SBOM و امضای دیجیتال کافی نیستند؛ آینده امنیت نرمافزار در تحلیل رفتار است
کارشناسان امنیت سایبری معتقدند با گسترش استفاده از هوش مصنوعی در توسعه نرمافزار، دیگر مدلهای سنتی امنیت زنجیره تامین نرمافزار پاسخگوی تهدیدهای نوظهور نیستند.
براساس گزارشی از هلپ نت سکیوریتی، امروزه بسیاری از توسعهدهندگان از ابزارها و پلتفرمهای مبتنی بر هوش مصنوعی برای تولید و توسعه نرمافزار استفاده میکنند. همزمان، کارشناسان هشدار میدهند که مدلهای سنتی امنیت زنجیره تأمین نرمافزار دیگر پاسخگوی تهدیدهای نوظهور نیستند. اگرچه ابزارهایی مانند SBOM (فهرست اجزای نرمافزار)، امضای دیجیتال و اطلاعات منشأ کد در سالهای اخیر نقش مهمی در افزایش شفافیت و اعتماد به نرمافزارها ایفا کردهاند، اما نمیتوانند مشخص کنند یک نرمافزار پس از اجرا چه رفتاری از خود نشان خواهد داد؛ موضوعی که به اعتقاد متخصصان، به یکی از مهمترین چالشهای امنیت سایبری در عصر هوش مصنوعی تبدیل شده است.
این تحول در شرایطی رخ میدهد که هوش مصنوعی سرعت تولید، تغییر و استقرار کد را به شکل بیسابقهای افزایش داده و فرصت بررسی دستی نرمافزارها را به حداقل رسانده است. از همین رو، صرف اطلاع از منشأ یک نرمافزار یا اجزای تشکیلدهنده آن، دیگر تضمینکننده امنیت آن نیست و ارزیابی رفتار واقعی نرمافزار در زمان اجرا، به یکی از الزامات جدید امنیت زنجیره تأمین نرمافزار تبدیل شده است.
امنیت زنجیره تأمین نرمافزار؛ از شفافیت تا ارزیابی رفتار
در سالهای اخیر، بهویژه پس از اجرای سیاستهای جدید امنیت سایبری در آمریکا، سازمانهای دولتی و خصوصی سرمایهگذاری گستردهای در حوزه امنیت زنجیره تأمین نرمافزار انجام دادهاند. استفاده از SBOM (فهرست اجزای نرمافزار) امکان شناسایی کتابخانهها، وابستگیها و مؤلفههای بهکاررفته در یک برنامه را فراهم میکند و امضای دیجیتال نیز اصالت منتشرکننده نرمافزار را تأیید میکند.
با این حال، کارشناسان امنیت سایبری معتقدند این ابزارها تنها به این پرسش پاسخ میدهند که «نرمافزار از چه اجزایی تشکیل شده و منشأ آن چیست؟» اما پاسخ روشنی برای این سؤال ندارند که «این نرمافزار پس از اجرا چه رفتاری خواهد داشت؟»
برای مثال، یک برنامه ممکن است از هیچ کتابخانه آسیبپذیری استفاده نکند، اما پس از اجرا اقدام به سرقت اطلاعات، حذف فایلها، دسترسی به گذرواژهها، ایجاد ماندگاری در سیستم یا ارسال دادهها به سرورهای خارجی کند. از این رو، ترکیب اجزای یک نرمافزار بهتنهایی معیار کافی برای ارزیابی امنیت آن نیست و رفتار واقعی آن در زمان اجرا نیز باید مورد بررسی قرار گیرد.
چرا امضای دیجیتال دیگر تضمین امنیت نیست؟
یکی دیگر از ارکان امنیت زنجیره تأمین نرمافزار، استفاده از امضای دیجیتال و اطلاعات منشأ کد (Provenance) است. این فناوریها مشخص میکنند یک نرمافزار توسط چه فرد یا سازمانی منتشر شده و آیا فرایند توسعه و انتشار آن مطابق استانداردها و الزامات تعیینشده انجام شده است یا خیر.
با این حال، متخصصان امنیت سایبری تأکید میکنند که اصالت یک نرمافزار، لزوماً به معنای امن بودن آن نیست. حتی نرمافزارهایی که توسط شرکتهای معتبر امضا و منتشر شدهاند نیز ممکن است در نتیجه نفوذ به زنجیره توسعه، وجود خطاهای برنامهنویسی یا استفاده از کد تولیدشده توسط سامانههای هوش مصنوعی، رفتارهای ناخواسته یا حتی مخرب از خود نشان دهند.
در گذشته، اعتبار منبع انتشار نرمافزار معیار قابل قبولی برای تصمیمگیری درباره اجرای آن به شمار میرفت، اما با گسترش استفاده از هوش مصنوعی در توسعه نرمافزار و افزایش چشمگیر سرعت تولید و انتشار نسخههای جدید، این مدل مبتنی بر اعتماد به منشأ، دیگر بهتنهایی پاسخگوی تهدیدهای امروز نیست.
هوش مصنوعی تهدیدهای امنیت سایبری را متحول کرده است
پژوهشگران دانشگاه تورنتو پیشتر نمونهای از یک کرم رایانهای مبتنی بر هوش مصنوعی را معرفی کردند که میتوانست هنگام حرکت در شبکه، مسیر حمله خود را متناسب با شرایط تغییر دهد. برخلاف بدافزارهای سنتی که معمولاً از آسیبپذیریهای مشخص یا روشهای از پیش تعریفشده استفاده میکنند، این نمونه قادر بود برای هر محیط، راهبردی متناسب با شرایط آن انتخاب کند.
چنین تحولاتی نشان میدهد بدافزارهای نسل آینده میتوانند بهصورت پویا رفتار خود را تغییر دهند؛ موضوعی که شناسایی آنها را با روشهای سنتی مبتنی بر امضا، الگوهای شناختهشده یا شاخصهای نفوذ (IoC) دشوارتر میکند. همین مسئله، نیاز به استفاده از سامانههای امنیتی مبتنی بر تحلیل رفتار و پایش مستمر در زمان اجرا را بیش از پیش آشکار کرده است.
«رفتار نرمافزار»؛ حلقه مفقوده امنیت زنجیره تأمین نرمافزار
کارشناسان معتقدند مدل فعلی امنیت زنجیره تأمین نرمافزار باید یک مؤلفه اساسی دیگر را نیز در بر بگیرد: ارزیابی رفتار مورد انتظار نرمافزار پیش از اجرا.
به باور آنها، هر سامانه امنیتی باید علاوه بر پاسخ به سه پرسش «این نرمافزار از چه اجزایی تشکیل شده است؟»، «از کجا آمده است؟» و «چگونه ساخته شده است؟»، بتواند به این سؤال نیز پاسخ دهد که «این نرمافزار پس از اجرا چه رفتارها و قابلیتهایی خواهد داشت؟»
در این رویکرد، مواردی مانند تلاش برای افزایش سطح دسترسی، دسترسی به اطلاعات حساس، ایجاد ماندگاری در سیستم، برقراری ارتباطات غیرمنتظره با اینترنت یا حرکت جانبی در شبکه، پیش از اجرای نرمافزار ارزیابی و تحلیل میشوند تا ریسکهای احتمالی پیش از استقرار یا اجرا شناسایی شوند.
Zero Trust؛ آینده امنیت نرمافزار
متخصصان امنیت سایبری بر این باورند که همانگونه که مفهوم Zero Trust شیوه اعتماد به کاربران، دستگاهها و شبکهها را متحول کرد، اکنون همین رویکرد باید در حوزه امنیت نرمافزار نیز به کار گرفته شود.
بر اساس این دیدگاه، هیچ نرمافزاری نباید صرفاً به دلیل برخورداری از امضای دیجیتال، اعتبار تولیدکننده یا میزبانی در یک مخزن معتبر، قابل اعتماد تلقی شود. در عوض، تصمیم برای استقرار یا اجرای نرمافزار باید بر پایه ارزیابی رفتار واقعی و سطح ریسک آن اتخاذ شود.
با گسترش استفاده از هوش مصنوعی و افزایش چشمگیر سرعت تولید کد، آینده امنیت زنجیره تأمین نرمافزار بیش از هر زمان دیگری به تحلیل رفتار برنامهها وابسته خواهد بود. در چنین شرایطی، کارشناسان تأکید میکنند ابزارهایی مانند SBOM، امضای دیجیتال و اطلاعات منشأ کد همچنان از ارکان اصلی امنیت زنجیره تأمین نرمافزار هستند، اما دیگر بهتنهایی برای تضمین امنیت نرمافزارها کافی نخواهند بود. نسل جدید راهکارهای امنیتی باید این ابزارها را با تحلیل رفتار نرمافزار در زمان اجرا و ارزیابی ریسکهای عملیاتی ترکیب کند تا بتواند با تهدیدهای نوظهور عصر هوش مصنوعی مقابله کند.