وبلاگ پل‌وینو بخش فناوری

وبلاگ پل‌وینو
7 خرداد 1399 0

رویکرد امنیت طراحی‌محور

امنیت طراحی‌محور رویکردی فعال در زمینه امنیت سایبری است که در آن شیوه‌های ایمن در کل چرخه توسعه نرم‌افزار و سخت‌افزار تعبیه شده است و امنیت در خلال توسعه ایجاد می‌شود.



توسط نجمه نوذر، دانشجوی دکتری حرفه­ای بانکداری دیجیتال دانشگاه تربیت مدرس و کارشناس طراحی شرکت بهسازان ملت


امنیت طراحی‌محور رویکردی برای توسعه نرم‌افزار و سخت‌افزار است که می‌کوشد از طریق اقداماتی مانند آزمایش مداوم، حفاظت از احراز هویت و پایبندی به بهترین شیوه‌های برنامه‌نویسی، سیستم‌ها را در مقابل عیوب، آسیب‌پذیری و حمله، مقاوم و غیرقابل نفوذ کند. امنیت طراحی‌محور یک رویکرد جدید برای امنیت سایبری است که از ابتدا با تفکر وجود خطر شکل می‌گیرد و باعث می‌شود نوآوری با اطمینان انجام شود. یافته‌های اولیه بررسی امنیت اطلاعات جهانی EY 2020  که تقریباً با 1300 مدیر امنیت سایبری انجام شد، نشان می‌دهد که 65٪ از مشاغل بعد از اینکه حادثه رخ می‌دهد به امنیت سایبری توجه می‌کنند.

سازمان‌ها تنها کسانی نیستند که مورد هجوم جرایم سایبری قرار می‌گیرند. بخش زیادی از زیرساخت‌های تحت نظارت دولت در ایالت‌های مدرن امروزه به‌صورت آنلاین و به‌هم پیوسته اداره می‌شود. حمله به این سیستم‌ها توانایی ایجاد اختلال در کل مناطق کشور و ایجاد هرج و مرج غیرقابل توصیفی را دارند و حتی ممکن است منجر به آسیب‌های جسمی به افراد شود. در سال 2016 هکرها توانستند شبکه برق یک منطقه اوکراین را به‌طور کامل تعطیل کنند و 230 هزار نفر را برای ساعت‌ها بدون برق بگذارند.

از دیگر نمونه‌های این آسیب، آسیب‌های اجتماعی است. حالتی‌که هکرها یک خبر جعلی فاجعه را از یک کانال معتبر با میلیون‌ها مخاطب پخش می‌کنند و سرانجام بیشترین اثر مخرب و پایدار این حوادث از بین رفتن اعتماد بین مردم و سازمان‌ها یا مؤسساتی است که به آنها وابسته هستند. ذینفعان، کارمندان، اشخاص ثالث و مصرف‌کنندگان از یک طرف، مالیات‌دهندگان و رأی‌دهندگان از سوی دیگر. هنگامی‌که محرمانه بودن، تمامیت یا در دسترس بودن داده‌ها به خطر بیفتد، یا محصولات و خدمات خلاف آنچه انتظار می‌رود متوقف شوند، اعتمادی که طی سال‌ها ایجاد شده است، یک روزه از دست می‌رود.

امنیت طراحی‌محور به‌جای جلوگیری از ریسک کلی، امکان اعتماد به سیستم‌ها، طرح‌ها و داده‌ها را در پی دارد و به‌کمک آن سازمان‌ها می‌توانند ریسک بیشتری را به‌عهده بگیرند، تغییر و تحولات را راحت‌تر بپذیرند و با اطمینان بیشتری نوآوری کنند.­(لاو جوی، 2020) قبل از توسعه و از ابتدای طراحی باید به امنیت توجه داشت نه اینکه پس از توسعه دنبال سوراخ امنیتی و راهکار برطرف کردن آن بود. سیستم‌هایی که برای محیط عمومی توسعه داده می‌شوند باید ایمن‌تر از یک محیط داخلی با پیکربندی دستی باشند.

برخی از فروشندگان مفاهیم مرتبطی را تحت عناوین Secure DevOps، Security-as-Code، SecOps و DevSecOps مطرح نموده‌اند. مشخصات مورد نیاز می‌تواند در الگو کد شود و اطمینان حاصل کنند که همیشه این تنظیمات اجرا می‌شود. امنیت طراحی‌محور رویکردی فعال در زمینه امنیت سایبری است که در آن شیوه‌های ایمن در کل چرخه توسعه نرم‌افزار تعبیه شده است. این ایده بیانگر یک فلسفه اساسی است که در آن امنیت به‌جای اینکه صرفاً پس از وقوع مصادیق شکست آن به‌کار گرفته شود، در بافت توسعه ایجاد می‌شود.

این مانیفست همچنین خواستار نظارت امنیتی 24×7 است به‌طوری‌که منتظر نیست یک حادثه رخ دهد و سپس نسبت به آن واکنش نشان دهد؛ در عوض، قبل از اینکه مهاجمان سایبری فرصت سوءاستفاده از آنها را داشته باشند، آگاهانه به‌دنبال حفاظت در برابر آسیب‌پذیری است. در این راستا، اعضای تیم اساساً پای خود را در کفش‌های دشمن قرار می‌دهند و مانند او فکر می‌کنند.(کریشنان، 2018)

یکی از روش‌های امنیت طراحی‌محور، به‌کارگیری روش‌های یادگیری ماشین بدون ناظر یا نظارت است. اگر داده جدیدی وارد شود که ناسازگار باشد، الگوریتم‌ها آن را شناسایی و از نفوذ آن به سیستم جلوگیری می‌کنند.

امروز با تحول دیجیتال بخش‌های بزرگ و حساسی از مشاغل، خودکار و دیجیتال شده‌اند و امکان حملات سایبری افزایش پیدا کرده است. تصور کنید سیستم ترافیک پروازها یا سیستم‌های تشخیص پزشکی مورد حمله قرار گیرند. جلوی چنین فاجعه‌هایی را می‌توان با پروتکل‌های حاکمیت داده، هویت و مدیریت دسترسی کافی در هسته سیستم‌های هوشمند سد کرد.

اهداف کلی آن به‌صورت زیر است:

  • فرایند توسعه و به‌روزرسانی استاندارد
  • زیرساخت خودکار و تست امنیت کد به‌عنوان بخشی از خط تولید
  • اجباری کردن پیکربندی امنیت در تولید
  • ابزارهای نظارت بالغ امنیت با داده‌هایی که در معرض ارزیابی هوشمند و انسانی قرار گرفته‌اند (لاجیک‌ورک، 2017)

بازیگران تهدید امروز تنها  به سرقت داده‌ها توجه نمی‌کنند بلکه انگیزه‌های سیاسی در حملات حتی در سطح ایالت، به‌شدت افزایش یافته است. ما همچنین شاهد ظهور "هکتیویسم"[1] و تروریسم سایبری به‌عنوان تهدیدهای اساسی برای امنیت سایبری در سراسر جهان هستیم.


دغدغه امنیت در اینترنت اشیاء

یکی از موارد کاربرد رویکردهای امنیت طراحی‌محور در حوزه اینترنت اشیاء است. در اینترنت اشیاء هر وسیله قابل تصور می‌تواند یک شناسه منحصربه‌فرد (UID) داشته باشد تا بتواند از طریق اینترنت مخاطب قرار گیرد. در حقیقت اینترنت اشیاء نیاز به امنیت طراحی‌محور دارد. در اینترنت اشیاء هر کدام از وسایل از قبیل لوازم خانگی داده‌هایی جمع‌آوری و از طریق اینترنت منتقل می‌کنند. برای این داده‌ها لازم است حفظ حریم خصوصی رعایت شود. تولیدکنندگان باید کاربران را متوجه کنند و به آنها اجازه انتخاب معنی‌دار در مورد نحوه استفاده از اطلاعاتشان را بدهند. شکی نیست که اینترنت اشیاء پتانسیل تغییر زندگی روزمره و مزایای عظیمی دارد اما در کنار آن دارای پیامدهای نقض حریم خصوصی و امنیتی هم هست. (تک­تارگت، 2015) نیاز به امنیت در یک اتومبیل هوشمند که با فناوری اینترنت اشیاء توسعه داده شده است مشهود است.


دغدغه امنیت در فناوری ابری

هنگامی‌که یک کمپانی به سمت فناوری ابری پیش می‌رود، این دغدغه به‌وجود می‌آید که چه کسی(کسانی) مسئول برقراری امنیت هستند. لازم است فرایندهای امنیتی در خط تولید یکپارچه شده و تنظیمات امنیتی طوری در نظر گرفته شوند که با تغییرات هم مشکلی پیدا نکنند.

اجرای برنامه‌های کاربردی در ابر نیاز به یک رویکرد جدید برای انطباق دارد. در حالت ایده‌آل، ما به سیستمی نیاز داریم که توسعه‌دهندگان و مهندسین را قادر سازد که ضمن حفظ استانداردهای امنیتی و انطباق، به شیوه‌ای چابک عمل کنند. (لاجیک‌ورک، 2017)

در بخش زیر به نکاتی در خصوص امنیت طراحی‌محور اینترنت اشیاء اشاره شده است.

در حال حاضر اینترنت اشیاء مجموعه‌ای از نوآوری‌های تجاری و فناوری است. دستگاه‌ها و ابزارهایی که در اینترنت اشیاء از آنها استفاده می‌شود هوشمند و متصل هستند. داده‌ها را بدون نیاز به دخالت انسان جمع‌آوری می‌کنند و به اشتراک می‌گذارند. چون این داده‌ها در بستر اینترنت منتقل می‌شوند و دستگاه‌ها متصل هستند، آسیب‌پذیری بالا است. همانطور که در مجمع جهانی اقتصاد ذکر شده است، "هک کردن داده‌های مکانی بر روی یک خودرو صرفاً حمله به حریم خصوصی است، در حالی که هک کردن سیستم کنترل اتومبیل می‌تواند تهدیدی برای زندگی باشد."

پلتفرم‌های اینترنت اشیاء توسعه و استقرار را ساده‌تر می‌کند. در شکل (1) پلتفرمی از اینترنت اشیاء نمایش داده شده است. (دیلویت، 2018)

 

 امنیت طراحی محور

  شکل (1) پلتفرم اینترنت اشیاء

 

منابع:

Kris Lovejoy, 2020, “How to manage cyber risk with a Security by Design approach”

Delloite, 2018, “Secure IoT by design Cybersecurity capabilities to look for when choosing an IoT platform”

Muralee Krishnan , 2018, “DevSecOps – The Approach to Security by Design"

Logic Work, 2017, “What is Security by Design?”

TechTarget, 2015, “security by design”

 

 



[1] hacktivism


نظر دهید

* نام شما
* ایمیل شما
* نظر شما
تمامی حقوق مربوط به طراحی و توسعه وب سایت محفوظ می باشد Polwinno.ir
X

جستجوی سریع محتوای تخصصی پل‌وینو


v