ما الذي يتطلبه اعتماد مبادئ التصميم الآمن؟
ما مجموعه 26,447 نقطة ضعف تم الكشف عنها في عام 2023. وفي عام 2000، تم الكشف عن ما يزيد قليلاً عن 1000 نقطة ضعف، مع استمرار الاتجاه التصاعدي على مدار العقدين الماضيين، وفقًا لبحث أجرته وحدة أبحاث التهديدات في كواليس ونشر في ديسمبر 2023. وفي عام 2023، وجدت كواليس أن أقل من 1 بالمائة من الثغرات الأمنية ساهمت في أعلى مستوى من المخاطر، ولكن الاستغلال النشط يمكن أن يكون له عواقب وخيمة على المؤسسات التي تعتمد على البرامج التي تحتوي على هذه الثغرات الأمنية.
يتوفر عدد كبير من أدوات تتبع الثغرات الأمنية. وكالة الأمن السيبراني وأمن البنية التحتية (CISA) لديها نقاط الضعف المستغلة المعروفة في الكتالوج، وتقدم العديد من الشركات الأدوات والأنظمة الأساسية التي تبحث عن الثغرات الأمنية. تتولى فرق الأمن السيبراني مسؤولية مواكبة هذا التدفق للمعلومات وتصحيح نقاط الضعف التي يمكن استغلالها. ولكن هل ينبغي أن يقع الجزء الأكبر من المسؤولية عن تخفيف مخاطر البرمجيات غير الآمنة على عاتقهم وحدهم؟
وكانت هناك ضغوط متزايدة لتحويل هذه المسؤولية مرة أخرى إلى الشركات المصنعة للبرمجيات. أصدرت إدارة بايدن أ الاستراتيجية الوطنية للأمن السيبراني 2023، ويركز أحد ركائزها على جعل البائعين مسؤولين عن تطوير المنتجات الآمنة. تعمل CISA على دفع هذا التحول من خلال مبادرة آمنة من التصميم.
تقدم هذه المبادرة لمصنعي البرمجيات خارطة طريق لبناء الأمان في منتجاتهم قبل وضعها في أيدي العملاء. كيف يمكن للتأمين حسب التصميم أن ينتقل من الإطار إلى معيار الصناعة؟
إرشادات CISA
CISA آمن بواسطة إطار التصميم تم إصداره في البداية في أبريل 2023 وتم تحديثه في أكتوبر 2023. وهو يركز على توصيات لجعل الأمان هدفًا أساسيًا للأعمال (آمنًا حسب التصميم) وإنشاء منتجات آمنة مع القليل من الحاجة إلى تغييرات التكوين والتكاليف الإضافية للعملاء (آمنة افتراضيًا). .
يشجع الإطار مصنعي البرامج على تبني ثلاثة مبادئ أمنية. أولاً، يدعو البائعين إلى تولي مسؤولية النتائج الأمنية لعملائهم. ثانيًا، يحث على الشفافية والمساءلة من خلال مشاركة المعلومات المستفادة من عمليات نشر العملاء ونصائح الثغرات الأمنية. ثالثًا، يدعو الإطار كبار المسؤولين التنفيذيين إلى لعب دور نشط في تحديد أولويات التطوير الآمن للمنتجات.
ولم تضع CISA توصياتها في فراغ. وقد طورت التوجيهات مع 17 شريكًا أمريكيًا ودوليًا. طلبت الوكالة مدخلات من أصحاب المصلحة في الصناعة. في أغسطس، استضافت CISA مناقشة مغلقة في مؤتمر الهاكر DEF CON في لاس فيغاس. خلال الجلسة، تلقى المشاركون نسخًا مما سيصبح أحدث إصدار للورقة البيضاء الآمنة حسب التصميم. تقول لورين زابيريك، كبيرة المستشارين في قسم الأمن السيبراني في CISA، لموقع InformationWeek: “لقد طلبنا منهم وضع علامة عليها بأقلام حمراء، ثم أمضينا وقتًا طويلاً في أخذ كل تلك التعليقات وتمشيطها ثم دمج التعليقات”.
تم تجسيد إطار عمل CISA بتوصيات محددة لممارسات تطوير المنتجات الآمنة والخطوات التي يجب اتخاذها لاحتضان كل مبدأ من المبادئ. تتابع الوكالة إطار عملها من خلال تنبيهات Secure by Design، مثل تنبيه ديسمبر 2023 القضاء على كلمات المرور الافتراضيةلمواصلة الدعم الاستباقي لتنفيذ هذه المبادئ.
فوائد الأمن حسب التصميم
يمثل السوق الحالي بدون نهج آمن حسب التصميم تحديات للمستخدمين. يقول جريجوري توهيل، مدير معهد هندسة البرمجيات: “إنه عالم يحذر فيه المشتري، حيث تتحمل جميع المخاطر التي يمثلها المنتج ولا تعرف بالضرورة، بسبب تعقيد المنتج، ما هي تلك المخاطر”. قسم CERT في جامعة كارنيجي ميلون.
غالبًا ما يحتاج المستخدمون أيضًا إلى استخدام قدر كبير من الموارد بعد شراء منتج البرنامج. غالبًا ما يكون الأمر متروكًا لهم لتثبيته وتدريبه وتكوينه بشكل صحيح للتأكد من أنه يعمل بشكل آمن. يقول توهيل: “هناك تكاليف مخفية مرتبطة بالبرامج والأنظمة غير الآمنة حسب تصميمها”.
إن فائدة المنتجات التي تم تصميمها بطريقة آمنة حسب التصميم والمبادئ الافتراضية واضحة للمستخدمين. إنه ينقل بعض المخاطر الأمنية والأعباء والتكلفة إلى جانب البائعين من الطاولة.
ولكن ماذا يستفيد البائعون من هذا؟ إن تطبيق مبادئ التصميم الآمن يأتي بتكلفة، لكن زابيريك يرى أنه من الممكن أن يكون لاعتمادها فوائد مالية لمصنعي البرمجيات أيضًا.
وتوضح قائلة: “أعتقد أنه عند القيام بذلك بشكل صحيح، فإن بناء التكنولوجيا بشكل آمن يساعد في استعادة وقت الموظف الذي ربما تم إنفاقه على إصلاح هذه العيوب بعد حدوثها أو إيقاف تشغيل الأنظمة”.
وبينما تنظر الحكومات والمستهلكون عن كثب إلى الأمن، قد يجد البائعون أيضًا الأمان من خلال التصميم الذي يميزهم في السوق. يقول توهيل: “إن الصبر على قبول المنتجات غير الآمنة من حيث التصميم والآمنة افتراضيًا يتضاءل”.
عقبات التبني
لقد أصبح الأمان حسب التصميم عبارة طنانة في الصناعة، ولكن هذا لا يترجم بالضرورة إلى اعتماد واسع النطاق. يعد إطار عمل CISA أداة مفيدة، ولكنه ليس تفويضًا، ولا يوجد أي تنظيم آخر واسع النطاق يتطلب من بائعي التكنولوجيا تبني مبادئ التصميم الآمن.
يهدف إطار عمل CISA إلى قيادة الشركات المصنعة للبرمجيات لأنها ستقود في النهاية عملية صنع القرار التي ستجعل المنتجات آمنة حسب التصميم. يقول زابيريك: “لقد وجدنا أن المطورين يريدون حقًا إنشاء منتجات عالية الجودة، ولكن غالبًا ما يكون التركيز على سرعة التسويق أو الميزات”.
تعمل CISA على التعاون مع شركاء الصناعة في هذه المبادرة، ولكن الأمر متروك للبائعين في الوقت الحالي لإجراء التغييرات على تطوير المنتج. يقول توهيل: “استنادًا إلى محادثاتي مع الشركات المصنعة وأولئك الذين يصنعون المنتجات، سيتلخص الأمر في تحليل التكلفة والعائد”. “ينظر المصنعون إلى تكلفة التطوير، والوقت اللازم للتطوير، ومزايا الوصول إلى السوق بشكل أسرع من بعض منافسيهم. كل هذا يلعب دورًا في حسابات البائعين.
هل توجد حوافز كافية لجعل نصيحة تحليل التكلفة والعائد لصالح التصميم الآمن؟
تناولت جين إيسترلي، مديرة CISA، مسألة الحوافز خلال أسبوع سنغافورة الدولي للسايبر 2023. “في نهاية اليوم، أعتقد أن الصناعة تريد حقًا أن تكون شريكًا جيدًا في هذا الشأن. وقالت خلال إحدى اللقاءات: “إنها مجرد مسألة إشارات وحوافز”. حصة.
يمكن أن تأتي الإشارات في شكل آمن حسب الطلب. إن ما يكفي من العملاء الذين يطالبون البائعين بإنشاء منتجات آمنة يمكن أن يحرك الإبرة بشكل آمن حسب التصميم إلى الأمام. يقول زابيريك: “علينا أن نقوم بهذا العمل لتوليد إشارة الطلب للشركات”.
يعتقد توهيل أن البائعين والمستهلكين قد وصلوا إلى نقطة تحول قد تؤدي إلى قيام المنظمين بدور في خلق الحوافز. “أعتقد أننا عند نقطة انعطاف… إذا لم يتكيف السوق وينتج كودًا أفضل وأكثر أمانًا، فما هو دور الهيئات التنظيمية الحكومية؟” سأل.
ويمكن للحكومات أن تقدم متطلبات تنظيمية. يمكنهم الضغط على مصنعي البرمجيات للمشاركة في شكل ما من أشكال التصديق، وإظهار الأمان حسب مبادئ التصميم المستخدمة في تطوير المنتج عبر شيء يشبهه توهيل بملصق التغذية. ومن الممكن أيضًا أن تعمل الجهات التنظيمية على تحفيز المزيد من تثقيف المستهلكين بشأن تأمين الوقود حسب الطلب.
يقول توهيل: “في نهاية المطاف، ما لم يكن هناك هيكل حوافز تضعه الحكومات موضع التنفيذ، أعتقد أننا سنستمر في المضي قدمًا مع عدم تبني العديد من الشركات لتلك المبادئ كما نتمنى أن تفعل”.
مستقبل الأمان حسب التصميم
كيف يبدو مستقبل اعتماد التصميم الآمن؟ تواصل CISA عملها جنبًا إلى جنب مع شركاء الصناعة. “جزء من استراتيجيتنا هو جمع البيانات حول الهجمات وفهم ما تخبرنا به تلك البيانات حول المخاطر والتأثير واستخلاص المزيد من أفضل الممارسات والعمل مع الشركات، والدول الأخرى حقًا، لتبني هذه المبادئ،” يقول زابيريك.
لا ينعكس التعاون الدولي في مجال التصميم الآمن في مبادرة CISA فحسب، بل أيضًا في المبادئ التوجيهية لتطوير نظام الذكاء الاصطناعي الآمن. قادت CISA والمركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC). تطوير تلك المبادئ التوجيهيةووافقت عليها 16 دولة أخرى. ولكن مثل مبادرة Secure by Design، فإن هذا الإطار غير ملزم أيضًا.
سيعتمد الجدول الزمني الذي تحدده الشركة المصنعة للبرمجيات لاعتماد مبادئ التصميم الآمن على شهيتها ومواردها وتعقيد منتجاتها. ولكن كلما زاد الطلب من الحكومة والمستهلكين، زاد احتمال حدوث التبني.
في الوقت الحالي، ليس لدى CISA أي خطط لتتبع التبني. يقول زابيريك: “نحن نركز بشكل أكبر على التعاون مع الصناعة حتى نتمكن من فهم أفضل الممارسات والتوصية بمزيد من المبادئ التوجيهية الأفضل”.
على الرغم من أهمية تتبع مقاييس الضعف الفردية، إلا أن زابيرك يحذر من استخدامها كبديل لتحديد ما إذا كانت الشركة تلتزم بمبادئ الأمان حسب التصميم.
وتشرح قائلة: “إن الإبلاغ عن الثغرات الأمنية أمر طوعي، ونريد من الشركات أن تستمر في القيام بذلك”. “لذا، ما يجب أن ننظر إليه هو المزيد من تكرار نقاط الضعف هذه وتقليل فئات كاملة من نقاط الضعف أو العيوب بمرور الوقت كمؤشر على التبني والتقدم.”
ويشير زابيريك أيضًا إلى أهمية تطوير قوة عاملة تتمتع بمعرفة قوية بالأمن. قد يعني ذلك أن الشركات المصنعة للبرمجيات تتعاون مع المؤسسات التعليمية لإعداد الطلاب بشكل أفضل للوظائف التي تتضمن الأمان حسب التصميم. وتقول: “علينا أن نتأكد من أن برامج علوم الكمبيوتر تجعل الأمن جزءًا أساسيًا من المنهج الدراسي وليس مجرد برنامج اختياري”.
ويشير توهيل إلى أن أمن البرمجيات أصبح اليوم أمرًا جوهريًا للأمن القومي والازدهار. وبغض النظر عن المسار المستقبلي للتصميم الآمن، فمن غير المرجح أن يتم نسيان هذه المبادئ أو تجاهلها من قبل المستخدمين. ويقول: “سيتعين على الحكومات أن تتخذ قرارات مبنية على المخاطر، جنبًا إلى جنب مع مقدمي البنية التحتية الحيوية، فيما يتعلق بحجم المخاطر التي يرغبون في قبولها من البرامج التي ينشئها السوق”.