به گزارش کارگروه بین الملل خبرگزاری سایبربان، کاتلین فیشر، مدیر دفتر نوآوری اطلاعات آژانس پروژههای تحقیقاتی پیشرفته (DARPA)، معتقد است که سازمانهای دولتی بیش از حد منفعلانه عمل میکنند و بیشتر به واکنش پس از حمله متکی هستند، در حالی که راهکارهای پیشگیرانه مؤثری از قبل وجود دارد.
در سال ۲۰۱۷، حمله سایبری روسیه به نام نات پتیا (NotPetya)، زیرساختهای اوکراین را هدف قرار داد، اما خسارات آن به خارج از اوکراین نیز گسترش یافت.
شرکت حملونقل مائرسک (Maersk) که ۲۰٪ از حملونقل دریایی جهانی را کنترل میکند، در عرض ۷ دقیقه ۵۰ هزار کامپیوتر خود را از دست داد و دچار خسارتی ۳۰۰ میلیون دلاری شد.
در ژوئیه ۲۰۲۴، یک خطای نرمافزاری در شرکت کراود استرایک (CrowdStrike) منجر به اختلال گسترده در سراسر جهان شد و میلیونها کامپیوتر را از کار انداخت، پروازها را لغو کرد و حتی برخی جراحیهای پزشکی را به تأخیر انداخت.
این حادثه ناشی از یک بهروزرسانی نرمافزاری معیوب بود و نشان داد که حتی بدون حمله سایبری، آسیبهای جدی ممکن است رخ دهد.
فیشر معتقد است که چنین اتفاقاتی باعث ایجاد نوعی "درماندگی آموختهشده" در سازمانهای دفاعی شده است، به طوری که به جای جلوگیری از آسیبها، تنها پس از وقوع آنها اقدام به اصلاح مشکلات میکنند.
آژانس پروژههای تحقیقاتی پیشرفته در دهه گذشته ثابت کرده است که روشهای رسمی (Formal Methods) میتوانند از بروز آسیبپذیریهای نرمافزاری جلوگیری کنند.
به جای تست امنیت نرمافزار پس از توسعه، روشهای رسمی از تحلیل ریاضی دقیق در مراحل طراحی استفاده میکنند تا قبل از انتشار، نرمافزار از نظر امنیتی بررسی شود.
آژانس پروژههای تحقیقاتی پیشرفته ابزارهای متعددی برای ارتقای امنیت نرمافزارهای وزارت دفاع آمریکا (DOD) توسعه داده، اما استقبال از آنها محدود بوده است.
اکنون، با افزایش نگرانی درباره امنیت سایبری سیستمهای تسلیحاتی نظامی، این آژانس تلاش میکند تا این ابزارها را به جامعه دفاعی معرفی کند.
فیشر در ادامه اظهار کرد:
ما میتوانیم دنیایی بدون آسیبپذیریهای نرمافزاری متصور شویم، جایی که دیگر احساس درماندگی در برابر تهدیدات سایبری وجود ندارد و سامانههای حیاتی بهسرعت ایمن میشوند.
یکی از اولین برنامههای آژانس پروژههای تحقیقاتی پیشرفته که مزایای روشهای رسمی را نشان داد، پروژه سامانههای سایبری نظامی با اطمینان بالا (High-Assurance Cyber Military Systems) بود که بین سالهای ۲۰۱۲ تا ۲۰۱۶ اجرا شد.
در یک آزمایش موفق، هکرها تلاش کردند پهپاد نظامی و هلیکوپتر خودران پرنده کوچک بوئینگ (Boeing Little Bird) را هک کنند اما نتوانستند به آن نفوذ کنند.
این آزمایش نشان داد که روشهای رسمی میتوانند آسیبپذیریهای امنیتی را در سیستمهای جاسازیشده (Embedded Systems) حذف کنند.
آژانس پروژههای تحقیقاتی پیشرفته همچنین پروژههای دیگری برای بهبود امنیت سیستمهای دفاعی توسعه داده است:
1. SafeDocs: تمرکز بر رفع آسیبپذیریها در مفسرهای نرمافزاری (Parsers) که دادهها را پردازش میکنند
2. AMP (Assured Micro Patching): امکان برطرف کردن باگهای نرمافزاری بدون نیاز به کد منبع، بدون ایجاد مشکلات جدید.
علی رغم موفقیتهای آژانس پروژههای تحقیقاتی پیشرفته، هنوز روشهای رسمی بهطور گسترده در وزارت دفاع آمریکا استفاده نمیشوند.
به گفته فیشر، علت این موضوع این است که بسیاری از سازمانها منتظر راهحل کامل هستند و حاضر نیستند ابزارهای موجود را همین حالا به کار بگیرند اما او تأکید میکند که این فناوریها برای استفاده عملی آمادهاند و نباید منتظر تکمیل شدن همه راهحلها ماند.
برای تشویق پذیرش گستردهتر، آژانس پروژههای تحقیقاتی پیشرفته در سال ۲۰۲۴ برنامه کپستون (Capstone) را راهاندازی کرد.
این برنامه با همکاری وزارت دفاع و سایر نهادهای دولتی، بسترهایی را که میتوانند از روشهای رسمی بهره ببرند، شناسایی میکند.
آژانس پروژههای تحقیقاتی پیشرفته بودجهای برای اجرای این ابزارها در سیستمهای دفاعی اختصاص داده است و هدف این است که درسهای آموختهشده مستند شوند تا دیگر پروژهها نیز از آنها استفاده کنند.
استیو کوهن، مدیر این برنامه، عنوان کرد:
ما نمیتوانیم همه مشکلات را حل کنیم، اما میتوانیم راهکاری پیدا کنیم تا این ابزارهای امنیتی بهصورت گسترده در سراسر صنعت دفاعی و نیروهای نظامی به کار گرفته شوند.
آژانس پروژههای تحقیقاتی پیشرفته نشان داده است که روشهای رسمی میتوانند امنیت نرمافزارهای نظامی را بهشدت بهبود بخشند و از فجایع سایبری جلوگیری کنند.
با وجود موفقیتهای این فناوری، پذیرش آن در وزارت دفاع همچنان محدود است.
با اجرای برنامه کپستون و افزایش آگاهی، آژانس پروژههای تحقیقاتی پیشرفته امیدوار است که این روشها بهطور گستردهتری مورد استفاده قرار گیرند و امنیت سایبری سیستمهای حیاتی را در برابر تهدیدات داخلی و خارجی تقویت کنند.
