حملات سایبری در آمریکا و درس هایی که باید گرفت
به گزارش مجله وبلاگ فروش، تقریبا هر روز خبرهایی از زوایا و ابعاد مختلف حملات سایبری که هدف اصلی آن آمریکا بوده است منتشر می گردد که نشان دهنده برنامه طولانی مدت و مبتنی بر سناریوی برنامه ریزی شده توسط مهاجمان است.
آنالیز اطلاعات محدود منتشر شده از حمله سایبری که ابعاد وسیعی در آمریکا داشته است، نشان می دهد به شدت در مورد اثرات جانبی و همچنین عمق نشت و سرقت اطلاعات و دسترسی های غیرمجاز دولتی، سانسور خبری شده است. از سوی دیگر همانطور که انتظار داشتیم و قبلا نیز اشاره کردیم جرایم سایبری و بازیگران تهدیدات سایبری در حوزه های دولتی و سازمان های مهم با توجه به تاثیر اقتصادی ناشی از COVID-19 از منظر جغرافیایی و عملیاتی برای طیف وسیعی از جهان سازماندهی می نمایند. آمارها حکایت از رشد 300 درصدی جرایم سایبری در حوزه اقتصادی و بانکی از زمان شیوع پاندومی COVID-19 دارد.
تحلیل ها و گزارش های شرکت Solar winds از جریان قربانی شدن در این زنجیره حملات، درس های مهم و تجربه جهانی برای حوزه های امنیت سایبری دارد، به خصوص برای جامعه فناوری اطلاعات و ارتباط ایران که از دیرباز اهداف حملات سایبری سازمان یافته ای توسط دولت های متخاصم است.
انتخاب یک سیستم مانیتورینگ به عنوان قربانی جهت آلودگی و نفوذ به دیگر بخش ها و سیستم ها بسیار هوشمندانه است، چرا که یک سیستم پایش و مانیتورینگ ذاتا احتیاج به دسترسی و تعامل با تمامی اجزاء شبکه و سرویس ها دارد که کار را برای مهاجمان بسیار آسان تر می نماید.
اما سوال اینجاست با توجه به شرایط موجود و اتفاقات به هم پیوسته اخیر، بهترین اقدامات پیشگیرانه و مقابله ای برای محافظت از دارایی های ملی و سازمانی کدام است؟ آیا این سناریو و حادثه امنیتی برای محصولات فراوری داخل نیز ممکن است اتفاق بیفتد؟ چه راهکاری برای آن می توان در نظر گرفت؟ با آنالیز فرایند تهدیدات و تجربیات گذشته در حال حاضر دو اقدام بیش از پیش لازم است که در ادامه به آن پرداخته خواهد شد:
استفاده ازمتن بازها (Open Source) و فراهم کردن ممیزی کدها
استفاده از سیستم های متن باز و یا فراهم کردن و امکان آنالیز و ممیزی کدهای نرم افزارها و ابزارهای مهم و کلیدی به خصوص ابزارهایی که اهداف امنیتی و نظارتی را در شبکه و زیرساخت ارتباطی برعهده دارند از اهمیت بالایی برخوردار هستند، ضعف امنیتی موجود و به تبع آن حملات گسترده اخیر احتیاج ما را به استفاده از سیستم های متن باز بیش از بیش نمایان نموده است. همچنین به دلیل تحریم های یکجانه و ظالمانه دریافت سرویس و خدمات بر روی محصولات و پلتفرم ها امکان پذیرنبوده یا به سختی و به روش غیرحرفه ای و استاندارد انجام می گیرد.
راه اندازی سامانه های تحلیل ایستا و پویای امنیتی نرم افزارها
همانطور که می دانیم خدماتی نظیر آزمون نفوذپذیری (Penetration test) توسط بسیاری از شرکت ها و آزمایشگاه در کشور ارائه می گردد. اما روش های مورد استفاده و استانداردهای فنی و عمق آنالیز ها، برای سیستم های با کارنمودهای عمومی است. لذا توانایی برآورده کردن بخش هایی از احتیاجهای امنیتی مانند آنچه رخ داده است، در این آزمون ها امکان پذیر نیست.
موضوع ارزیابی امنیتی با استفاده از تکنیک های اتوماتیک تحلیل های ایستای کد می تواند در بسیاری از موارد کاربردی باشد. نگرش ملی به افزایش توان فنی و یا ایجاد آزمایشگاه های امنیتی با توان و تخصص فوق و همچنین توسعه سامانه های تحلیل ایستای اتوماتیک امنیتی بر روی کدهای نرم افزاری به صورت مستمر می تواند بخش اعظم دغدغه های امنیتی بدنه حاکمیت و بهره بردارهای عظیم به عنوان مشتریان کلیدی و مهم را کاهش دهد.
تحلیل کد منبع برنامه های کاربردی به منظور کشف انواع آسیب پذیری های امنیتی نظیر Backdoor ها و کدهای مخرب در فازهای برنامه نویسی و یا در چرخه حیات توسعه نرم افزار (SDLC)، حتی در فرآیندهای به روزرسانی و توسعه می تواند قرار گیرد. از طرفی استفاده از آزمون های تحلیل پویا نیز می تواند تکمیل نماینده این بخش از آزمون ها باشد. گفتنی است این موضوع قابلیت گسترش و استفاده در بخش برنامه های کاربردی موبایل (Mobile Application) با توجه به وجود انبوهی از مسائل امنیتی مانند سرقت اطلاعات کاربران، نقض حریم خصوصی و غیره را نیز دارا است.
در شرایط فعلی کشور استفاده از محصولات خارجی بدون ارائه خدمات و امکان دریافت سرویس رسمی و قانونی این فرصت را به یک تهدید جدی تبدیل نموده است، لذا توصیه می گردد استفاده از ابزارهای بومی و داخلی کشور که مسیرهای ارزیابی فنی را گذرانده و دارای مجوزهای قانونی و همچنین تجربه پیروز در اجرا و پیاده سازی پروژه ها را داست، در دستور کار قرارگیرد.
خوشبختانه در کشور فعالیت های خوبی در این حوزه اجرا شده و ابزارهای بومی مبتنی بر دانش و تخصص توسط شرکت های داخلی توسعه پیدا نموده است. بر اساس ضرورت و تشخیص در سه سال اخیر پروژه هایی در این زمینه در بخش امنیت سازمان فناوری اطلاعات تعریف شده است.
اتخاذ رویکرد مناسب و استفاده از تجربه و تخصص های موجود در این شرکت ها و محصولات فراوری شده در هر دو بخش دولتی و خصوصی می تواند به کاهش نگرانی های موجود در این حوزه با توجه به شرایط فعلی یاری شایانی کند.
منبع: ایران آنلاین