پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
عصر تراکنش ۷۵؛ شاهین نورصالحی، پژوهشگر آسمان آبی / در حالی به انتهای سال 2023 میلادی نزدیک میشویم که هر روز شاهد یک حمله سایبری گسترده به یک کسبوکار خصوصی یا زیرساخت دولتی در جهان و طبیعتاً کشور خودمان هستیم و همین امر نشاندهنده قدرتگرفتن مجرمان سایبری و تجهیز آنها به ابزارها و روشهای بهروز برای نفوذ است. هرچند در تحلیل مقدماتی، انگشت اتهام به سمت هوش مصنوعی و امکان تدارک حملات مبتنی بر «چندریختگی» (Polymorphism) روی سامانههای EDR (شناسایی و پاسخ نهایی) نشانه رفته، اما همچنان ضعیفترین حلقه زنجیره امنیت در سازمانها به کمبود دانش یا خطای نیروی انسانی برمیگردد.
در حالی که اکثر دورههای آموزشی امنیت سایبری همچنان از ضعیفترین حلقه زنجیره برای شرح نحوه برآورد امنیت نهایی سازمانها بر اساس تعبیه لایههای دفاعی متوالی بهره میبرند، روشهای نوین طراحی امنیت سایبری بر اساس استراتژی نظامی «دفاع در عمق» (Defense in-Depth) شکل گرفته و به این ترتیب چندین حلقه زنجیره را برای رسیدن به عمقیترین سطح دفاعی سازمانها که شامل «داده» است، تدارک میبینند تا در صورت شکستهشدن بیرونیترین حلقه زنجیره دفاعی، یک سازمان فرصت کافی برای شناسایی و مقابله با تهدید بالفعل را داشته باشد.
هرچند استراتژی «دفاع در عمق» با تفکیک مسائل امنیتی یک سازمان در سه بخش مجزای فیزیکی (کنترل ورود و خروج، دیوارکشی، نگهبانی و دوربین مداربسته)، فنی (شامل نرمافزار و سختافزار) و مدیریتی (طراحی، ابلاغ و بازرسی روالهای مرتبط با جریان داده برای امنیت سایبری سازمانی) رویکرد بهتری به تأمین امنیت در مقابل جرائم سایبری دارد، اما همچنان فاکتور خطای انسانی در این استراتژی بهصورت حلنشده باقی مانده است.
به همین دلیل آژانس امنیت سایبری و زیرساختها در ایالات متحده در سالهای اخیر مفهوم جدیدی به نام «ایمن بر مبنای طراحی» (Secure by Design) را در لغتنامه امنیت سایبری سازمانها وارد کرده که بر مبنای آن مبحث امنیت سایبری از ابتداییترین مراحل طراحی هر نوع محصول سختافزاری یا نرمافزاری است و میبایستی به نحوی در نظر گرفته شود تا هر نوع آسیبپذیری ناشی از خطای انسانی در طبقهبندی فیزیکی یا مدیریتی را نیز شامل شده و برای هر نوع سهلانگاری احتمالی، راهحل دفاعی متناظر را پیشبینی کرده و پوشش داده باشد.
به این ترتیب مقابله با یک تهدید سایبری فرضی به روش «ایمن بر مبنای طراحی» در یک محصول نرمافزاری، از لایه زیرساختی و اثر متقابل بین آنها نشئت خواهد گرفت. در نتیجه برای تحقق این درجه از امنیت سایبری، تا وقتی لایه زیرساخت بهعنوان ابتداییترین حلقه زنجیره برای «دفاع در عمق» قابلیت برقراری ارتباط با لایههای نرمافزاری بالاتر و تبادل رخدادهای امنیتی دارای اهمیت پردازشی را نداشته باشد، عملاً یک قدم از مجرمهای سایبری عقب ماندهایم.
بهمنظور رفع ایرادی که زمانبر بودن تحول ساختاری همه لایههای دفاعی ایجاد میکند، روشهای نوآورانهای برای پیادهکردن مدل «ایمن بر مبنای طراحی» ارائه شده که بر مبنای آن ضمن حفظ رعایت اصول طراحی کلاسیک «ایمن بر مبنای استاندارد» که پیشتر منتشر شده و در اختیار همگان قرار دارد، دو رویکرد «ایمن بر مبنای طراحی» با هدف به کار گرفتن انواع روشهای نوآورانه و خارج از محدوده استانداردهای متداول از یک سو و سیستم «اعتماد بر مبنای آزمون» (Trust by Verify) برای ممیزی دائمی میزان تحمل خطای انسانی کل سیستم در مقابل تهدیدهای سایبری از سوی دیگر به آن اضافه میشود.
از مهمترین اجزای رویکرد «ایمن بر مبنای طراحی»، در نظر گرفتن «جریان داده انواع تهدید سایبری مرتبط» در لحظه طراحی انواع نرمافزار و سختافزار است. به این ترتیب فرایند معماری سیستمها از این پس توسط همکاری مستقیم بین دو گروه طراحی محصول و طراحی امنیت صورت خواهد گرفت و ارجاع به سلسلهرخدادها و مراحل وقوع یک حمله سایبری موفق از هر نوع تهدید مرتبط در برابر خطای انسانی، بخش زمانبر از طراحان سیستم خواهد بود.
اتخاذ این رویکرد زمانبر است، اما اهمیت زیادی دارد. این اهمیت آنجا ارزش خود را نمایان میکند که بدانیم دو نوع کاربر نهایی سیستمها که شامل مشتری و کارمندان سازمانی میشوند، به یک اندازه مورد حمایت و نظارت تیم طراحی قرار گرفته و در عمل بالاترین درجه از مشتریمداری را در سطح پرسنل درونسازمانی بالا میبرند.
در رویکرد «ایمن بر مبنای طراحی» باید به خاطر داشته باشیم که صورتمسئله شما از «من بهعنوان یک هکر نباید به دادهها دسترسی داشته باشم» به «من بهعنوان یک کاربر میخواهم در مقابل هر نوع افشای داده سهوی یا عمدی مصون باشم» تغییر کرده است. در نتیجه شما تحت هر شرایطی موظف به اعمال نهایت بدبینی نسبت به سیستمعامل، شبکه و سختافزارهای مربوطه هستید.
در واقع درک این مهم برای پیادهسازی مبحث «اعتماد بر مبنای آزمون» اهمیت بالایی دارد؛ چراکه در این مدل شما به جای یک مرتبه اجرای آزمون امنیتی برای محصول نهایی، موظف به پیادهسازی یک روند روزانه تست امنیتی بابت هر بخش از توسعه محصول هستید، در نتیجه با درجه بالاتری از اطمینان در مقابل «حملات زنجیره تأمین» مقاوم میشوید. اما این رویکرد جدید، همه عملیات «اعتماد بر مبنای آزمون» را شامل نمیشود. جمعآوری و تطابقدادن توابع استفادهشده در طراحی محصول، باگ از سمت محصول در دست کاربر نهایی و گزارش آسیبپذیریها از مراجع رسمی در یک بانک اطلاعاتی و پردازش دائمی آنها رویهای است که تقریباً انواع خطای سهوی یا عمدی انسانی را در سرتاسر زنجیره تأمین محصولات انفورماتیکی پوشش میدهد.
در نهایت لازم به یادآوری است که در صورت پیادهسازی موفقیتآمیز همه این رویهها، شما در بهترین حالت همچنان شش ماه از یک مجرم سایبری بامهارت عقب خواهید بود. باید در نظر داشته باشید در صورتی که لازم باشد یک قدم ششماهه از انواع مجرمان سایبری جلوتر باشید، باید از شیوه نوآوری و ابداع حمله سایبری روی کاغذ در کنار طراحی و توسعه سیستم دفاعی متناظر در آزمایشگاه بهره ببرید.
فقط در این شرایط است که موفق شدهاید برای حملهای که هنوز به ذهن یک مجرم سایبری رسوخ نکرده، یک راهحل دفاعی مناسب را در حالت سرویسدهی قرار دهید. این انتظار وجود دارد که مدل دفاعی «ایمن بر مبنای کنجکاوی» (Secure by Curiosity) به یک مدل استاندارد برای مواجهه با انواع تهدیدهای پیشرفته سایبری مرتبط با هوش مصنوعی تبدیل شود.
منابع:
- https://www.hyas.com/blog/blackmamba-using-ai-to-generate-polymorphic-malware
https://en.wikipedia.org/wiki/Defense_in_depth_(computing) - https://www.cisa.gov/securebydesign
- https://en.wikipedia.org/wiki/Secure_by_design
- https://www.nowsecure.com/blog/2021/06/23/a-mobile-app-devs-guide-to-secure-by-design-trust-but-verify/
- https://en.wikipedia.org/wiki/Supply_chain_attack
منبع
عصر تراکنش
