تأثیر تک‌‌محصولی بر امنیت سازمان‌ها از دیدگاه متخصصان این حوزه

ایده‌ای که در پشت ایجاد تک‌محصولی در حوزه نرم‌افزار وجود دارد این است که سازمان‌ها تشویق به استفاده از یک محصول نرم‌افزاری برای مقابله با تمام تهدیدات سایبری شوند. با این حال، هنگامی که حملات Zero-day به وقوع بپیوندند، سازمان‌ها در مقابله با آن دچار مشکلات جدی خواهند شد. بنابراین استفاده از طیف محدودی از محصولات نرم‌افزاری می‌تواند باعث آسیب‌پذیرتر شدن سازمان ها شده و آنها را در معرض حملات بزرگی مثل تهدیدات مانای پیشرفته (APT) و باج‌افزارها قرار دهد.

با توجه به اینکه متخصصان امنیتی دائماً در حال مطالعه دلایل و بررسی مداوم تغییرات صورت گرفته در تهدیدات و مخاطرات هستند، ما هم تصمیم گرفتیم نظر بعضی از آنها را درباره موضوع «تک‌محصولی در حوزه نرم‌افزاری» جویا شویم. البته هر یک از آنها دیدگاه متفاوتی در پاسخ به این سؤال داشتند. به همین خاطر توصیه می‌کنیم تمام جواب ها را مطالعه کنید. امیدواریم این پاسخ‌ها به شفاف‌سازی چالش‌هایی که ممکن است بعضی سازمان‌ها با آن مواجه باشند، کمک نموده و برای شما نیز جهت اقدام برای حفظ امنیت فضای آنلاین‌تان مفید باشند.

از کارشناسان امنیت سایبری پرسیدیم: «پیامدهای تک‌محصولی نرم‌افزاری را در سازمان‌های سطح جهان چگونه ارزیابی می کنید؟». در این مطلب از فراست نیز با ما همراه باشید.

Catalin Patrascu (CERT-RO)

هماهنگ‌کننده تیم مقابله با حوادث شرکت CERT-RO (Romanian National Computer Security Incident Response Team)

تک‌محصولی در حوزه نرم‌افزار هم مثل هر حوزه دیگری خطرناک است که نمونه بارز آن در قحطی وحشتناک ایرلند (که به نام قحطی سیب‌زمینی هم شناخته می‌شود) بین سال‌های 1845 تا 1849 میلادی مشاهده شد. مهمترین مشکل ناشی از تک‌محصولی نرم‌افزاری قرار گرفتن در معرض آسیب‌پذیری‌هایی مثل روز صفر است.

در سال‌های گذشته نیز شاهد بودیم که تعداد بسیار زیادی از سیستم‌ها به دلیل اینکه همه آنها مبتنی بر یک نرم‌افزار مشابه بودند، قربانی حملات سایبری شدند. یکی از این حملات، حمله “WannaCry” بود که نمونه آشکاری از این مخاطرات محسوب می شود. یکی دیگر از نمونه‌های مرتبط، بازار CMS (سیستم مدیریت محتوا) است که در این حوزه یکی از پلتفرم‌های خاص، سهم بزرگی از بازار را در اختیار دارد. این شرایط باعث شده هر بار که یک آسیب‌پذیری در این پلتفرم پیدا می شود، شاهد حملات گسترده‌ای باشیم.

موضوع اصلی در این زمینه ارزیابی مخاطره است که برای هر سازمانی یک الزام محسوب می‌شود. اگر به نرم‌افزارهای مورد استفاده در بخش‌های مختلف و سیستم‌های موجود در زیرساخت IT یک شرکت مثل ایستگاه‌های کاری، سرورهای پایگاه داده، سرورهای وب و غیره فکر کنیم مسلماً هیچ تمایلی نداریم همه تخم‌ مرغ‌های خودمان را در یک سبد بگذاریم. به عنوان مثال استفاده از یک خانواده سیستم‌عامل مشابه در تمام سیستم‌های بخش IT می‌تواند تأثیر زیادی بر امنیت کل یک کسب‌وکار داشته باشد، به این دلیل که مثلاً حملات باج‌ افزاری تمام داده‌های موجود در سیستم‌ها را در معرض مخاطره قرار می‌دهند.

مشکل اصلی این است که بنا به دلایلی مثل مقرون به صرفه بودن هزینه‌ها و مدیریت آسان‌تر IT، تک‌محصولی نرم‌افزاری گزینه جذاب‌تری به نظر می‌رسد. داشتن چندین پلتفرم نرم‌افزاری متفاوت منجر به افزایش هزینه‌های استقرار، مدیریت، کسب مجوز، نگهداری و غیره می‌شود. حداقل مزیت استفاده از چند فناوری نرم‌افزاری مختلف این است که از خطر قرار دادن همه تخم‌مرغ‌ها در یک سبد جلوگیری کرده و بنابراین امنیت بیشتری خواهید داشت. با این حال آیا می‌توان این موضوع را به عنوان یک مزیت برای مدیرعامل یا مدیر ارشد فناوری سازمان توضیح داد (چون این کار هزینه‌های مدیریتی بیشتری به سازمان تحمیل می‌کند)؟ شاید توضیح این مسئله از این جهت سخت باشد که تنها مزیت هزینه بیشتر، امنیت بهتر است.

در نهایت باید اشاره کنم که در سازمان‌ها باید سعی کرد تا حد امکان از تک‌محصولی نرم‌افزاری اجتناب کرد. البته این کار باید بدون پیچیده‌تر شدن بیش از حد مدیریت زیرساخت‌ها انجام شود.

David Harley

محقق ارشد ESET

عبارت تک‌محصولی یک اصطلاح علمی است که بیشتر در حوزه کشاورزی استفاده می‌شود و به کاشت فقط یک نوع محصول در یک قسمت از زمین یا کل مزرعه در هر زمان اشاره دارد. در حوزه امنیت رایانه ای ما از این اصطلاح کمی متفاوت‌تر استفاده می‌کنیم، یعنی به جای اینکه آن را برای داده‌ها به کار ببریم برای برندهای تولید نرم‌افزار استفاده می کنیم که از آنها (محصولات این برندها) برای تولید و پردازش داده‌ها استفاده می‌کنند. این نرم‌افزارها گستره وسیعی از عملکردهای مورد نیاز ما از سیستم‌عامل گرفته تا پایگاه های داده، پردازش متن، کارهای گرافیکی، محاسبات ریاضی و آماری، برنامه های کاربردی کوچک‌تر (که کارهایی مثل شمارش قدم ها و پخش موسیقی را انجام می‌دهند) و غیره را تحت پوشش قرار می‌دهند.

Morten Kjaersgaard

مدیرعامل Heimdal Security

قطعاً روشی که من به همه توصیه می‌کنم از آن پیروی کنند، استفاده از محصولات چندفروشنده‌ای است. اگر این کار را انجام ندهید تنها به محصولات یک شرکت متکی می‌شوید که علاوه بر محصولات باکیفیت بالا باید آگاهی بسیار کاملی نسبت به تمام مخاطرات داشته باشند.

شاید این امکان وجود داشته باشد که یک شرکت امنیتی چنین ویژگی‌هایی داشته باشد اما از طرفی امکان اینکه یک فرد یا یک شرکت از همه لحاظ کامل باشد هرگز وجود ندارد. وقتی قرار است یک راهکار امنیتی را انتخاب کنید بسیار مهم است بعضی از جنبه‌های این انتخاب را مدنظر داشته باشید. بنابراین نه فقط باید اطلاع داشته باشید که محصول مورد نظرتان به خودی خود چقدر امنیت دارد بلکه باید از عملکرد سیستم آگاهی از خطری که پیرامون آن وجود دارد هم مطلع باشید. در نهایت نیز اینکه استفاده از خروجی‌های این سیستم چقدر آسان است.

توانایی استفاده راحت از سیستم خریداری شده اهمیت بسیار زیادی دارد چون شما فقط به دنبال خرید یک محصول امنیتی در رده‌های بالا نیستید بلکه می‌خواهید توانایی استفاده از آن را هم داشته باشید. با توجه به ادعای خود من که گفته بودم روش استفاده از محصولات چندفروشنده‌ای بهتر است بنابراین توانایی کار کردن این سیستم‌ها با همدیگر نیز اهمیت زیادی دارد.

تنها شرط استفاده از محصولات یک فروشنده هنگامی است که وی با اطلاع و هوش کامل کار کرده تا محصولات سایر فروشنده‌ها را در محصول نهایی خود ادغام و استفاده نماید. دلیل مجاز بودن چنین شرطی هم این است که محصول نهایی شامل چندین موتور نرم‌افزاری و بازخوردهای مختلفی باشد که توسط چندین گروه متفاوت از مهندسان تولید شده است و بنابراین امکان وجود یک گروه مشخص از نقایص اطلاعاتی یا محصولی در آن کمتر خواهد بود. با انجام این کار، خلأ بین لایه‌های مختلف نرم‌افزار پر خواهد شد.

Peter Buttler

مشاور امنیتی PrivacyEnd

تک‌محصولی نرم‌افزاری یکی از مباحث مهم در سطح جهان است و گفته می‌شود اگر رایانه های شما همه از یک نوع یا یک سیستم‌عامل باشند به دلیل ویژگی‌های مشترکی که هکر می‌تواند به آنها دسترسی داشته باشد، بیشتر در معرض خطر حمله قرار دارید.

تک‌محصولی نرم‌افزاری، رویکردی کاملاً ناامن است و مایکروسافت که بزرگترین ایجادکننده تک‌محصولی است از همه خطرناک‌تر است. مشکل اصلی در زمینه تک‌محصولی این است که در برابر یک حمله مشابه به تمام سیستم‌ها درمانده و عاجز می‌شوید. بنابراین ممکن است کار و تلاش زیاد و حتی صرف هزینه برای تغییر تک‌محصولی در رایانه ها باز هم باعث توقف فعالیت بدافزارها و هکرها نشود. ممکن است این کار برای مدت کوتاهی آنها را به عقب بیاندازد اما نمی‌تواند برای مدت طولانی متوقف‌شان کند. بدون شک تک‌محصولی و تک‌بعدی خطرناک است و وجود تنوع کافی در پیکربندی یک سیستم لازم است. در هر صورت، صرف زمان و تلاش برای اطمینان از بقای زیرساخت‌های فعلی ضروری‌تر است.

Patrick Coomans

کارآفرین و استاد امنیت سایبری شرکت B-Hive Europe

پیش از این مطالب زیادی در زمینه تأثیر تک‌محصولی نرم‌افزاری بر امنیت نوشته شده و تعداد آنها چنان زیاد است که من را یاد مباحثی مثل مقایسه آیفون و اندروید یا اپل و ویندوز می‌اندازد. هر کسی می‌تواند استدلال‌هایی برای هر سمت از این ماجرا داشته باشد و شاید پاسخ این مسئله (مثل همیشه) حد وسط این دو باشد.

همه چیز به این بستگی دارد که درباره «امنیتِ» چه حوزه‌ای صحبت می‌کنیم. آیا زیرساخت مدنظر مثل یک نیروگاه اتمی آن‌قدر حیاتی است که رخنه در آن منجر به ایجاد فاجعه‌ای در سطح بین‌المللی شود؟ یا مثلاً اگر 20 درصد تمام رایانه های شخصی قربانی یک ویروس شوند، خسارت ایجاد شده فقط شامل آسیب مالی است؟

از دیدگاه امنیت (سایبری)، مخاطره به صورت احتمال × شدت پیامد تعریف می‌شود. قطعاً تأثیر سوءاستفاده از یک آسیب‌پذیری در رایانه مرکز کنترل یک نیروگاه هسته‌ای بسیار بیشتر از پیامد حمله به لپ‌تاپ یک کودک مدرسه ای است. پس باید بررسی کنیم تک‌محصولی نرم‌افزاری چه تأثیری بر دو عنصر احتمال و شدت پیامد دارد؟

برای پاسخ به این سؤال باید به جواب های مشاوره‌ای همیشگی خودم اشاره کنم؛ یعنی پاسخ این سؤال بستگی به مورد استفاده و حوزه مربوطه دارد. در یک محیط IT سازمانی معمولی تمام کارها باید در محدوده بودجه مشخص شده انجام شود. من به شخصه ترجیح می‌دهم همه رایانه های محیط سازمانی خودم یک سیستم‌عامل با یک نسخه مشخص داشته باشند تا بتوانم بودجه کافی برای مدیریت وصله ها، نگهداری سیستم‌ها، خرید ابزارها، محافظت و غیره داشته و همچنین ظرفیت کافی برای ایجاد یک طرح واکنش به رخداد را داشته باشم. قطعاً تنوع سیستم‌عامل و برنامه ها موجب محدودتر شدن بودجه من و ناکارآمد شدن آن می‌شود.

اجازه بدهید تأثیر امنیتی تک‌محصولی در حوزه نرم‌افزار را با صنعتی که بسیار قدیمی‌تر و بالغ‌تر است، مقایسه کنیم؛ یعنی صنعت خودسازی. با راهبردهای مدیریت مخاطره در زنجیره تأمین خودروسازی، کیفیت و مخاطره با هم مورد بررسی قرار می‌گیرند و بررسی پیروی از الزامات و استانداردهای مورد نیاز در مرحله صدور گواهینامه زنجیره تأمین قرار دارد. معمولاً مخاطره کلی با توزیع آن بین چند تأمین‌کننده کمتر می‌شود و فاکتور احتمال هم کاهش پیدا می‌کند. این کار با ملزم نمودن تولیدکنندگان به داشتن گواهینامه ISO/TS16949 بیشتر هم کاهش پیدا خواهد کرد.

نباید سعی کنیم در صنعت IT مجدداً این تجربه را از اول کسب کنیم بلکه باید تلاش نماییم درس‌هایی که در صنایع دیگر یاد گرفته ایم را در این صنعت به کار ببندیم. اولویت شخصی من این است که بسته به مورد استفاده، یک لیست مختصر از 2 تا 4 تولیدکننده نرم‌افزاری یا نسخه‌های نرم‌افزاری متفاوت برای هر برنامه کاربردی داشته و فروشندگان را مجبور کنیم که همواره قوی بودن محصولات‌شان را از نظر امنیتی (کیفیت نرم‌افزار، توانایی مدیریت نسخه‌های مختلف نرم‌افزاری، توانایی اقدام به موقع برای برطرف سازی آسیب‌پذیری‌های کشف شده و غیره) اثبات کنند. نمی‌توانم این واقعیت را مخفی کنم که من طرفدار سرسخت بررسی صلاحیت و صدور مجوز و گواهینامه هستم البته به این شرط که خود فرایند صدور گواهینامه اقدامی معنادار، عملی، دقیق و پیوسته باشد. به عنوان مثال در زمینه استاندارد امنیت داده‌ها در صنعت کارت های پرداخت (PCI DSS) اگر به این استاندارد فقط به عنوان یک چک باکس نگاه کنیم که هر سال باید تیک بخورد، قطعاً صدور این گواهینامه بی‌معنا است اما اگر منعکس کننده ارزش‌های داخلی و باورهای اصلی یک شرکت فعال در حوزه مالی و پرداخت باشد، اجرای این استاندارد معقول است.

در نهایت، اجازه دهید این طور نتیجه‌گیری کنم در صورتی که بین دولت و صنعت در زمینه آسیب‌پذیری‌های نرم‌افزاری تلاش‌های مشترکی وجود می داشت و این دو بخش، اطلاعات‌شان را با یکدیگر به اشتراک می‌گذاشتند من احساس امنیت بیشتری در رابطه با امنیت نرم‌افزار داشتم. در رابطه با این صحبت به نقش دولت در تضمین ایمنی و امنیت جاده‌ها و خودروها فکر کنید.

Vladimir Taratushka

مدیر کنفرانس HackIT

Vladimir ابتدا کار را با هک بازی ها شروع نموده و سپس وارد حوزه نرم‌افزارهای تجاری شد. رشته تحصیلی او امنیت اقتصادی و اطلاعاتی است. وی یکی از بنیان‌گذاران استارتاپ Blockchain است و از زمانی که قیمت بیت‌کوین 27 دلار بود، بیت‌کوین ماین می‌کرد.

اگر به حوزه نرم‌افزار مثل یک کازینو نگاه کنیم و به مجرمان سایبری همچون بازیکن آن باید ببینیم ممکن است این کازینو چقدر پول از دست بدهد و با چه احتمالی؟

استفاده از تک‌محصولی نرم‌افزاری، حفظ و نگهداری و نظارت بر آن کار ساده‌ای است. ممکن است با پیروی از این روش، محل کارتان ایزوله شده و به‌ خوبی از آن محافظت شود اما در برابر حملات APT، به‌ شدت آسیب‌پذیر خواهید بود.

در این روش اگر فردی راه دسترسی به یک رایانه را پیدا کند می‌تواند به راحتی به کل سیستم ها دسترسی پیدا نموده و همچنین تعداد محققانی که روی نرم‌افزارها کار می‌کنند، بیشتر شده و خطاهای زیادتری در نرم‌افزارها پیدا ‌شود. اگر به پلتفرم‌هایی که به صورت مشارکتی برای پیدا کردن خطاهای نرم‌افزاری کار می‌کنند نگاهی داشته باشیم متوجه می‌شویم که برنامه‌های قدیمی‌تر همیشه پراشکال‌تر هستند.

و در پایان …

آیا شما نسبت به تأثیر تک‌محصولی نرم‌افزاری بر امنیت دیدگاه متفاوتی دارید؟ لطفاً نظرات ارزشمند خود را با ما در میان بگذارید.