بخش سوم مقاله امنیت در دنیای وب
بررسی ابعاد مختلف رویکرد «کشف رویدادها» و اطمینان از سلامت اطلاعات
مقدمه
در دو بخش قبلی از مجموعه امنیت در دنیای وب در رابطه با تعاریف امنیت صحبت کردیم و رویکرد پیشگیری را به صورت کامل بیان کردیم. در این بخش، رویکرد کشف رویدادها را با تفصیل بیشتری توضیح میدهیم و با عناصر تشکیلدهنده آن بیشتر آشنا میشویم. پس از شناخت این عناصر، معیارهای مشترک را به عنوان نمونهای از استاندارد این شیوه معرفی و آن را از دید نرمافزارهای وبی، بررسی خواهیم کرد.
کشف رویدادها و اطمینان از سلامت اطلاعات
این شیوه نگرش را میتوان به این صورت بیان کرد: همواره باید دانست چه اتفاقاتی پیش از این افتاده و چه اتفاقاتی در حال رخ دادن است؟ آیا رویدادی اتفاق افتاده است که باعث غیرقابل اطمینان شدن اطلاعات شده باشد یا خیر؟ اصل و پایه این رویکرد به این صورت است که سعی میکند با دانستن اینکه چه اتفاقی در چه زمانی، توسط چه کسی در چه موقعیت و وضعیتی روی داده یا در حال روی دادن است، این قابلیت را در اختیار ذینفعان نرمافزار قرار دهد که بتوانند وضعیت امنیتی نرمافزار را بررسی کنند و نتیجهگیری کنند آیا اطلاعات تحت تاثیر، هنوز قابل اطمینان است یا خیر؟
این رویکرد، اعتماد به نرمافزار را بر مبنای شفافیت نسبت به رویدادها قرار داده است و سعی میکند با دخیل کردن مفاهیم هر کسبوکار بر روی ساختارهای نرمافزاری، اعتماد به نرمافزار را برای کاربر اضافه کند. این رویکرد، نرمافزار را به 2 بخش تقسیم میکند: رویدادهایی که روی اطلاعات اتفاق میافتد. در واقع اگر بخواهیم تعریفی از نرمافزارهایی داشته باشیم که سیستمهای اطلاعاتی را مکانیزه میکنند این تعریف میتواند کاملا درست باشد. این رویکرد میخواهد همواره ارتباط منطقی تعریف شده در سیستمهای اطلاعاتی بین کاربران، اطلاعات و رویدادها در طول حیات یک اطلاعات، موجود و قابل پیگرد باشد.
بر اساس این نگاه این رویکرد به دنبال اهداف زیر است:
- رصد کردن وضعیت امنیتی و رویدادهایی که در نرمافزار در حال وقوع است.
- اعتماد به خدشهدار نشدن اطلاعاتی که نرمافزار در حال مدیریت آن است.
- همیشه در دسترس بودن تاریخچه حیات زندگی یک اطلاعات.
- انکار ناپذیری برای رویدادهایی که بر روی اطلاعات رخ داده است.
در واقع در این رویکرد، صحبتی از حمله و پیشگیری از آن وجود ندارد. چیزی که مهم است حفاظت از یکپارچگی اطلاعات در اختیار نرمافزار است. این رویکرد، کاربران را در قالب نقشهایی در نظر میگیرد که در طول زندگی نرمافزار باعث وقوع رویدادهایی بر روی اطلاعات میشوند. آنها اطلاعات را ایجاد و آنها را ویرایش میکنند، اطلاعات را مشاهده و در نهایت در مواقعی آنها را حذف میکنند. این رویدادها پایهایترین رویدادهایی است که هر سیستم اطلاعاتی درگیر آن است و هر رویداد دیگری باعث این چهار رخداد اصلی در نرمافزارها میشود.
رویکرد کشف رویدادها، به دنبال افزودن مجموعهای از قابلیتها به نرمافزار است که بر اساس این بتوان هدفهای بالا را تحقق بخشید و در واقع بتوان شیوهای را تهیه کرد که خود اطلاعات، قابل اعتماد باشند.
برای این رویکرد قابلیتها به 3 دسته تقسیم میشوند:
- قابلیتهایی که تاریخچه رویدادها را در بر میگیرند.
- قابلیتهایی که یکپارچگی دادهها را تعریف و در صورت مخدوش شدن، آنها را شناسایی میکنند.
- قابلیتهایی که نقشها و دسترسیهای اطلاعاتی و عملیاتی نقشها را شفاف و بر اساس آن، انکارناپذیری را محقق میکنند.
با مجموعه این قابلیتها شفافسازی مورد نیاز امنیت به وجود میآید و هم نرمافزار و هم کاربران میتوانند تفکیکی بین اطلاعات قابل اعتماد و غیر قابل اعتماد داشته باشند.
قابلیتهای دسته اول به طور کامل بر روی مفهوم ممیزی رویدادها استوارست؛ به این معنی که هر رویدادی که روی یک موجودیت اطلاعاتی اتفاق میافتد را بتوان پیگیری کرد. تفاوتی بین لاگکردن رویداد و ممیزی کردن آن وجود دارد. ممیزی ساختار اطلاعاتی کاملتری نسبت به لاگ رویداد دارد و میتواند اطلاعات بسیار بیشتری از رویدادهای اتفاق افتاده را ارائه کند.
در رابطه با اطلاعات ممیزی نیاز است که مشخص باشد بر روی کدوم شی، بر اساس چه رویدادی، توسط چه کسی، در چه زمانی، چه بخشهایی از اطلاعات شی تغییر کرده است و این اطلاعات قبل و بعد از رویداد چه مقادیری داشته و در حال حاضر چه مقداری دارند. در واقع اطلاعات ممیزی نه تنها مشخصکننده رویداد اتفاق افتاده است؛ بلکه اطلاعاتی از تغییرات مربوط به موجودیت در حال تغییر نیز نگه میدارد. به این ترتیب میتوان شفافیتی در رابطه با تاریخچه تمامی رویدادها همراه با اینکه چگونه بر موجودیت اطلاعات موثر بودهاند، بدست آورد.
قابلیتهای دسته دوم به این منظور تعریف میشود که بتوان مخدوش شدن اطلاعات را از مسیرهایی غیر از مسیر نرمافزار تشخیص داد. تمامیتغییرات نرمافزار ممیزی تولید میکنند؛ اما اگر کسی از مسیری غیر از مسیر نرمافزار، اطلاعات را تغییر دهد باید بتوان آن را کشف کرد تا اطلاعات نامطمئن کشف شوند. این قابلیتها مجموعهای از ساختارها، الگوریتمها و مفاهیمیاست که بر اساس آن میتوان مخدوش شدن اطلاعات را تشخیص داد.
قابلیتهای دسته سوم به منظور ایجاد انکارناپذیری برای رویدادها در نظر گرفته شدهاند. در این قابلیتها تعاریفی از دسترسیها بیرون میآید که به نقشها داده میشود و نقشها به کاربران داده میشوند. بر اساس این قابلیتها میتوان کشف کرد که آیا کاربر خاصی توانسته اطلاعاتی را مشاهده کند یا عملیات خاصی را انجام دهد یا خیر ؟ امضای اطلاعات یا رویدادها شیوهای از تضمین انکارناپذیری تغییرات اعمال شده بر روی اطلاعات است.
پیش از این در ایران این رویکرد برای نرمافزارهای در حال توسعه، رویکرد قالب بود. علت آن هم استفاده از نرمافزارهایی بر روی بستر سیستم عامل بود؛ اما به مرور زمان با توجه به اینکه نرمافزارها آرام آرام از بستر سیستم عامل به بستر وب نقل مکان کردند اهمیت رویکرد پیشگیری بالا رفت و رویکرد کشف به عنوان رویکرد درجه 2 شناخته شد.
این مورد اهمیت دارد که بدانیم که مخصوصا در دنیای وب اهمیت پیشگیری بسیار بیشتر از اهمیت کشف رویدادهای غیرمجاز یا مخدوش شدن اطلاعات است. در واقع رویکرد کشف باید رویکردی برای تکمیل مفهوم امنیت در بستر وب باشد. این مورد در رابطه با نرمافزارهای سایر پلتفرمها برعکس است و اتفاقا رویکرد قالب باید رویکرد کشف باشد. به عنوان مثال برای تولید سیستم عامل یا پایگاه داده، این رویکرد بسیار حائز اهمیت است؛ اما برای بستر وب آن چیزی که بسیار اهمیت دارد رویکرد پیشگیری است. امنیت در این بستر بر اساس پیشگیری است و کشف تکمیل نیازمندیهای سیستم اطلاعاتی را برای اجرای درست امنیت در کسبوکار تعریف میکند.
معیار مشترک
معیار مشترک (Common Criteria) چارچوبی است برای امنیت کامپیوتری که با شناسه ISO/IEC 15408 به استانداردی بینالمللی تبدیل شده است. این چارچوب، یک هدف ارزیابی را با توجه به مجموعهای از اسناد به هم مرتبط بر اساس یک یا چند پروفایل حفاظتی را برای مشخصکردن سطح اطمینان آنها در یک چارچوب تعریف شده ارزیابی میکند.
بر اساس آنچه که گفته شد نیاز است که مفاهیم بیان شده تعریف شوند:
1- هدف ارزیابی: یک محصول یا سیستم است که موضوع ارزیابی است.
2-پروفایل حفاظتی: سندی است که در آن مجموعه نیازمندیهای امنیتی در کلاسهایی که در استاندارد آورده شده است تعریف میکند. در واقع استاندارد معیار مشترک امنیت را کلاسبندی کرده است و بر اساس پروفایلهای حفاظتی مختلف، مشخص میشود که برای چه نوع هدفهایی، چه نیازمندیهایی برای هر کلاس باید وجود داشته باشد.
3-نیازمندیهای تضمین امنیت: شرح اقدامات انجام شده در طول توسعه و ارزیابی محصول برای اطمینان از عملکردهای امنیتی هدف ارزیابی است. در واقع چارچوبی از اسناد هستند که به صورت منطقی بین آنها ارتباط وجود دارد. این اسناد معرفیکننده تمامیجوانب مربوط به هدف ارزیابی هستند.
در هر هدف برای شروع فرایند ارزیابی ابتدا باید این اسناد را ارزیابی و بر اساس آنها درک درستی در رابطه با هدف ارزیابی پیدا کرد. مهمترین این اسناد به شرح زیر است:
- سند هدف امنیتی: سندی است که در آن مجموعه کلی معماری و الزامات امنیتی که هدف ارزیابی ادعای وجود آنها را در خود دارد، آورده میشود. این سند ادعا میکند که چه الزاماتی از چه پروفایلهای حفاظتی را در خود جای داده است.
- سند پیکربندی: مشخصکننده ساختار نسخهبندی و پیکربندی قطعات مختلف هدف ارزیابی است.
- سند راهنما: راهنمای استفاده از هدف ارزیابی است.
- سند واسطها: این سند، ارتباط بین سند راهنما و سند هدف امنیتی را برقرار میکند و در آن مشخص میشود که هر قابلیتی که در راهنما آورده شده کدامیک از الزامات امنیتی مربوط به سند هدف امنیتی را پیادهسازی کرده است.
- سند آزمون: سندی است که نتایج آزمون ارزیابی امنیتی در آن آورده شده و درآن انطباق و عدم انطباق هدف ارزیابی با ادعاهای امنیتی اعلام شده در سند هدف امنیتی آورده شده است.
1- نیازمندیهای عملکردهای امنیتی: مشخصکننده توابع امنیتی است که به عنوان الزامات در سند پروفایل حفاظتی آورده میشود. هر کدام از این توابع در یک کلاس استاندارد تعریف میشوند و مشخصکننده شیوه پیادهسازی الزام موجود در استاندارد در پروفایل حفاظتی است.
2-سطوح اطمینان ارزیابی: رتبهبندی عددی در رابطه با توصیف عمق و سختی ارزیابی ارائه میدهد. این چارچوب چند سطح اطمینان تعریف میکند و برای هر سطح اطمینان قوانین و فرآیندهایی را به منظور میزان اطمینان در نظر میگیرد و بر این اساس، هدف ارزیابی را در یکی از این سطوح اطمینان قرار میدهد.
این استاندارد به گونهای طراحی شده که هر سیستم یا محصول کامپیوتری را بتوان بر اساس آن ارزیابی کرد. روال این استاندارد به این شکل است که برای هر نوع محصول یا سیستم یک پروفایل حفاظتی از الزامات امنیتی سیستم یا محصول ارائه میشود و تولیدکنندگان بر اساس این الزامات امنیتی، مجموعهای قابلیت به سیستم یا محصول خود اضافه میکنند. سپس یک سطح تعریف شده امنیتی را انتخاب و براساس آن از آزمایشگاه درخواست آزمایش میکنند. برای این کار، محصول را همراه با مستندات مورد نیاز در اختیار آزمایشگاه قرار میدهند و در سند هدف امنیتی وجود الزامات امنیتی را براساس پروفایل حفاظتی ادعا میکنند. آزمایشگاه ادعاهای امنیتی تولیدکننده را بررسی میکند و در صورت تطبیق ادعاها سند آزمون را تولید و در آن مشخص میکند که آیا محصول یا سیستم، الزامات را رعایت کرده است یا خیر.
همانطور که تا الان متوجه شدهاید این استاندارد برای هرگونه محصول یا سیستم تولیدی در کامپیوتر است؛ اما علت اینکه ما این استاندارد را در این مقاله آوردیم این است که در ایران دولت، این استاندارد را برای تمامی محصولات کامپیوتری در نظر گرفته است و نرمافزارهای تحت وب را نیز از طریق این استاندارد، ارزیابی امنیتی میکند. تولیدکنندگان نرمافزارهای وبی نیز برای دریافت گواهی امنیت باید بر روی این استاندارد، فعالیت کنند. از این رو، آشنا بودن خوانندگان با این استاندارد و شیوه نگاه آن برای دانستن دنیای این استاندارد کمککننده خواهد بود.
باید توجه داشت این چارچوب اعلام میکند که تضمینی برای امنیت ارائه نمیدهد. علت آن هم ساده است ، ایجاد یک چارچوب برای تمامیمحصولات و سیستمها این چارچوب را به سطحی از انتزاع رسانده است که عملا نمیتواند تمامی ابعاد پلتفرمهای مختلف را در بر بگیرد و در عمل بسیاری از رویکردهایی که در مرحله پیشگیری وجود دارد در آن جایگاهی ندارند.
این چارچوب سطوح اطمینان زیر را تعریف کرده است:
- سطح یک – قابلیتهای محصول یا سیستم تست میشود.
- سطح دو – ساختارهای طراحی محصول یا سیستم تست میشود.
- سطح سه – وجود مهندسی امنیت در طراحی سیستم یا محصول با شیوههای مشخصی مورد تست قرار میگیرد که هدف آن، افزایش اطمینان امنیتی در طراحی است.
- سطح چهار- سیستم یا محصول بر اساس روشهای مشخصی طراحی، تست و بازرسی میشود.
- سطح پنج- سیستم یا محصول بر اساس روشهای نیمه رسمیطراحی و تست میشود.
- سطح شش- سیستم یا محصول بر اساس روشهای نیمه رسمی طراحی، تست و بازرسی میشود.
- سطح هفت- سیستم یا محصول بر اساس روشهای رسمی طراحی، تست و بازرسی میشود.
در این سطوح همانطور که مشخص شده، سعی در این است که شیوههای تولید محصول کامپیوتری، امن شوند. این استاندارد سعی میکند که مهندسی امنیت را به مرور و در طی سالها در تولیدکنندگان به عنوان روشهای رسمی تولید محصول قرار دهد و به این ترتیب، میزان اطمینان به محصول یا سیستم را بالا برد. برای اینکه بیشتر بتوان این سطوحبندی را درک کرد به صورت ساده در سطح یک محصول به صورت جعبه سیاه مورد تست قرار میگیرد و فقط درست کارکردن الزامات امنیتی مورد تست است.
در سطح دو علاوه بر درست کارکردن، الزامات درست طراحی شدن آنها هم تست میشود؛ بنابراین نیاز است اطلاعات طراحی محصول در آزمایشگاه بررسی شود. در سطح سوم علاوه بر دو، سطح اولِ تست جعبه سفید نیز صورت میگیرد؛ به عنوان مثال اگر یک نرمافزار در حال آزمون باشد تمامیکدهای آن نیز مورد تست قرار میگیرد تا اطمینان حاصل شود که پیادهسازی طراحیهای سطح دو نیز به درستی انجام گرفته است. به همین ترتیب این چارچوب آرام آرام تمامیبخشهای خط تولید محصولات کامپیوتری را به ابزار امنیت تجهیز میکند و حضور امنیت را در تمامیاین بخشها تست میشود. در سطح هفتم، کل خط تولید با استفاده از روشهای رسمی امن در برگرفته میشوند.
سطح چهارم این چارچوب، آخرین سطحی است که رسیدن به آن توجیه اقتصادی دارد. محصولاتی که هم باید تجاری باشند و هم در ذات خود به امنیت نیاز دارند در این سطح قرار میگیرند. سیستم عاملها و یا پایگاه دادهها از این جنس محصولات هستند. به عنوان مثال مایکروسافت برای نسخههای ویندوز خود سعی میکند در این سطح، گواهینامه دریافت کند به این دلیل که این سطح برخلاف سایر سطوح، توجیه اقتصادی دارد. به صورت میانگین، رسیدن از سطح یک به دو بین 5 تا 10 ماه زمان و بین 80 تا 100 هزار دلار هزینه نیاز دارد و رسیدن از سطح سه به سطح چهار نیاز به 9 تا 24 ماه زمان و بین 150 تا 350 هزار دلار هزینه دارد. این هزینه و زمان بسیار زیاد است به همین دلیل سطح پنج به بعد بسیار غیر اقتصادی است.
پروفایلهای حفاظتی برای انواع محصولات و سیستمها از دستگاههای امنیتی بستر شبکه و توکنهای نگهدارنده کلید خصوصی تا انواع نرمافزارهایی مانند سیستم عاملها و پایگاه دادهها تولید میشوند. محصولات و سیستمها به منظور اعمال آنها در نرمافزارها شروع به استفاده از این پروفایلهای حفاظتی میکنند.
ارائه پروفایل حفاظتی برنامههای کاربردی تحت شبکه توسط معاونت امنیت فضای تولید و تبادل اطلاعات نهاد ریاست جمهوری
برای نرمافزارهای بستر وب در ایران، معاونت امنیت فضای تولید و تبادل اطلاعات نهاد ریاست جمهوری اسلامیایران بر پایه این استاندارد، یک پروفایل حفاظتی معرفی کرده است که در حال حاضر با عنوان پروفایل حفاظتی برنامههای کاربردی تحت شبکه با نسخه 1.1 مربوط به اردیبهشت 96 از طریق پرتال اداره کل ارزیابی محصولات این معاونت در اختیار عموم قرار گرفته است. تلاش میکنیم تا بخشهای مختلف الزامات امنیتی ارائه شده در این پروفایل را بررسی کنیم.
پروفایل حفاظتی برنامه های کاربردی تحت شبکه
این پروفایل حفاظتی مجموعه قابلیتهایی را معرفی میکند که هر نرمافزار تحت وب (به عنوان نوعی از نرمافزارهای تحت شبکه) باید برای امن کردن خود، این الزامات را رعایت کرده باشد. این پروفایل حفاظتی با وام داری از کلاسبندیهای استاندارد معیار مشترک،الزامات را مشخص کرده است.در ادامه، این کلاسبندیها و خلاصهای از نوع الزاماتی که در هر کلاس وجود دارد را بیان میکنیم:
- کلاس ممیزی امنیت:
در رویکرد کشف رویدادها بر اساس توضیحات داده شده نگهداری تاریخچه رویدادها الزامیست. در این کلاس، مجموعهای از الزامات آورده شده که مشخص میکنند، اطلاعات ممیزی چگونه باید تولید شوند، حاوی چه اطلاعاتی باشند، چگونه باید گزارشگیری یا ذخیره شوند و یا مدیریت آنها چگونه است. در این کلاس سعی شده است که با استفاده از الزامات تعریف شده، چرخه حیات کامل اطلاعات ممیزی (لاگها) به صورت یکپارچه از تولید تا امحاء، معرفی و امنیت آنها تامین شود.
2-کلاس پشتیبانی از رمزنگاری:
در این کلاس، الزاماتی آورده شده است که طی آن مشخص میشود محصول باید از چه الگوریتمهای رمزنگاری و درهمساز برای ایجاد امنیت در سایر الزامات استفاده کند.
3-کلاس شناسایی و احراز هویت:
در این کلاس، الزاماتی در حوزه احراز هویت تعریف شده که این عملیات را امن میکند. شباهتهای بسیاری بین این کلاس با قابلیتهای مورد نیاز طبقهبندی احراز هویت در استاندارد ASVS وجود دارد. هر دو برای امن کردن احراز هویت، مجموعهای از قابلیتها مانند احراز هویت دو عاملی، شیوههای جلوگیری از حملات DDos بر روی کلمه عبور و … را پشتیبانی میکنند.
4-کلاس حفاظت از دادههای کاربری:
دادههای کاربری یا همان اطلاعاتی که نرمافزار، مسئول مدیریت آن در کسب و کار های مختلف است در این کلاس، محافظت میشوند؛ البته این الزامات به معنای ایجاد مفهوم دادههای قابل اطمینان و همچنین مفهوم دسترسیها به اطلاعات است. الزامات این کلاس، قابلیتهایی را درخواست میکند تا اطلاعات در اختیار افراد مجاز قرار گیرند و هرگونه ورود و خروج اطلاعات به یا از نرمافزار با ساختارهایی مثل امضای دیجیتال مطمئن شوند. الزاماتی در رابطه با کشف تغییرات غیرمجاز در دادهها معرفی میکند که بتواند دادههای مطمئن و نامطمئن را از یکدیگر تفکیک کند. در مورد دسترسیها به اطلاعات نیز الزاماتی در این کلاس آورده شده است تا تعریف خط مشی دسترسی به آنها در نرمافزار مشخص و کنترل شود.
5-کلاس مدیریت امنیت:
در این کلاس، مجموعه قابلیتهایی آورده شده که به عنوان قابلیتهای امنیتی در اختیار مدیران قرار میگیرد. آنها با استفاده از این تنظیمات میتوانند سیاستهای امنیتی خود را در نرمافزار اعمال کنند.
6-کلاس حفاظت از توابع امنیتی محصول:
توابع امنیتی محصول، مجموعهای از توابعی است که در اختیار اجزای مختلف محصول یا سایر نرمافزارها و یا کاربران قرار دارند. در این کلاس، الزاماتی آورده شدهاند تا از این توابع محافظت شود. این الزامات خطاهای شکست، انتقال دادهها بین اجزای مختلف یا بین نرمافزار دیگری با نرمافزار در حال آزمون را مشخص میکند. همچنین الزاماتی را در رابطه با مفاهیم مُهر زمانی بر روی دادهها برای اطمینان به آنها و شیوههایی نیز برای بروزرسانی نرمافزار ارائه میدهد.
7-کلاس دسترسی به محصول:
در این کلاس، الزاماتی درباره شیوه برقراری ارتباط بین کاربر و نرمافزار تعریف شده است که با توجه به بستر وب بودن نرمافزار در این پروفایل حفاظتی الزامات مربوط به نشست بین کاربر و نرمافزار را مشخص میکند. در این کلاس الزاماتی در رابطه با محدودیت تعداد نشستهای همزمان، شیوه برقراری و خاتمه و همچنین نگهداری سوابق نشستها معرفی شده که برای مدیریت نشستها توسط کاربران است. برخی از این الزامات با استاندارد ASVS مشابه است.
8-کلاس تخصیص منابع:
در این کلاس، الزاماتی در رابطه با تحمل خطا برای نرمافزار معرفی شده است.
9-کلاس کانالها/مسیرهای مورد اعتماد:
در این کلاس، الزاماتی در رابطه با ایجاد اطمینان در خطوط انتقال اطلاعات معرفی شده است. این الزامات میگویند که از چه پروتکلهای امنی باید برای استفاده در انتقال اطلاعات در نرمافزار استفاده شود.
مجموعه این کلاسها سعی دارند الزاماتی را معرفی کنند که سطح اطمینان به اطلاعات را افزایش دهد. این الزامات نیز کاملا در رابطه با اطمینان به اطلاعات نیست و گاهی ناگزیر شده است علاوه بر کشف اطلاعات نامطمئن الزاماتی را نیز برای پیشگیری از بعضی از حملات داشته باشد. ولی رویکرد اصلی این استاندارد، کشف رویدادها و تفکیک اطلاعات نامطمئن و مطمئن است.
استاندارد معیار مشترک سعی میکند تا جای ممکن با تاثیری که بر روی روند خط تولید محصولات امن دارد به امنیت نرمافزار کمک کند؛ اما این استاندارد نقاط ضعف و قدرت خود را دارد که در این باره کمیتوضیح میدهیم.
نقاط ضعف معیار مشترک
این استاندارد برای تمامیانواع سیستمها و محصولات کامپیوتری ایجاد شده و از این رو به سطحی از انتزاع رسیده است که هر بند از آن، نیازمند تفسیرهای مختلف است. این انتزاع باعث شده که حتی پروفایلهای حفاظتی که برای نوعهای مختلف ایجاد میشود نیز به سطحی از انتزاع برسد که نیاز به تفسیر داشته باشند. معمولا این تفاسیر باعث ایجاد چالشهای بزرگی بین آزمایشگاهها، تولیدکنندگان محصولات و دولتها میشوند.
هدف الزامات آورده شده در پروفایلهای حفاظتی، برآورده کردن نیازمندیهای اعلام شده در استاندارد است که رویکرد امنیتی را بر مبنای امنسازی تولید هدفگذاری کرده است. همین امر موجب شده این استاندارد هرچقدر برای امنیت محصولاتی بر پایه علوم کامپیوتری مانند سیستم عاملها و پایگاه دادهها موثر است برای نرمافزارهای بستر وب کم اثر باشد.
این استاندارد تضمینی برای امنیت ارائه نمیدهد اما میتواند این اطمینان را ایجاد کند که ادعاهای امنیتی اعلام شده توسط تولیدکنندگان محصول به صورت مستقل تست و صحت انجام آنها تایید شوند. درنرمافزارهای بستر وب این استاندارد باعث جلوگیری از شیوههای حمله نمیشود بلکه میتواند اگر حملهای صورت گرفت آن را کشف و اطلاعات تحت تاثیر حمله را از سایر اطلاعات مطمئن تفکیک کند.
این استاندارد برای تولیدکنندگان، بسیار هزینهبر و زمانبر است. رسیدن به سطوح سه یا چهار این استاندارد حجم زیادی از منابع مالی و زمانی شرکتهای تولید کننده را درگیر خود میکند و در دنیای وب این هزینهها (همانطور که صحبت شد) تضمینکننده امنیت نرمافزار نیستند.
نقاط قوت معیار مشترک
این استاندارد میتواند تعاریف امنیت در هر محصول یا سیستم کامپیوتری را مشخص کند و سنجهای برای تمامی آنها باشد.از اینرو اکثر دولتها به دنبال استفاده از این استاندارد برای صدور گواهینامههای امنیتی تمامی محصولات دنیای IT هستند.
این استاندارد برای استفادهکنندگان نیز میتواند مفید باشد. آنها میتوانند مستندات ادعایی مربوط به تمامی نیازمندیهای امنیتی خود را اعم از نرمافزاری و سختافزاری با یک معیار ثابت بسنجند و بر این اساس از محصولات و سیستمهای دارای یک معیار مشترک استفاده کنند. این استاندارد همچنین میتواند برای مهندسی امنیت در محصولات IT، نقش یک متدولوژی را نیز بازی کند و در کنار متدولوژی های رایج تولید نرمافزار کمک کند تا بر اساس یک روش شناسی مناسب رویکردهای امنیتی را به صورت فرآیندهایی استاندارد در شرکتها جا انداخت.
سنجش تاثیر معیار مشترک بر امنیت نرمافزارهای وب
اگر بخواهم صرفا با نگاه نرمافزارهای وب، این استاندارد را بسنجم باید بگویم که این استاندارد برای نرمافزارهای وبی هزینهبر و ناکارآمد است و نمیتوان اینگونه نرمافزارها را با استفاده از این استاندارد امن کرد. به عنوان کسی که برای تمامیالزامات پروفایل حفاظتی در نرمافزار یا در طراحی قابلیت یا در معماری و یا در پیاده سازی الزامات دخیل بودهام به جرات میتوانم بگویم که صرفا تکیه بر این استاندارد به منظور امنسازی نرمافزارهای وب، ایجاد امنیت در نرمافزار را با شکست بزرگی مواجه خواهد کرد؛ البته این جمله به این معنی نیست که این استاندارد نتواند برای امنیت نرمافزارهای وب مناسب باشد بلکه به این معنی است که نمیتوان فقط با تکیه بر این استاندارد تمامی امنیت مورد نیاز نرمافزارهای وبی را تامین کرد.
شیوه امن سازی نرمافزارهای تحت وب در شرکتهای تولید کننده نرم افزار
شرکتهای تولیدکننده نرمافزار باید چه شیوهای را در بحث امنسازی نرمافزارهای وب تولیدی خود پیش بگیرند؟ چگونه باید بحث امنیت در بخشهای مختلف شرکتهای نرم افزاری جاری شود؟ چه روشی برای تولید امنیت در نرمافزار میتوان استفاده کرد؟ این سوالات بسیار برای شرکتهای نرمافزاری حائز اهمیت است و باید به خیلی از مسائل از جمله هزینهها، مزایا و سطوح امنیت و … پرداخت. پاسخهای هر شرکت به این سوالها به ایجاد یک استراتژی برای تولید نرمافزار منجر خواهد شد.
در ابتدا باید دانست که امنیت برای نرمافزارهای وب بیشتر از اینکه یک مجموعه تکنیکهای فنی باشد یک فرهنگ سازمانی است. تمامی افراد دخیل در جایجای فازهای تولید نرمافزار از نیازسنجی تا استقرار و پشتیبانی نرمافزار درگیر بحث امنیت خواهند بود و باید استراتژی مشخصی برای ایجاد این فرهنگ در سازمانها وجود داشته باشد. این استراتژی میتواند حاوی بخشهای زیر باشد:
1-آموزش امنیت
2-انتخاب یا تولید نقشه راه برای امنیت
3-راهنمایی برای شیوه اجرای امنیت
4-راهنمایی برای شیوه آزمودن تاثیر امنیت
در رابطه با آموزش امنیت شرکتهای تولیدکننده نرمافزار باید تمامی افراد درگیر در فرآیند تولید را چه از لحاظ فرهنگی و چه از لحاظ فنی آموزش دهند. در رابطه با بعد فرهنگی امنیت باید به تمامی افراد اهمیت آن را آموزش داد ولی به ازای هر بخش یا تیم باید این اهمیت هدفگذاری شود. به عنوان مثال اهمیت امنیت برای واحد فروش یک شرکت، تعریفی متفاوت با اهمیت امنیت برای افراد درگیر در واحد تولید نرمافزار دارد و باید در شرکتهای نرمافزار این تفاوتها درک شود و هر یک از بخشها را بر اساس نیاز آموزش داد. آموزش در بعد فنی نیز باید سطحبندی شود، کارشناس تولید نرمافزار باید دانشی از شیوههای حمله، روشهای جلوگیری از آن و شیوههای تست امنیت را دارا باشد؛ اما کارشناس استقرار به دانستن شیوههای تنظیم نرمافزار برای جلوگیری از حملات، نیاز دارد. این آموزشها باید به وسیله نقشه راهی هدفمند برای افراد انجام شود تا بتوان بهترین نتیجه را گرفت. شاید بهترین حالت در آموزش این باشد که ارتقای سمتهای کارشناسان در شرکتهای تولید نرمافزار علاوه بر عناصر دیگر به ارتقای دانش افراد در زمینه امنیت نیز وابسته شود.
شرکتهای نرم افزاری باید حتما برای امنیت نرمافزارهای تولیدی خود نقشه راهی انتخاب و یا تولید کنند. پیشنهاد من استفاده از استاندارد ASVS برای تولید نرمافزارهای تحت وب است. این استاندارد سبک است و شفافیت لازم برای یکپارچه سازی مفاهیم را همراه با ابزار ها و راهنماهای مناسب شرکتهای تولیدکننده نرمافزار را دارا است و نقشه راه بسیار مناسبیست. این استاندارد نیاز به قابلیتهایی دارد تا نه تنها امنیت با شیوه پیشگیری جلوی هر حملهای را بگیرد؛ بلکه اجازه مدیریت امنیت برای استفادهکنندگان نرمافزار را فراهم کند. از این رو انتخاب بعضی از الزامات استاندارد معیار مشترک و پیادهسازی آنها این کمک را میکند که بتوان نرم افزاری کاملتر در زمینه مدیریت امنیت نرمافزار ارائه داد.
هر شرکت نرمافزاری همچنین به راهنمایی برای شیوه اجرای امنیت نیاز دارد. این راهنما مجموعهای از فرآیندهایی که باید در حوزه امنیت اجرا شود را مشخص میکند و نیازمندیهای مربوط به هر فاز را شامل میشود. به عنوان مثال این راهنما مشخص میکند در فاز طراحی چگونه باید امنیت در طراحیها اجرا شود و چگونه باید در جلسات بازنگری طراحی، مشکلات امنیتی آنها کشف و به عنوان باگ طراحی رفع شود. در مجموع باید این راهنما امنیت را در فازهای نیازسنجی، تحلیل، طراحی و معماری، پیادهسازی، تست، استقرار و پشتیبانی نرمافزار تعریف کند و راهکارهایی در هر یک از این فازها برای اجرا و برای بررسی سطح اجرا در بازنگری ارائه دهد. همچنین باید امنیت در مدیریت نرمافزار توسط ریسکهای امنیتی در مدیریت ریسکها حضور یابد تا بتوان ریسکهای امنیتی تولید نرمافزار را نیز برای جلوگیری از وقوع پیگیری کرد؛ بنابراین نیاز به تعریف متریکهایی برای پیگیریکردن میزان امنیت نرمافزار وجود دارد و این متریکها باید در فرایندهای تولید تا تست نرمافزار تعریف و اطلاعات آنها جمع شود تا بتوان برای هر نسخه دانست که میزان امنیت هر نسخه، چقدر است.
واحدهای تست تیمهای تولیدکننده در بحث امنیت نقش کلیدی در آزمودن تاثیرات تمامیکارهای انجام شده بر روی امنیت نرمافزار را دارند. این کارشناسان باید تمامی زوایای مختلف تست امنیت را بشناسند و بتوانند به صورت جعبه سیاه انواع حملات را بر روی نرمافزار تست کنند. از این رو شیوه ای برای آزمودن امنیت نرمافزار نیاز است تا این افراد طی آن تمامی راههای نفوذ نرمافزار را پیش از انتشار نسخه برای استفادهکنندگان پیدا کنند تا راههای نفوذ بسته شود.
نتیجهگیری
ما در بخش اول امنیت را تعریف و بعد از آن در بخش دوم رویکرد پیشگیری و در این بخش رویکرد کشف رویدادها را بررسی و بر اساس آنها تفکیکی بین وظایف تولیدکنندگان و مصرفکنندگان ارائه دادیم. در انتها نیز با نگاه به شرکتهای تولیدکننده نرمافزار شیوهای ارائه شد تا اینگونه شرکتها بدانند در زمینه امنسازی نرمافزار چه رویکردی میتوانند اتخاذ کنند.
باید بدانیم که امنیت بخشی جداناپذیر از نرمافزارهای وب است و شرکتهای تولیدکننده نرمافزار باید برای ایجاد امنیت نرمافزار تلاش و هزینه کنند؛ زیرا اعتماد یک اصل مهم در دنیای نرم افزارهاست. امنیت در دنیای وب جدا از بحثهای فنی مستلزم تعریفی فرهنگی است تا هم تولیدکنندگان و هم استفادهکنندگان از مزیتهای آن سود ببرند. استفادهکننده باید مطالبات امنیتی داشته باشد و تولیدکننده باید مطالبات را پاسخگو باشد. با توجه به خدمات بسیار زیادی که در حال حاضر به صورت نرمافزارهای مختلف در بستر وب ارائه میشود امنیت این نرمافزارها بسیار حائز اهمیت است. در ایران با توجه به نوپا بودن این بحث طی چهار -پنج سال گذشته ما سازندگان این فرهنگ خواهیم بود و بسیار مهم است که این فرهنگ به شیوه درستی ایجاد شود. تولیدکنندگان نرمافزار در حال حاضر با توجه به دانش فنی بحث امنیت میتوانند فرهنگسازان خوبی در این زمینه باشند و حتی خدمات آموزشی امنیتی را به استفادهکنندگان خود دهند تا این فرهنگ به شیوه مطلوبی ایجاد شود.
تولیدکنندگان نرمافزارهای ایرانی هرچقدر در زمینه دانش فنی و فرهنگی امنیت ارتقاء یابند، سطح امنیت جامعه استفادهکننده از این نرمافزارها افزایش خواهد یافت.
بخش پایانی