آیا واقعا برنامهنویسان امنیت نرمافزاری را برای حفظ سرعت سیستم کنار میگذارند؟
شرکت دایناتریس (Dynatrace)، که در زمینهی نرمافزارهای هوشمند به فعالیت میپردازد، یک ساختار ابر-بومی (cloud-native) جدید یافته است که امکانات سنتی را در زمینهی امنیت نرمافزاری، در مقیاس جهانی در هم شکسته است.
تحقیقات جدید نشان میدهند که سازههای ابر-بومی جدید در حال درهم شکستن امنیت نرمافزاری سنتی هستند.
شرکت ساخت نرمافزارهای هوشمند دایناتریس اعلام کرده است که تحقیقاتی مستقل را، که متشکل از 700 کارشناس پیشرفتهی امنیت اطلاعاتی بوده است، در مقیاس جهانی صورت داده است؛ که این تحقیقات پیرامون افزایش بهرهبرداری از سازههای ابر-بومی، دوآپس و اصول سریع الانتقال در زمینهی امنیت دادههاست. این تحقیقات اثبات میکنند که موارد مذکور توانستهاند رویکرد سنتی در زمینهی امنیت نرمافزاری را کاملا درهم بشکنند.
همانطور که سازمانها توجه بیشتری به نمایندگی فورتی نت توسعهدهندگان نشان میدهند؛ تا در واقع شتاب نوآوری را در سیستم خود افزایش دهند، همزمان اکوسیستم پیچیدهی آیتی و تجهیزات از مد افتادهی امنیت نرمافزاری موجب کاهش سرعت آپدیتهای جدید شده، در واقع نقاط کوری را در سیستم اپلیکیشن بر جای میگذارند. همین امر موجب میشوند که تیم کارشناسان امنیت نرمافزاری مجبور شوند به طور دستی، اخطارهای بیشماری را تریاژ نمایند. اخطارهایی که اکثر آنها به صورت فیک و مثبتِ کاذب بوده و ریشه در آسیبپذیری کتابخانههایی دارند؛ که حتی در پروسهی تولید استفاده هم نشدهاند.
این تحقیق حاکی از این بود که 89 درصد از کارشناسان امنیت اطلاعاتی، اعتقاد دارند که میکرو سرویسها، کانتینرها و کوبرنتها مقصر ایجاد نقاط آسیبپذیر در سیستم امنیت نرمافزاری هستند. این در حالیست که 97 درصد از سازمانها نظارت همزمانی بر روی نقاط آسیبپذیری که در محیط تولید کانتینر محور، حین اجرای سیستم به وجود میآید؛ ندارند.
تقریبا دو سوم کارشناسان امنیت اطلاعاتی (63 درصد) عقیده دارند که توسعهدهندگان اجایل و دوآپس باعث شدهاند که ردیابی و مدیریت نقاط آسیبپذیر نرمافزارها سخت باشد. طبق این گزارش، 74 درصد از این کارشناسان امنیتی میگویند که سیستمهای کنترل سنتی امنیت نرمافزاری، مانند اسکنرهای آسیبسنج، را نمیتوان در دنیای ابر-بوم محور امروزی استفاده کرد. 71 درصد از این تیم هم اعتراف میکنند که نمیتوان کاملا به هیچ کدام از کدها اطمینان کرد، که در زمان ورود به پروسهی تولید، عاری از هرگونه نقاط آسیبپذیر باشند.
برند گریفندر، موسس و سرپرست بخش تکنولوژی در دایناتریس اعتقاد دارد که:«افزایش کاربرد قابلیتهایی که بر محور فضای ابر-بومی شکل گرفتهاند؛ اساسا اصول سنتی بکارگیری تجهیزات سنتی را در زمینهی امنیت نرمافزاری هم شکسته است.» وی در ادامه میگوید:«این تحقیقات مهر تاییدی بر آن چیزی بود که انتظارش را میکشیدیم: در فضای ابری و سرعت بالای تغییر در این فضای پویا، دیگر نمیتوان از اسکنهای ضعفیاب دستی و تجهیزات جلوگیری از آسیبهای احتمالی وارده به سیستم استفاده نمود. چرا که تحول این تجهیزات سنتی با سرعت تحول و نوآوریهای فضای ابری همگام نیستند.»
گریفندر این را هم اضافه میکند:« بهرهگیری از تجهیزات ریسکیاب، با توجه به افزایش تعداد نیامندیهای سرویس داخلی و خارجی، تغییرات متناوب در حال اجرای سیستم، انتقال و جابجایی دائمی اطلاعات و توسعهی نرمافزارهای چندزبانه، تقریبا غیرممکن است. بعلاوه استفاده از تکنولوژیهای شخص ثالث در این نرمافزارها هر روزه در حال افزایش است. بنابراین تیمهایی که در این زمینه به کار مشغولاند؛ مجبور هستند از بین سرعت و امنیت یکی را انتخاب کنند. از این رو سازمانهای خود را در معرض خطر آسیب قرار میدهند.»
سایر یافتههای این تحقیق شامل موارد زیر میشود:
به طور میانگین، سازمانها نیاز دارند که هر ماه با حدود 2169 اخطار جدید از سوی نقاط آسیبپذیر امنیت نرمافزاری دست و پنجه نرم کنند.
- 77 درصد از کارشناسان امنیت اطلاعاتی معتقدند، که اکثر این اخطارهای امنیتی حاصل از نقاط آسیبپذیر ایمنی سیستم، در حقیقت اخطارهای مثبتِ کاذبی هستند؛ که نیازی به اقدامات مستقیم ندارند. چرا که در واقع سازمان در خطر و ریسک افشای اطلاعاتی قرار ندارد.
- 68 درصد از این کارشناسان میگویند که ازدیاد این اخطارها، موجب میشود که نتوان نقاط آسیبپذیر سیستم را بر اساس میزان خطر و ضربهی احتمالی که به نرمافزار وارد میکنند؛ اولویتبندی نمود.
- 64 درصد از کارشناسان امنیت اطلاعاتی اظهار میکنند که توسعهدهندگان وقت این را ندارند که قبل از ورود یک کد به پروسهی تولید، نقاط ضعف آن را حل نمایند.
- 77 درصد از کارشناسان مذکور اعلام کردند که تنها راهی که بتوان امنیت تجهیزات ابر-بوم محور مدرن را تضمین کرد، این است که تجهیزات اتوماتیک را جایگزین پیکربندیها، گستردهسازی و مدیریت دستی و سنتی نمود.
- 28 درصد از این کارشناسان گفتند که تیم ساخت اپلیکیشنها، گاهی اسکن نقاط حساس و آسیبپذیر سیستم را نادیده میگیرند؛ تا تنها بر روی افزایش سرعت اطلاعات در فضای اپلیکیشن تمرکز نمایند.
گریفندر در پایان اظهار کرد که:« همزمان که سازمانها رغبت بیشتری به DevSecOps نشان میدهند؛ نیاز است که راهحلهایی در اختیار تیم نرمافزاری خود قرار دهند؛ تا به طور اتوماتیک، مداوم و همزمان با اجرای سیستم، ریسک و صدمات احتمالی که از هر نقطهی آسیبپذیر نرمافزار ممکن است به وجود آید را، آنالیز و بررسی نمایند. این آنالیز میبایست هم پیش از تولید اپلیکیشن و هم در محیط تولید به انجام رسیده، و تنها بر پایهی اسنپشاتهای دقیقه نودی نباشد. با وجود طرح امنیت اپلیکیشنی که در پلتفرم نرمافزار هوشمند دایناتریس به انجام رسید، سازمانها میتوانند اتوماسیون، هوش مصنوعی، مقیاسپذیری سیستمی و بهینهسازی اجرایی دایناتریس را به کار ببندند. از این رو چرخهی انتشار آپدیتهای نرمافزار، با انتقال دادهی ایمنی همراه خواهد بود و بهتر میتوان به امنیت نرمافزاری یک فضای بوم-ابری، که فاقد هرگونه ریسک افشا سازی دادههاست؛ اطمینان نمود.