امنیت IT و کابوس عملکرد وب

با افزایش میزان محبوبیت و توجهات نسبت به کاربردهای Web ۲.۰، به همان میزان، نگرانی مدیران حوزه IT و کاربران در مورد مسایل امنیتی شبکه‌ای افزایش یافته است.
در این میان یکی از بزرگ‌ترین دغدغه‌ها، مربوط به بی‌توجهی طراحان محصولات و کاربران آنها در مورد اسکن کردن کامپیوترهای‌شان و برطرف‌کردن حفره‌های امنیتی است.دستاوردهای اخیر IBM و HP، دو شرکتی که به عنوان ناظران مستقل بر مسایل امنیتی Web ۲.۰ فعالیت می‌کنند، حاکی از معطوف شدن توجهات به مسایل امنیتی این پروژه عظیم است. اما از طرف دیگر، دستاوردهای کلیدی این‌چنینی، می‌توانند اثربخشی مسایل امنیتی Web ۲.۰ را محدود کنند.HP در ماه ژوئن اقدام به خرید شرکت SPI Dynamics کرد که در حوزه مسایل امنیتی کاربردی وب فعالیت می‌کند. IBM نیز در ماه جاری توانست به فناوری Watchfire دست پیدا کند. Watchfire نوعی فناوری است که با ارایه نرم‌افزار سنجش ضریب امنیت تحت وب، نقص‌ها و آسیب‌پذیری‌های بحرانی وب را تعیین کرده و در فرآیند تعمیر و برطرف کردن نقص‌ها نقش موثری دارد.
سوزان چلنجر (Susan Challenger)، مدیر بخش بازاریابی Core Security می‌گوید: در ایمن‌سازی وب خلاء ایجاد شده و به دلیل اینکه هر روز اینترنت در حال تغییر است، آزمایش مداوم نقص‌ها و حفره‌های امنیتی امری ضروری به نظر می‌رسد.
● تاثیر ناشناخته
آنچه که کارشناسان امنیتی را در خصوص برخی دستاوردهای ایمن‌سازی مجازی بی‌قرار و عصبانی می‌کند این است که توسعه و طراحی محصولات هنوز روند مشخصی ندارد. به طور مثال، در مورد دستاوردهای Watchfire و ابزار جاسوسی، محصولاتی که کارشناسان امنیتی پیشنهاد می‌کنند تنها برای محصولات مربوط به شبکه‌های خاص و جدیدشان قابل استفاده است.
آلکس هوران (Alex Horan)، مدیر تولید Core Security می‌گوید: به نظر می‌رسد که برگرداندن این محصولات به بازار جزو اهداف اولیه طراحان نیست.
به هر حال دستاوردهای هر دو شرکت Watchfire و SPI Dynamics، تنها مختص ایمن‌سازی محصولات خاص خود آنها ا ست.
مرکز تحقیقاتی مسایل امنیتی Core Security نیز ماه میلادی گذشته با معرفی یک فناوری سنجش ضریب امنیتی تحت وب به گروه امنیتی Web ۲.۰ پیوست.
مایک راتمن (Mike Rothman)، تحلیلگر Security Incite می‌گوید: هنوز مشخص نیست که دستاوردهای HP و IBM تا چه حد می‌تواند خلاء ناشی از فقدان امنیت تحت وب را جبران کنند و در این مورد پیش‌بینی‌هایی شده اما هنوز چیزی قطعی نیست.
● ضرورت آزمایش‌های مداوم
راتمن معتقد است که بالا یا پایین بردن سطح رقابت در زمینه ایمن سازی وب هدف واقعی نیست بلکه چشم‌انداز اصلی ما این است که مشتریان خود بتوانند عملکردهای شبکه‌ای و سیستم‌های کامپیوتری‌شان را آزمایش کنند.
وی می‌گوید: می‌توانم اطمینان بدهم که افراد شرور، هر روز محصولات‌مان را آزمایش می‌کنند. یک برنامه قوی که ایمن‌بودن محصولات را تضمین می‌کند، در حقیقت تنها یک روش اطمینان‌دهی به کاربران است تا توسط افراد شرور یا هکرها غافلگیر نشوند.
اریک اوگرن (Eric Ogren)، مشاور امنیتی گروه Ogren می‌گوید: مهم‌تر از مساله فقدان راهکار مناسب امنیتی این است که فعالیت در فضای امنیت تحت وب فقط و فقط نشان می‌دهد که تا چه حد مساله امنیت حساس است.وی می‌افزاید: تمامی کسب و کارها باید یک برنامه مداوم جهت آزمایش عملکردهای کلیدی و مهم خاص خود داشته باشند تا با اسکن کردن و آزمایش‌های مداوم، میزان آسیب‌پذیری آنها را بسنجد.
● تثبیت امنیت
اوگرن پیشنهاد می‌کند که دستاوردهای Watchfire و SPI به صورت راهبرد تثبیت شده در بازار Web ۲.۰ دربیاید.
وی معتقد است که این تثبیت راهبردی بسته به آشناسازی و اطلاع‌رسانی به مشتریان از دو راه مختلف پیش خواهد رفت.
یکی از این دو روش، ادغام ابزار آزمایش و نفوذ به برنامه‌های عملکردی و شبکه و ابزار مربوط به اسکن در یک وسیله واحد است.
هدف از این روش آن است که موارد مربوط به زیرساخت‌های تجاری تا حد ممکن و به صورت غیرمنفعل، شفاف‌سازی شود.
اوگرن می‌گوید: این روش بهترین شیوه‌ای است که IT می‌تواند فعالیت اسکن‌کردن را تحت کنترل درآورده و قبل از اینکه مشکلاتی برای سیستم پیش بیاید، نقص‌ها برطرف شود.
دومین راهکار تثبیت امنیت شامل ادغام ابزار آزمایش عملکردهای وب با ابزار توسعه جهت برطرف کردن دایمی نقص‌ها در کدبازهاست.
هدف از این راهکار آن است که چرخه حیات نرم‌افزارها را از فضای مهندسی به بازخوردهای عملکردی محصولات گسترش دهد.یکی از نتایج این راهکار، جذب کسب و کارهای بزرگ و فعالیت‌های توسعه کاربردی است.
اوگرن خاطرنشان می‌کند که دومین راهکار، بیانگر اهمیت تثبیت امنیتی است و در این میان آزمایشگرهای مرکز داده‌ها در اولویت قرار دارند.
● تحلیل امنیتی
SPI Dynamics چهار برنامه امنیتی مخصوص Web ۲.۰ طراحی کرده است. WebInspect نیز یک برنامه خودکار تحت وب و راهکاری برای تخمین میزان نفوذپذیری سرویس‌های وب به شمار می‌رود. AMP‌یا پلات‌فورم مدیریت اندازه‌گیری، یک پلات‌فورم گسترده مدیریتی است که ضریب ریسک‌پذیری برنامه‌های تحت وب را اندازه‌گیری می‌کند.
SPI Dynamics به سازندگان برنامه‌های مخصوص Web ۲.۰ کمک می‌کند تا به طور خودکار اشکالات برنامه‌های امنیتی برنامه‌های تحت وب شناسایی و رفع شده و این برنامه‌ها و سرویس‌ها ایمن‌سازی شوند.
QAInspect به کاربران حرفه‌ای QA این امکان را می‌دهد تا از برنامه‌های خودکار آزمایش میزان امنیت تحت وب، بدون نیاز به دانش بالای امنیتی و یا عقب انداختن زمان عرضه محصول موردنظر، در فرآیند آزمایشی مدیریتی کلی خود بهره گیرند.App Scan Security از شرکت Watchfire یک بسته امنیتی شامل شش محصول است که می‌‌تواند حفره‌ها و نقاط آسیب‌پذیر را پیدا کرده و آنها را برطرف سازد. این بسته امنیتی شامل App Scan۷.۶ برای ارزیابی میزان نفوذپذیری برنامه‌‌ها، App Scan QA برای بالابردن روند آزمایش برنامه‌های تحت وب در فضای QA و App Scan Reporting Console است که اطلاعات مربوط به میزان نفوذپذیری را جمع‌آوری می‌کند و در قالب یک گزارش قابل تفسیر ارایه می‌‌دهد.