آیا واقعا برنامه‌نویسان امنیت نرم‌افزاری را برای حفظ سرعت سیستم کنار می‌گذارند؟

شرکت دایناتریس (Dynatrace)، که در زمینه‌ی نرم‌افزارهای هوشمند به فعالیت می‌پردازد، یک ساختار ابر-بومی (cloud-native) جدید یافته است که امکانات سنتی را در زمینه‌ی امنیت نرم‌افزاری، در مقیاس جهانی در هم شکسته است.

امنیت نرم‌افزاری

تحقیقات جدید نشان می‌دهند که سازه‌های ابر-بومی جدید در حال درهم شکستن امنیت نرم‌افزاری سنتی هستند.

شرکت ساخت نرم‌افزارهای هوشمند دایناتریس اعلام کرده است که تحقیقاتی مستقل را، که متشکل از 700 کارشناس پیشرفته‌ی امنیت اطلاعاتی بوده است، در مقیاس جهانی صورت داده است؛ که این تحقیقات پیرامون افزایش بهره‌برداری از سازه‌های ابر-بومی، دوآپس و اصول سریع‌ الانتقال در زمینه‌ی امنیت داده‌هاست. این تحقیقات اثبات می‌کنند که موارد مذکور توانسته‌اند رویکرد سنتی در زمینه‌ی امنیت نرم‌افزاری را کاملا درهم بشکنند.

همان‌طور که سازمان‌ها توجه بیشتری به نمایندگی فورتی نت توسعه‌دهندگان نشان می‌دهند؛ تا در واقع شتاب نوآوری را در سیستم خود افزایش دهند، همزمان اکوسیستم پیچیده‌ی آی‌تی و تجهیزات از مد افتاده‌ی امنیت نرم‌افزاری موجب کاهش سرعت آپدیت‌های جدید شده، در واقع نقاط کوری را در سیستم اپلیکیشن بر جای می‌گذارند. همین امر موجب می‌شوند که تیم کارشناسان امنیت نرم‌افزاری مجبور شوند به طور دستی، اخطارهای بی‌شماری را تریاژ نمایند. اخطارهایی که اکثر آن‌ها به صورت فیک و مثبتِ کاذب بوده و ریشه در آسیب‌پذیری کتابخانه‌هایی دارند؛ که حتی در پروسه‌ی تولید استفاده هم نشده‌اند.

این تحقیق حاکی از این بود که 89 درصد از کارشناسان امنیت اطلاعاتی، اعتقاد دارند که میکرو سرویس‌ها، کانتینرها و کوبرنت‌ها مقصر ایجاد نقاط آسیب‌پذیر در سیستم امنیت نرم‌افزاری هستند. این در حالی‌ست که 97 درصد از سازمان‌ها نظارت همزمانی بر روی نقاط آسیب‌پذیری که در محیط تولید کانتینر محور، حین اجرای سیستم به وجود می‌آید؛ ندارند.

تقریبا دو سوم کارشناسان امنیت اطلاعاتی (63 درصد) عقیده دارند که توسعه‌دهندگان اجایل و دوآپس باعث شده‌اند که ردیابی و مدیریت نقاط آسیب‌پذیر نرم‌افزارها سخت باشد. طبق این گزارش، 74 درصد از این کارشناسان امنیتی می‌گویند که سیستم‌های کنترل سنتی امنیت نرم‌افزاری، مانند اسکنرهای آسیب‌سنج، را نمی‌توان در دنیای ابر-بوم محور امروزی استفاده کرد. 71 درصد از این تیم هم اعتراف می‌کنند که نمی‌توان کاملا به هیچ کدام از کدها اطمینان کرد، که در زمان ورود به پروسه‌ی تولید، عاری از هرگونه نقاط آسیب‌پذیر باشند.

برند گری‌فندر، موسس و سرپرست بخش تکنولوژی در دایناتریس اعتقاد دارد که:«افزایش کاربرد قابلیت‌هایی که بر محور فضای ابر-بومی شکل گرفته‌اند؛ اساسا اصول سنتی بکارگیری تجهیزات سنتی را در زمینه‌ی امنیت نرم‌افزاری هم شکسته است.» وی در ادامه می‌گوید:«این تحقیقات مهر تاییدی بر آن چیزی بود که انتظارش را می‌کشیدیم: در فضای ابری و سرعت بالای تغییر در این فضای پویا، دیگر نمی‌توان از اسکن‌های ضعف‌یاب دستی و تجهیزات جلوگیری از آسیب‌های احتمالی وارده به سیستم استفاده نمود. چرا که تحول این تجهیزات سنتی با سرعت تحول و نوآوری‌های فضای ابری هم‌گام نیستند.»

گری‌فندر این را هم اضافه می‌کند:« بهره‌گیری از تجهیزات ریسک‌یاب، با توجه به افزایش تعداد نیامندی‌های سرویس داخلی و خارجی، تغییرات متناوب در حال اجرای سیستم، انتقال و جابجایی دائمی اطلاعات و توسعه‌ی نرم‌افزارهای چندزبانه، تقریبا غیرممکن است. بعلاوه استفاده از تکنولوژی‌های شخص ثالث در این نرم‌افزارها هر روزه در حال افزایش است. بنابراین تیم‌هایی که در این زمینه به کار مشغول‎اند؛ مجبور هستند از بین سرعت و امنیت یکی را انتخاب کنند. از این رو سازمان‌های خود را در معرض خطر آسیب قرار می‌دهند.»

سایر یافته‌های این تحقیق شامل موارد زیر می‌شود:

به طور میانگین، سازمان‌ها نیاز دارند که هر ماه با حدود 2169 اخطار جدید از سوی نقاط آسیب‌پذیر امنیت نرم‌افزاری دست و پنجه نرم کنند.

  • 77 درصد از کارشناسان امنیت اطلاعاتی معتقدند، که اکثر این اخطارهای امنیتی حاصل از نقاط آسیب‌پذیر ایمنی سیستم، در حقیقت اخطارهای مثبتِ کاذبی هستند؛ که نیازی به اقدامات مستقیم ندارند. چرا که در واقع سازمان در خطر و ریسک افشای اطلاعاتی قرار ندارد.
  • 68 درصد از این کارشناسان می‌گویند که ازدیاد این اخطارها، موجب می‌شود که نتوان نقاط آسیب‌پذیر سیستم را بر اساس میزان خطر و ضربه‌ی احتمالی که به نرم‌افزار وارد می‌کنند؛ اولویت‌بندی نمود.
  • 64 درصد از کارشناسان امنیت اطلاعاتی اظهار می‌کنند که توسعه‌دهندگان وقت این را ندارند که قبل از ورود یک کد به پروسه‌ی تولید، نقاط ضعف آن را حل نمایند.
  • 77 درصد از کارشناسان مذکور اعلام کردند که تنها راهی که بتوان امنیت تجهیزات ابر-بوم محور مدرن را تضمین کرد، این است که تجهیزات اتوماتیک را جایگزین پیکربندی‌ها، گسترده‌سازی و مدیریت دستی و سنتی نمود.
  • 28 درصد از این کارشناسان گفتند که تیم ساخت اپلیکیشن‌ها، گاهی اسکن‌ نقاط حساس و آسیب‌پذیر سیستم را نادیده می‌گیرند؛ تا تنها بر روی افزایش سرعت اطلاعات در فضای اپلیکیشن تمرکز نمایند.

گری‌فندر در پایان اظهار کرد که:« همزمان که سازمان‌ها رغبت بیشتری به DevSecOps نشان می‌دهند؛ نیاز است که راه‌حل‌هایی در اختیار تیم نرم‌افزاری خود قرار دهند؛ تا به طور اتوماتیک، مداوم و همزمان با اجرای سیستم، ریسک و صدمات احتمالی که از هر نقطه‌ی آسیب‌پذیر نرم‌افزار ممکن است به وجود آید را، آنالیز و بررسی نمایند. این آنالیز می‌بایست هم پیش از تولید اپلیکیشن و هم در محیط تولید به انجام رسیده، و تنها بر پایه‌ی اسنپ‌شات‌های دقیقه نودی نباشد. با وجود طرح امنیت اپلیکیشنی که در پلتفرم نرم‌افزار هوشمند دایناتریس به انجام رسید، سازمان‌ها می‌توانند اتوماسیون، هوش مصنوعی، مقیاس‌پذیری سیستمی و بهینه‌سازی اجرایی دایناتریس را به کار ببندند. از این رو چرخه‌ی انتشار آپدیت‌های نرم‌افزار، با انتقال داده‌ی ایمنی همراه خواهد بود و بهتر می‌توان به امنیت نرم‌افزاری یک فضای بوم-ابری، که فاقد هرگونه ریسک افشا سازی داده‌هاست؛ اطمینان نمود.