تقریبا هر روز خبرهایی از زوایا و ابعاد مختلف حملات سایبری که هدف اصلی آن آمریکا بودهاست منتشر میشود که نشاندهنده برنامه طولانیمدت و مبتنی بر سناریوی برنامهریزی شده توسط مهاجمان است.
بررسی اطلاعات محدود منتشر شده از حمله سایبری که ابعاد وسیعی در آمریکا داشتهاست، نشان میدهد به شدت در خصوص اثرات جانبی و همچنین عمق نشت و سرقت اطلاعات و دسترسیهای غیرمجاز دولتی، سانسور خبری شدهاست. از سوی دیگر همانطور که انتظار داشتیم و قبلا نیز اشاره کردیم جرایم سایبری و بازیگران تهدیدات سایبری در حوزههای دولتی و سازمانهای مهم با توجه به تاثیر اقتصادی ناشی از COVID-۱۹ از منظر جغرافیایی و عملیاتی برای طیف وسیعی از دنیا سازماندهی میکنند. آمارها حکایت از رشد ۳۰۰ درصدی جرایم سایبری در حوزه مالی و بانکی از زمان شیوع پاندومی COVID-۱۹ دارد.
تحلیلها و گزارشهای شرکت Solar winds از جریان قربانی شدن در این زنجیره حملات، درسهای مهم و تجربه جهانی برای حوزههای امنیت سایبری دارد، به خصوص برای جامعه فناوری اطلاعات و ارتباط ایران که از دیرباز اهداف حملات سایبری سازمان یافتهای توسط دولتهای متخاصم است.
انتخاب یک سیستم مانیتورینگ به عنوان قربانی جهت آلودگی و نفوذ به دیگر بخشها و سیستمها بسیار هوشمندانه است، چرا که یک سیستم پایش و مانیتورینگ ذاتا نیاز به دسترسی و تعامل با تمامی اجزاء شبکه و سرویسها دارد که کار را برای مهاجمان بسیار آسانتر میکند.
اما سوال اینجاست با توجه به شرایط موجود و اتفاقات به هم پیوسته اخیر، بهترین اقدامات پیشگیرانه و مقابلهای برای محافظت از داراییهای ملی و سازمانی کدام است؟ آیا این سناریو و حادثه امنیتی برای محصولات تولید داخل نیز ممکن است اتفاق بیفتد؟ چه راهکاری برای آن میتوان در نظر گرفت؟ با بررسی روند تهدیدات و تجربیات گذشته در حال حاضر دو اقدام بیش از پیش ضروری است که در ادامه به آن پرداخته خواهد شد:
استفاده ازمتن بازها (Open Source) و فراهم کردن ممیزی کدها
استفاده از سیستمهای متن باز و یا فراهم کردن و امکان بررسی و ممیزی کدهای نرمافزارها و ابزارهای مهم و کلیدی به خصوص ابزارهایی که اهداف امنیتی و نظارتی را در شبکه و زیرساخت ارتباطی برعهده دارند از اهمیت بالایی برخوردار هستند، ضعف امنیتی موجود و به تبع آن حملات گسترده اخیر نیاز ما را به استفاده از سیستمهای متن باز بیش از بیش نمایان کرده است. همچنین به دلیل تحریمهای یکجانه و ظالمانه دریافت سرویس و خدمات بر روی محصولات و پلتفرمها امکان پذیرنبوده یا به سختی و به روش غیرحرفهای و استاندارد انجام میگیرد.
راهاندازی سامانههای تحلیل ایستا و پویای امنیتی نرمافزارها
همانطور که میدانیم خدماتی نظیر آزموننفوذپذیری (Penetration test) توسط بسیاری از شرکتها و آزمایشگاه در کشور ارائه میشود. اما روشهای مورد استفاده و استانداردهای فنی و عمق بررسیها، برای سیستمهای با کارکردهای عمومی است. لذا توانایی برآورده کردن بخشهایی از نیازهای امنیتی مانند آنچه اتفاق افتاده است، در این آزمونها امکانپذیر نیست.
موضوع ارزیابی امنیتی با استفاده از تکنیکهای خودکار تحلیلهای ایستای کد میتواند در بسیاری از موارد کاربردی باشد. نگرش ملی به افزایش توان فنی و یا ایجاد آزمایشگاههای امنیتی با توان و تخصص فوق و همچنین توسعه سامانههای تحلیل ایستای خودکار امنیتی بر روی کدهای نرم افزاری به صورت مستمر میتواند بخش اعظم دغدغههای امنیتی بدنه حاکمیت و بهرهبردارهای بزرگ به عنوان مشتریان کلیدی و مهم را کاهش دهد.
تحلیل کد منبع برنامههای کاربردی به منظور کشف انواع آسیبپذیریهای امنیتی نظیر Backdoor ها و کدهای مخرب در فازهای برنامه نویسی و یا در چرخه حیات توسعه نرم افزار (SDLC)، حتی در فرآیندهای بهروزرسانی و توسعه میتواند قرار گیرد. از طرفی استفاده از آزمونهای تحلیل پویا نیز میتواند تکمیل کننده این بخش از آزمونها باشد. لازم به ذکر است این موضوع قابلیت گسترش و استفاده در بخش برنامههای کاربردی موبایل (Mobile Application) با توجه به وجود انبوهی از مشکلات امنیتی مانند سرقت اطلاعات کاربران، نقض حریم خصوصی و غیره را نیز دارا است.
در شرایط فعلی کشور استفاده از محصولات خارجی بدون ارائه خدمات و امکان دریافت سرویس رسمی و قانونی این فرصت را به یک تهدید جدی تبدیل کردهاست، لذا توصیه میشود استفاده از ابزارهای بومی و داخلی کشور که مسیرهای ارزیابی فنی را گذرانده و دارای مجوزهای قانونی و همچنین تجربهی موفق در اجرا و پیادهسازی پروژهها را داست، در دستور کار قرارگیرد.
خوشبختانه در کشور فعالیتهای خوبی در این حوزه انجام شده و ابزارهای بومی مبتنی بر دانش و تخصص توسط شرکتهای داخلی توسعه پیدا کرده است. بر اساس ضرورت و تشخیص در سه سال اخیر پروژههایی در این زمینه در بخش امنیت سازمان فناوری اطلاعات تعریف شدهاست.
اتخاذ رویکرد مناسب و استفاده از تجربه و تخصصهای موجود در این شرکتها و محصولات تولید شده در هر دو بخش دولتی و خصوصی میتواند به کاهش نگرانیهای موجود در این حوزه با توجه به شرایط فعلی کمک شایانی کند.
محمد تسلیمی- مشاور حوزه امنیت رییس سازمان فناوری اطلاعات ایران