کلیک/ تقریبا هر روز خبرهایی از زوایای مختلف حملات سایبری در آمریکا منتشر می‌شود که نشان‌دهنده‌ سناریوی برنامه‌ریزی شده بلندمدت از جانب مهاجمان است.

یادداشتی از محمد تسلیمی؛ مشاور حوزه امنیت رییس سازمان فناوری اطلاعات ایران: بررسی اطلاعات محدود منتشر شده درباره حملات‌ سایبری  در آمریکا ، نشان می‌دهد به شدت در خصوص اثرات جانبی و همچنین عمق نشت و سرقت اطلاعات و دسترسی‌های غیرمجاز دولتی، سانسور خبری شده‌است. از سوی دیگر همانطور که انتظار داشتیم و قبلا نیز اشاره کردیم جرایم سایبری و بازیگران تهدیدات سایبری در حوزه‌های دولتی و سازمان‌های مهم با توجه به تاثیر اقتصادی ناشی از COVID-۱۹ از منظر جغرافیایی و عملیاتی برای طیف وسیعی از دنیا سازماندهی می‌کنند. آمارها حکایت از رشد ۳۰۰ درصدی جرایم سایبری در حوزه مالی و بانکی از زمان شیوع پاندمی COVID-۱۹ دارد.
 
تحلیل‌ها و گزارش‌های شرکت‌ Solar winds از جریان قربانی شدن در این زنجیره‌ حملات، درس‌های مهم و تجربه‌ جهانی برای حوزه‌های امنیت سایبری دارد، به خصوص برای جامعه‌ فناوری اطلاعات و ارتباط ایران که از دیرباز اهداف حملات سایبری سازمان یافته‌ای توسط دولت‌های متخاصم است.

انتخاب یک سیستم مانیتورینگ به عنوان قربانی جهت آلودگی و نفوذ به دیگر بخش‌ها و سیستم‌ها بسیار هوشمندانه است، چرا که یک سیستم پایش و مانیتورینگ ذاتا نیاز به دسترسی و تعامل با تمامی اجزاء شبکه و سرویس‌ها دارد که کار را برای مهاجمان بسیار آسان‌تر می‌کند.

اما سوال اینجاست با توجه به حملات سایبری در آمریکا و اتفاقات به هم پیوسته اخیر، بهترین اقدامات پیشگیرانه و مقابله‌ای برای محافظت از دارایی‌های ملی و سازمانی کدام است؟ آیا این سناریو و حادثه‌ امنیتی برای محصولات تولید داخل نیز ممکن است اتفاق بیفتد؟ چه راهکاری برای آن می‌توان در نظر گرفت؟ با بررسی روند تهدیدات و تجربیات گذشته در حال حاضر دو اقدام بیش از پیش ضروری است که در ادامه به آن پرداخته خواهد شد:

استفاده ازمتن بازها (Open Source) و فراهم کردن ممیزی کدها

استفاده از سیستم‌های متن باز و یا فراهم کردن و امکان بررسی و ممیزی کدهای نرم‌افزارها و ابزارهای مهم و کلیدی به خصوص ابزارهایی که اهداف امنیتی و نظارتی را در شبکه و زیرساخت ارتباطی برعهده دارند از اهمیت بالایی برخوردار هستند، ضعف امنیتی موجود و به تبع آن حملات سایبری گسترده اخیر نیاز ما را به استفاده از سیستم‌های متن باز بیش از بیش نمایان کرده است. همچنین به دلیل تحریم‌های یکجانه‌ و ظالمانه دریافت سرویس و خدمات بر روی محصولات و پلتفرم‌ها امکان پذیرنبوده یا به سختی و به روش غیرحرفه‌ای و استاندارد انجام می‌گیرد.

راه‌اندازی سامانه‌های تحلیل ایستا و پویای امنیتی نرم‌افزارها

همانطور که می‌دانیم خدماتی نظیر آزمون‌نفوذپذیری (Penetration test) توسط بسیاری از شرکت‌ها و آزمایشگاه در کشور ارائه می‌شود. اما روش‌های مورد استفاده و استانداردهای فنی و عمق بررسی‌ها، برای سیستم‌های با کارکردهای عمومی است. لذا توانایی برآورده کردن بخش‌هایی از نیازهای امنیتی مانند آنچه اتفاق افتاده است، در این آزمون‌ها امکان‌پذیر نیست.

موضوع ارزیابی امنیتی با استفاده از تکنیک‌های خودکار تحلیل‌های ایستای کد می‌تواند در بسیاری از موارد کاربردی باشد. نگرش ملی به افزایش توان فنی و یا ایجاد آزمایشگاه‌های امنیتی با توان و تخصص فوق و همچنین توسعه سامانه‌های تحلیل ایستای خودکار امنیتی بر روی کدهای نرم افزاری به صورت مستمر می‌تواند بخش اعظم دغدغه‌های امنیتی بدنه‌ حاکمیت و بهره‌بردارهای بزرگ به عنوان مشتریان کلیدی و مهم را کاهش دهد.

تحلیل کد منبع برنامه‌های کاربردی به منظور کشف انواع آسیب‌پذیری‌های امنیتی نظیر Backdoor ها و کدهای مخرب در فازهای برنامه نویسی و یا در چرخه حیات توسعه‌ نرم افزار (SDLC)، حتی در فرآیندهای به‌روزرسانی و توسعه می‌تواند قرار گیرد. از طرفی استفاده از آزمون‌های تحلیل پویا نیز می‌تواند تکمیل کننده این بخش از آزمون‌ها باشد. لازم به ذکر است این موضوع قابلیت گسترش و استفاده در بخش برنامه‌های کاربردی موبایل (Mobile Application) با توجه به وجود انبوهی از مشکلات امنیتی مانند سرقت اطلاعات کاربران، نقض حریم خصوصی و غیره را نیز دارا است.

در شرایط فعلی کشور استفاده از محصولات خارجی بدون ارائه خدمات و امکان دریافت سرویس رسمی و قانونی این فرصت را به یک تهدید جدی تبدیل کرده‌است، لذا توصیه‌ می‌شود استفاده از ابزارهای بومی و داخلی کشور که مسیرهای ارزیابی فنی را گذرانده و دارای مجوزهای قانونی و همچنین تجربه‌ی موفق در اجرا و پیاده‌سازی پروژه‌ها را داست، در دستور کار قرارگیرد.

خوشبختانه در کشور فعالیت‌های خوبی در این حوزه انجام شده و ابزارهای بومی مبتنی بر دانش و تخصص توسط شرکت‌های داخلی توسعه پیدا کرده است. بر اساس ضرورت و تشخیص در سه سال اخیر پروژه‌هایی در این زمینه در بخش امنیت سازمان فناوری اطلاعات تعریف شده‌است.

اتخاذ رویکرد مناسب و استفاده از تجربه و تخصص‌های موجود در این شرکت‌ها و محصولات تولید شده در هر دو بخش دولتی و خصوصی می‌تواند به کاهش نگرانی‌های موجود در این حوزه با توجه به شرایط فعلی کمک شایانی کند.