از هک ها و وصله ها

بدیهی است که امنیت سایبری هر روز به یک نگرانی بزرگتر تبدیل می شود. در فضای ابری بمانید و مسئولیت نرم افزار منبع باز مورد استفاده خود را بپذیرید.

خارج از صنعت بیمه، افراد کمی احتمالاً متوجه شد که لویدز لندن “دیگر پیامدهای حملات سایبری رد و بدل شده بین دولت-ملت ها را پوشش نخواهد داد.” نادیده گرفتن آن آسان است، با این تفاوت که Lloyd’s یک شرکت بیمه بزرگ جهانی است. اقدامات آن یک اثر موج دار خواهد بود. در حال حاضر باج‌افزار حملات در سرتاسر جهان باعث شده است اعضای سندیکای لویدز حق بیمه بالاتری را دریافت کنید و در عین حال پوشش شرکت‌های رتبه‌بندی را تا حدود ۵۰% کاهش دهید.

با بیمه هم متوقف نمی شود. یک دهه پیش، وزیر دفاع وقت ایالات متحده، لئون پانتا هشدار داد که تروریسم سایبری یک تهدید امنیت ملی است. این می تواند تهدیدی مستقیم برای زیرساخت هایی مانند سدها یا شبکه های برق باشد، یا می تواند برای تامین مالی بازیگران بد استفاده شود. طبق یک تخمین، کره شمالی در سال گذشته نزدیک به ۴۰۰ میلیون دلار از مبادلات رمزنگاری به سرقت برد. بخش اعظم این هک توسط حفره های شکافی که در زیرساخت های امنیتی به دلیل وصله ضعیف نرم افزار منبع باز ایجاد می کنیم، آسان تر می شود.

ما در زمانی زندگی می‌کنیم که همه چیز می‌تواند و هک شود، که هزینه‌های قابل‌توجهی برای کسانی که به‌طور مستقیم و غیرمستقیم درگیر هستند، دارد. چه کاری می توانیم انجام دهیم؟

در ابر بمانید

باکی مور، سرمایه گذار Kleiner Perkins پیشنهاد می کند که ابرها توسط ارائه‌دهندگان بدون سرور مانند Vercel، از میانجی‌گری‌شده استفاده می‌کند، و ارائه‌دهندگان ابر را تشویق می‌کند تا بیشتر بر روی بهبود «اصول اولیه» مانند محاسبات، ذخیره‌سازی و غیره تمرکز کنند. این چیزی است که مدیر سابق شرکت Better.com اریک برنهاردسون اخیراً نیز مطرح کرده است، و تحلیل معقولی به نظر می رسد.

حتی اگر بخش اول استدلال مور را کنار بگذاریم، شرط مطمئنی است که ابرها به سرمایه گذاری در خدمات بهتر از جمله امنیت ادامه خواهند داد. درست است، لازم نیست برای یافتن آخرین قطعی در خدمات وب آمازون، مایکروسافت آژور یا گوگل کلود، در صفحات اخبار فناوری خیلی به عقب بروید. قطعی AWS در دسامبر ۲۰۲۱ که بخش بزرگی از اینترنت را از بین برد، ناشی از مشکل دستگاه شبکه بود. در سال ۲۰۱۷ قطعی دیگری به دلیل خطای یک کارمند رخ داد. این احتمال وجود دارد که برخی از خاموشی ها در AWS یا سایر ابرها توسط بازیگران بدی ایجاد شود که با پیچیدگی روزافزون عمل می کنند.

ارائه‌دهندگان ابری هنوز مطمئن‌تر از تلاش برای مدیریت و ایمن کردن همه زیرساخت‌های سخت‌افزاری و نرم‌افزاری خود هستند. آره تو خوبی نه، شما آنقدر خوب نیستید.

وقت آن نیست که برای دستیابی به انعطاف پذیری برنامه از طریق چندین ارائه دهنده ابر تلاش کنید. Multicloud یک ایده عالی برای حرفه شخصی شما است. این لزوماً یک استراتژی عالی برای شرکتی نیست که احتمالاً در تلاش برای تسلط بر یک ابر، بسیار کمتر از سه ابر است. صرف نظر از این، نکته اینجاست که ابرها منبع خوبی از امنیت نسبی در دنیایی هستند که هر چیزی جز ایمن است.

مسئولیت وابستگی های خود را بپذیرید

همانطور که مور می نویسد، بسیاری از بزرگترین مشکلات امنیتی سال گذشته، از جمله “Solarwinds، CodeCov و Log4j، معمولاً ریشه در بازیگران بسیار پیچیده ای داشتند که از سوء استفاده های روز صفر برای درج کدهای مخرب در نرم افزار خود استفاده می کردند، که در نهایت به این نتیجه رسیدند. برای نفوذ به محیط های کاربران نهایی آن نرم افزار استفاده می شود.” کارهای زیادی نمی توانید برای بررسی کد Solarwinds انجام دهید تا مطمئن شوید که همه چیز خوب است (راستش بگویم، هیچ کس واقعاً زمان ندارد و تعداد کمی توانایی انجام این کار را دارند)، اما کارهای زیادی می توانیم انجام دهیم تا مطمئن شوید که با کد قابل اعتماد کار می کنیم.

یک راه کلیدی به کارگیری رویکرد اعتماد صفر برای امنیت است، همانطور که مارکو پالادینو مدیر ارشد فناوری کنگ بیان کرده است. وقتی شرکت‌ها به سمت معماری‌های مبتنی بر ریزسرویس حرکت می‌کنند، اعتماد صفر بسیار مهم است. فرض می‌کند که «داخل منطقه محیطی» امنی وجود ندارد و دائماً هویت و حقوق افراد، دستگاه‌ها و خدمات را بررسی می‌کند. با تعریف امنیت در سطح مصنوع و نه مخزن (مانند GitHub)، می‌توانیم به صورت دیجیتالی در منبع امضا کنیم و از کاربر آن مصنوع بخواهیم آن را احراز هویت کند.

این فقط بخشی از راه حل است.

با توجه به رایج بودن منبع باز در همه نرم افزارها (اختصاصی، منبع باز و غیره)، یکی دیگر از جنبه های کلیدی امنیت این است که مالکیت این بخش از زنجیره تامین نرم افزار خود را در دست بگیرید. نه، این به معنای «ایمیل کردن به نگهبانان نرم‌افزار متن‌بازی که به آن وابسته هستید و از آن‌ها درخواست می‌کنید» نیست، به‌عنوان اخیراً یک شرکت چند میلیارد دلاری با دانیل استنبرگ توسعه‌دهنده منبع باز معروف انجام داد. این شکل بدی است همچنین به احتمال زیاد به شما چیزی که می خواهید نمی رسد.

یک راه بسیار بهتر این است که روی افرادی سرمایه گذاری کنید که نرم افزاری را که شما به آن وابسته هستید می سازند و نگهداری می کنند. گاهی اوقات این بدان معناست که به نوعی به نگهبانان آن پروژه ها پرداخت می شود، هر چند نه همیشه . به نظر می رسد انگیزه های افرادی که نرم افزار منبع باز می سازند متنوع است.

یک پیشنهاد دیگر این است که درگیر شوید. برای توسعه‌دهنده دیگو الیو پتنئو، این به این معنی است که «اگر از کتابخانه [متن‌باز] استفاده می‌کنم و چیزی خراب است، مشکل من این است که آن را حل کنم، نه اینکه به دیگری اصرار کنم. البته همه نمی توانند این کار را انجام دهند، زیرا همه وقت یا استعداد را ندارند. اما وابستگی به نرم‌افزار رایگان بدون انجام اقداماتی برای تضمین امنیت آن نرم‌افزار غیرمسئولانه است، که حداقل شامل به‌روزرسانی و اصلاح‌شده آن است، و به‌طور گسترده‌تر می‌تواند (و باید) شامل یافتن راه‌هایی برای حمایت از کسانی باشد که آن را ایجاد و نگهداری می‌کنند.

در مجموع، امنیت چیزی نیست که به طور جادویی اتفاق بیفتد. بله، ساختن بر روی پلتفرم‌های ابری نسبتاً ایمن یک شروع است، اما فقط همین است—یک شروع. برای دستیابی واقعی به امنیت نرم‌افزار، سازمان‌ها باید به مدل‌های امنیتی جدیدی مانند اعتماد صفر نگاه کنند، حتی زمانی که ما بیشتر درگیر جوامع منبع باز هستیم که بسیاری از نرم‌افزارهایی را ایجاد می‌کنند که شرکت‌های ما بر اساس آن ساخته شده‌اند.