنیتی کدنویسی که اصطلاحا SAST نامیده می شود استفاده شود.
• پس از پایان کدنویسی و آماده شدن محصول از ابزارهای پویش آسیب پذیری پویا که اصطلاحا DAST نامیده می شوند استفاده شود.

اگر بخش کوچکی از هزینه های سنگینی که برخی از سازمان‌ها در اجرای پروژه‌های امنیتی می کنند را در مشاوره های پیش از پیاده سازی و نظارت امنیتی حین پیاده سازی خرج کنند، علاوه بر سرعت گرفتن اقدامات امنیتی بعدی، گام بلندی در تامین امنیت محصولات نرم افزاری برداشته‌اند، زیرا مبتنی بر راهبرد دفاع در عمق، حفاظت از داده ها از داخلی ترین لایه تا بیرونی ترین لایه می بایست انجام شود.

«امنیت»، دستاوردی فرآیند محور است که از کنار هم قرار گرفتن عوامل موثر و حلقه‌های زنجیری چون آموزش، مشاوره، اصلاح روال، کنترل، ساختار، نیروی انسانی متخصص و ... به دست می آید. انجام پروژه های امن سازی یا تست نفوذ بدون توجه به حلقه های فوق، «توسعه امنیت متوازن» را دچار اختلال می کند و این همان چیزی است که امروز در سازمان‌های بعضا دولتی مشاهده می‌کنیم. تجهیزات میلیاردی که مشخص نیست برای محافظت از کدام دارایی، طبق چه طرحی، با چه هدفی خریداری و نصب شده اند و این انتظار نادرست را در مدیران بالادستی ایجاد کرده اند که در محدوده امن به سر می برند.

انتهای پیام