تأثیر تکمحصولی بر امنیت سازمانها از دیدگاه متخصصان این حوزه
چرا برای مقابله بهتر با مخاطرات سایبری نیاز به تنوع محصولی داریم؟

ایدهای که در پشت ایجاد تکمحصولی در حوزه نرمافزار وجود دارد این است که سازمانها تشویق به استفاده از یک محصول نرمافزاری برای مقابله با تمام تهدیدات سایبری شوند. با این حال، هنگامی که حملات Zero-day به وقوع بپیوندند، سازمانها در مقابله با آن دچار مشکلات جدی خواهند شد. بنابراین استفاده از طیف محدودی از محصولات نرمافزاری میتواند باعث آسیبپذیرتر شدن سازمان ها شده و آنها را در معرض حملات بزرگی مثل تهدیدات مانای پیشرفته (APT) و باجافزارها قرار دهد.
با توجه به اینکه متخصصان امنیتی دائماً در حال مطالعه دلایل و بررسی مداوم تغییرات صورت گرفته در تهدیدات و مخاطرات هستند، ما هم تصمیم گرفتیم نظر بعضی از آنها را درباره موضوع «تکمحصولی در حوزه نرمافزاری» جویا شویم. البته هر یک از آنها دیدگاه متفاوتی در پاسخ به این سؤال داشتند. به همین خاطر توصیه میکنیم تمام جواب ها را مطالعه کنید. امیدواریم این پاسخها به شفافسازی چالشهایی که ممکن است بعضی سازمانها با آن مواجه باشند، کمک نموده و برای شما نیز جهت اقدام برای حفظ امنیت فضای آنلاینتان مفید باشند.
از کارشناسان امنیت سایبری پرسیدیم: «پیامدهای تکمحصولی نرمافزاری را در سازمانهای سطح جهان چگونه ارزیابی می کنید؟». در این مطلب از فراست نیز با ما همراه باشید.
Catalin Patrascu (CERT-RO)
هماهنگکننده تیم مقابله با حوادث شرکت CERT-RO (Romanian National Computer Security Incident Response Team)
تکمحصولی در حوزه نرمافزار هم مثل هر حوزه دیگری خطرناک است که نمونه بارز آن در قحطی وحشتناک ایرلند (که به نام قحطی سیبزمینی هم شناخته میشود) بین سالهای 1845 تا 1849 میلادی مشاهده شد. مهمترین مشکل ناشی از تکمحصولی نرمافزاری قرار گرفتن در معرض آسیبپذیریهایی مثل روز صفر است.
در سالهای گذشته نیز شاهد بودیم که تعداد بسیار زیادی از سیستمها به دلیل اینکه همه آنها مبتنی بر یک نرمافزار مشابه بودند، قربانی حملات سایبری شدند. یکی از این حملات، حمله “WannaCry” بود که نمونه آشکاری از این مخاطرات محسوب می شود. یکی دیگر از نمونههای مرتبط، بازار CMS (سیستم مدیریت محتوا) است که در این حوزه یکی از پلتفرمهای خاص، سهم بزرگی از بازار را در اختیار دارد. این شرایط باعث شده هر بار که یک آسیبپذیری در این پلتفرم پیدا می شود، شاهد حملات گستردهای باشیم.
موضوع اصلی در این زمینه ارزیابی مخاطره است که برای هر سازمانی یک الزام محسوب میشود. اگر به نرمافزارهای مورد استفاده در بخشهای مختلف و سیستمهای موجود در زیرساخت IT یک شرکت مثل ایستگاههای کاری، سرورهای پایگاه داده، سرورهای وب و غیره فکر کنیم مسلماً هیچ تمایلی نداریم همه تخم مرغهای خودمان را در یک سبد بگذاریم. به عنوان مثال استفاده از یک خانواده سیستمعامل مشابه در تمام سیستمهای بخش IT میتواند تأثیر زیادی بر امنیت کل یک کسبوکار داشته باشد، به این دلیل که مثلاً حملات باج افزاری تمام دادههای موجود در سیستمها را در معرض مخاطره قرار میدهند.
مشکل اصلی این است که بنا به دلایلی مثل مقرون به صرفه بودن هزینهها و مدیریت آسانتر IT، تکمحصولی نرمافزاری گزینه جذابتری به نظر میرسد. داشتن چندین پلتفرم نرمافزاری متفاوت منجر به افزایش هزینههای استقرار، مدیریت، کسب مجوز، نگهداری و غیره میشود. حداقل مزیت استفاده از چند فناوری نرمافزاری مختلف این است که از خطر قرار دادن همه تخممرغها در یک سبد جلوگیری کرده و بنابراین امنیت بیشتری خواهید داشت. با این حال آیا میتوان این موضوع را به عنوان یک مزیت برای مدیرعامل یا مدیر ارشد فناوری سازمان توضیح داد (چون این کار هزینههای مدیریتی بیشتری به سازمان تحمیل میکند)؟ شاید توضیح این مسئله از این جهت سخت باشد که تنها مزیت هزینه بیشتر، امنیت بهتر است.
در نهایت باید اشاره کنم که در سازمانها باید سعی کرد تا حد امکان از تکمحصولی نرمافزاری اجتناب کرد. البته این کار باید بدون پیچیدهتر شدن بیش از حد مدیریت زیرساختها انجام شود.
David Harley
محقق ارشد ESET
عبارت تکمحصولی یک اصطلاح علمی است که بیشتر در حوزه کشاورزی استفاده میشود و به کاشت فقط یک نوع محصول در یک قسمت از زمین یا کل مزرعه در هر زمان اشاره دارد. در حوزه امنیت رایانه ای ما از این اصطلاح کمی متفاوتتر استفاده میکنیم، یعنی به جای اینکه آن را برای دادهها به کار ببریم برای برندهای تولید نرمافزار استفاده می کنیم که از آنها (محصولات این برندها) برای تولید و پردازش دادهها استفاده میکنند. این نرمافزارها گستره وسیعی از عملکردهای مورد نیاز ما از سیستمعامل گرفته تا پایگاه های داده، پردازش متن، کارهای گرافیکی، محاسبات ریاضی و آماری، برنامه های کاربردی کوچکتر (که کارهایی مثل شمارش قدم ها و پخش موسیقی را انجام میدهند) و غیره را تحت پوشش قرار میدهند.
Morten Kjaersgaard
مدیرعامل Heimdal Security
قطعاً روشی که من به همه توصیه میکنم از آن پیروی کنند، استفاده از محصولات چندفروشندهای است. اگر این کار را انجام ندهید تنها به محصولات یک شرکت متکی میشوید که علاوه بر محصولات باکیفیت بالا باید آگاهی بسیار کاملی نسبت به تمام مخاطرات داشته باشند.
شاید این امکان وجود داشته باشد که یک شرکت امنیتی چنین ویژگیهایی داشته باشد اما از طرفی امکان اینکه یک فرد یا یک شرکت از همه لحاظ کامل باشد هرگز وجود ندارد. وقتی قرار است یک راهکار امنیتی را انتخاب کنید بسیار مهم است بعضی از جنبههای این انتخاب را مدنظر داشته باشید. بنابراین نه فقط باید اطلاع داشته باشید که محصول مورد نظرتان به خودی خود چقدر امنیت دارد بلکه باید از عملکرد سیستم آگاهی از خطری که پیرامون آن وجود دارد هم مطلع باشید. در نهایت نیز اینکه استفاده از خروجیهای این سیستم چقدر آسان است.
توانایی استفاده راحت از سیستم خریداری شده اهمیت بسیار زیادی دارد چون شما فقط به دنبال خرید یک محصول امنیتی در ردههای بالا نیستید بلکه میخواهید توانایی استفاده از آن را هم داشته باشید. با توجه به ادعای خود من که گفته بودم روش استفاده از محصولات چندفروشندهای بهتر است بنابراین توانایی کار کردن این سیستمها با همدیگر نیز اهمیت زیادی دارد.
تنها شرط استفاده از محصولات یک فروشنده هنگامی است که وی با اطلاع و هوش کامل کار کرده تا محصولات سایر فروشندهها را در محصول نهایی خود ادغام و استفاده نماید. دلیل مجاز بودن چنین شرطی هم این است که محصول نهایی شامل چندین موتور نرمافزاری و بازخوردهای مختلفی باشد که توسط چندین گروه متفاوت از مهندسان تولید شده است و بنابراین امکان وجود یک گروه مشخص از نقایص اطلاعاتی یا محصولی در آن کمتر خواهد بود. با انجام این کار، خلأ بین لایههای مختلف نرمافزار پر خواهد شد.
Peter Buttler
مشاور امنیتی PrivacyEnd
تکمحصولی نرمافزاری یکی از مباحث مهم در سطح جهان است و گفته میشود اگر رایانه های شما همه از یک نوع یا یک سیستمعامل باشند به دلیل ویژگیهای مشترکی که هکر میتواند به آنها دسترسی داشته باشد، بیشتر در معرض خطر حمله قرار دارید.
تکمحصولی نرمافزاری، رویکردی کاملاً ناامن است و مایکروسافت که بزرگترین ایجادکننده تکمحصولی است از همه خطرناکتر است. مشکل اصلی در زمینه تکمحصولی این است که در برابر یک حمله مشابه به تمام سیستمها درمانده و عاجز میشوید. بنابراین ممکن است کار و تلاش زیاد و حتی صرف هزینه برای تغییر تکمحصولی در رایانه ها باز هم باعث توقف فعالیت بدافزارها و هکرها نشود. ممکن است این کار برای مدت کوتاهی آنها را به عقب بیاندازد اما نمیتواند برای مدت طولانی متوقفشان کند. بدون شک تکمحصولی و تکبعدی خطرناک است و وجود تنوع کافی در پیکربندی یک سیستم لازم است. در هر صورت، صرف زمان و تلاش برای اطمینان از بقای زیرساختهای فعلی ضروریتر است.
Patrick Coomans
کارآفرین و استاد امنیت سایبری شرکت B-Hive Europe
پیش از این مطالب زیادی در زمینه تأثیر تکمحصولی نرمافزاری بر امنیت نوشته شده و تعداد آنها چنان زیاد است که من را یاد مباحثی مثل مقایسه آیفون و اندروید یا اپل و ویندوز میاندازد. هر کسی میتواند استدلالهایی برای هر سمت از این ماجرا داشته باشد و شاید پاسخ این مسئله (مثل همیشه) حد وسط این دو باشد.
همه چیز به این بستگی دارد که درباره «امنیتِ» چه حوزهای صحبت میکنیم. آیا زیرساخت مدنظر مثل یک نیروگاه اتمی آنقدر حیاتی است که رخنه در آن منجر به ایجاد فاجعهای در سطح بینالمللی شود؟ یا مثلاً اگر 20 درصد تمام رایانه های شخصی قربانی یک ویروس شوند، خسارت ایجاد شده فقط شامل آسیب مالی است؟
از دیدگاه امنیت (سایبری)، مخاطره به صورت احتمال × شدت پیامد تعریف میشود. قطعاً تأثیر سوءاستفاده از یک آسیبپذیری در رایانه مرکز کنترل یک نیروگاه هستهای بسیار بیشتر از پیامد حمله به لپتاپ یک کودک مدرسه ای است. پس باید بررسی کنیم تکمحصولی نرمافزاری چه تأثیری بر دو عنصر احتمال و شدت پیامد دارد؟
برای پاسخ به این سؤال باید به جواب های مشاورهای همیشگی خودم اشاره کنم؛ یعنی پاسخ این سؤال بستگی به مورد استفاده و حوزه مربوطه دارد. در یک محیط IT سازمانی معمولی تمام کارها باید در محدوده بودجه مشخص شده انجام شود. من به شخصه ترجیح میدهم همه رایانه های محیط سازمانی خودم یک سیستمعامل با یک نسخه مشخص داشته باشند تا بتوانم بودجه کافی برای مدیریت وصله ها، نگهداری سیستمها، خرید ابزارها، محافظت و غیره داشته و همچنین ظرفیت کافی برای ایجاد یک طرح واکنش به رخداد را داشته باشم. قطعاً تنوع سیستمعامل و برنامه ها موجب محدودتر شدن بودجه من و ناکارآمد شدن آن میشود.
اجازه بدهید تأثیر امنیتی تکمحصولی در حوزه نرمافزار را با صنعتی که بسیار قدیمیتر و بالغتر است، مقایسه کنیم؛ یعنی صنعت خودسازی. با راهبردهای مدیریت مخاطره در زنجیره تأمین خودروسازی، کیفیت و مخاطره با هم مورد بررسی قرار میگیرند و بررسی پیروی از الزامات و استانداردهای مورد نیاز در مرحله صدور گواهینامه زنجیره تأمین قرار دارد. معمولاً مخاطره کلی با توزیع آن بین چند تأمینکننده کمتر میشود و فاکتور احتمال هم کاهش پیدا میکند. این کار با ملزم نمودن تولیدکنندگان به داشتن گواهینامه ISO/TS16949 بیشتر هم کاهش پیدا خواهد کرد.
نباید سعی کنیم در صنعت IT مجدداً این تجربه را از اول کسب کنیم بلکه باید تلاش نماییم درسهایی که در صنایع دیگر یاد گرفته ایم را در این صنعت به کار ببندیم. اولویت شخصی من این است که بسته به مورد استفاده، یک لیست مختصر از 2 تا 4 تولیدکننده نرمافزاری یا نسخههای نرمافزاری متفاوت برای هر برنامه کاربردی داشته و فروشندگان را مجبور کنیم که همواره قوی بودن محصولاتشان را از نظر امنیتی (کیفیت نرمافزار، توانایی مدیریت نسخههای مختلف نرمافزاری، توانایی اقدام به موقع برای برطرف سازی آسیبپذیریهای کشف شده و غیره) اثبات کنند. نمیتوانم این واقعیت را مخفی کنم که من طرفدار سرسخت بررسی صلاحیت و صدور مجوز و گواهینامه هستم البته به این شرط که خود فرایند صدور گواهینامه اقدامی معنادار، عملی، دقیق و پیوسته باشد. به عنوان مثال در زمینه استاندارد امنیت دادهها در صنعت کارت های پرداخت (PCI DSS) اگر به این استاندارد فقط به عنوان یک چک باکس نگاه کنیم که هر سال باید تیک بخورد، قطعاً صدور این گواهینامه بیمعنا است اما اگر منعکس کننده ارزشهای داخلی و باورهای اصلی یک شرکت فعال در حوزه مالی و پرداخت باشد، اجرای این استاندارد معقول است.
در نهایت، اجازه دهید این طور نتیجهگیری کنم در صورتی که بین دولت و صنعت در زمینه آسیبپذیریهای نرمافزاری تلاشهای مشترکی وجود می داشت و این دو بخش، اطلاعاتشان را با یکدیگر به اشتراک میگذاشتند من احساس امنیت بیشتری در رابطه با امنیت نرمافزار داشتم. در رابطه با این صحبت به نقش دولت در تضمین ایمنی و امنیت جادهها و خودروها فکر کنید.
Vladimir Taratushka
مدیر کنفرانس HackIT
Vladimir ابتدا کار را با هک بازی ها شروع نموده و سپس وارد حوزه نرمافزارهای تجاری شد. رشته تحصیلی او امنیت اقتصادی و اطلاعاتی است. وی یکی از بنیانگذاران استارتاپ Blockchain است و از زمانی که قیمت بیتکوین 27 دلار بود، بیتکوین ماین میکرد.
اگر به حوزه نرمافزار مثل یک کازینو نگاه کنیم و به مجرمان سایبری همچون بازیکن آن باید ببینیم ممکن است این کازینو چقدر پول از دست بدهد و با چه احتمالی؟
استفاده از تکمحصولی نرمافزاری، حفظ و نگهداری و نظارت بر آن کار سادهای است. ممکن است با پیروی از این روش، محل کارتان ایزوله شده و به خوبی از آن محافظت شود اما در برابر حملات APT، به شدت آسیبپذیر خواهید بود.
در این روش اگر فردی راه دسترسی به یک رایانه را پیدا کند میتواند به راحتی به کل سیستم ها دسترسی پیدا نموده و همچنین تعداد محققانی که روی نرمافزارها کار میکنند، بیشتر شده و خطاهای زیادتری در نرمافزارها پیدا شود. اگر به پلتفرمهایی که به صورت مشارکتی برای پیدا کردن خطاهای نرمافزاری کار میکنند نگاهی داشته باشیم متوجه میشویم که برنامههای قدیمیتر همیشه پراشکالتر هستند.
و در پایان …
آیا شما نسبت به تأثیر تکمحصولی نرمافزاری بر امنیت دیدگاه متفاوتی دارید؟ لطفاً نظرات ارزشمند خود را با ما در میان بگذارید.