رتبه‌بندی ابزارهای دیجیتال

به گزارش واحد امنیت سایبربان؛ اندرو جیمسون (Andrew Jamieson)، کارشناس امنیتی شرکت یو. ال آمریکا (UL) در زمان برگزاری اجلاس امنیت «AusCERT 2016» در استرالیا اعلام کرد سه نوع تهدید امنیتی وجود دارد. جیمسون این حمله‌ها را «امنیت دی. آی. وای» (Security DIY) می‌نامد. عبارت «DIY» مخفف سه کلمه‌ی حساب شده (Deliberate)، ناآگاهانه (Ignorant) و هنوز کشف نشده (Yet to be discovered) است.
تهدیدات حساب شده: مانند درب پشتی و جابه‌جایی اطلاعات از راه دور که با بررسی کد درست می‌شود.
تهدیدات ناآگاهانه: مانند تنظیمات امنیتی ضعیف یا طراحی بد، این حملات با انجام آزمایش‌های نفوذ کشف و قابل برطرف سازی هستند.
هنوز کشف نشده: این نوع تهدیدات از آسیب‌پذیری‌های ناشناخته مانند مشکلات نرم‌افزارهای در حال استفاده ایجاد می‌شوند. همچنین این تهدیدها می‌توانند از انواع جدید و ناشناخته‌ی حملات ناشی بشوند.
جیمسون ادامه داد «ارزیابی امنیتی و هزینه‌ی پول، همیشه برای پیدا کردن همه‌ی مشکلات امنیتی کافی نیست.»
هزینه‌های ارزیابی بسیار زیاد است. اینترنت اشیا باعث شد هزینه‌ی تولید ابزارها کاهش یافته و تولیدکنندگان عملکردهای بیشتری را به ابزارهای خود اضافه کنند. همچنین چرخه‌ی طراحی نمونه اولیه یک محصول زمان مناسبی را برای آزمایش آن باقی نمی‌گذارد.
وی افزود: «مصرف‌کنندگان ممکن است بگویند به امنیت خود اهمیت می‌دهیم؛ اما آن‌ها بر اساس توانایی مالی خود خرید می‌کنند. چرا نباید این کار را بکنند؟ اگر دو دستگاه با عملکردی کاملاً مشابه وجود داشته باشد چه دلیلی وجود دارد که دستگاه گران‌تر خریداری نشود؟»
تولیدکنندگان هیچ انگیزه‌ای ندارند تا با صرف هزینه و زمان امنیت ابزارهای خود را افزایش دهند. آن‌ها فقط می‌خواهند مدل جدیدتر را سال آینده به فروش برسانند. امنیت اینترنت اشیا یک مشکل تجاری است و باید در حد امکان زمان و هزینه‌ی بیشتری به این مشکل اختصاص داده شود.
این کارشناس راه حلی با نام ستاره‌ی امنیت (Security Star) را برای رفع مشکلات ذکر شده پیشنهاد داد. بر اساس این طرح مصرف‌کنندگان برق و آب رده‌بندی می‌شوند یا وزارت حمل‌ونقل آمریکا از یک تا 5 ستاره‌ی امنیت به خودروها می‌دهد. با وجود این در طرح ستاره‌ی امنیت مشکلات واضحی وجود دارد. چگونه می‌توان محصولات مختلف با معماری‌های گوناگون را که نیازهای امنیتی متفاوتی دارند با یکدیگر مقایسه کرد؟ انجام این کار بدون صرف هزینه‌ی بالا برای بررسی کدهای نوشته‌شده برای هرکدام چگونه ممکن است؟
اندرو جیمسون در پاسخ به سؤالات مطرح شده در مورد طرح خود گفت: «ابزارها در سه دسته‌ی مختلف تهدید می‌شوند. این تهدیدات شامل تعداد رابط‌های ورودی و خروجی، حملات در سطح پردازش و معماری سیستم هستند. ما تنها باید بر اساس چند معیار مختلف آن‌ها را دسته‌بندی کنیم.»
موضوع ذکر شده توسط این کارشناس امنیتی درست مانند ایجاد واحد کیلوگرم در رده‌بندی متریک است. در طرح پیشنهادشده از سوی جیمسون یک واحد متریک به نام «حالت امنیت منطقی»¹ (LSP) دیده می‌شود. این واحد امتیازی است که به ویژگی‌های امنیتی یک ابزار داده می‌شود و هر چه سطح امنیت کمتر باشد امتیاز دریافتی نیز کاهش خواهد یافت. همچنین اگر با گذشت زمان، سطح امنیت این ابزار با انتشار بروزرسانی‌ها افزایش پیدا نکند یا اقدامی برای برطرف کردن مشکلات صورت نگیرد، امتیاز کسب شده به صفر کاهش پیدا خواهد کرد. معیارهای سنجش این واحد و سیستم رده‌بندی جدید با گذشت زمان تغییر می‌کند؛ بنابراین ارزش کسب 4 ستاره در سال 2018 با 5 ستاره در سال 2015 کاملاً متفاوت است.
ایده‌ی مطرح شده جالب به نظر می‌رسد و در صورت اجرایی شدن می‌تواند به افرادی که به امنیت خود اهمیت می‌دهند کمک کند تا راحت‌تر محصول مورد نظر را پیدا کنند؛ اما هنوز هم عده‌ای از کارشناسان معتقدند این طرح با مشکلات بسیار جدی برای اجرایی شدن مواجه است.
استیو ویلسون، معاون مدیر بخش امنیت و حریم خصوصی شرکت آمریکایی کانستلیسشن ریسرچ (Constellation Research) معتقد است نمی‌توان برای بعضی از جنبه‌های امنیتی مقیاسی را مشخص کرد. آیا کاربران واقعاً می‌توانند در زمان خرید محصول موردنظر بین امنیت و راحتی خود تعادل برقرار کنند؟ همچنین یک مشکل بسیار بزرگ‌تر وجود دارد. تهدیدات امنیتی با سرعت بسیار بالایی در حال تغییر هستند.
ویلسون بیان کرد در صنعت خودرو طراحی محصولات ایجاد شده و امنیت آن به یک مدل فیزیکی محدود است؛ اما این موضوع برای نرم‌افزارها با طراحی‌های پیچیده صادق نیست. همچنین تهدیدات دسته‌ی هنوز کشف نشده می‌توانند تمام معیارهای سیستم رده‌بندی را نامعتبر کنند. به همین منظور با رخ دادن هر تهدید ناشناس باید تمام رده‌بندی‌ها عوض شده و به کاربران اطلاع داده شود که بسیار هزینه‌ بر است.

_____________________

1- Logical Security Posture