کد خبر: ۴۴۷

SBOM و امضای دیجیتال کافی نیستند؛ آینده امنیت نرم‌افزار در تحلیل رفتار است

فهرست اجزای نرم افزار

کارشناسان امنیت سایبری معتقدند با گسترش استفاده از هوش مصنوعی در توسعه نرم‌افزار، دیگر مدل‌های سنتی امنیت زنجیره تامین نرم‌افزار پاسخگوی تهدیدهای نوظهور نیستند.

هانا حیدری
خبرنگار:
هانا حیدری

براساس گزارشی از هلپ نت سکیوریتی، امروزه بسیاری از توسعه‌دهندگان از ابزارها و پلتفرم‌های مبتنی بر هوش مصنوعی برای تولید و توسعه نرم‌افزار استفاده می‌کنند. هم‌زمان، کارشناسان هشدار می‌دهند که مدل‌های سنتی امنیت زنجیره تأمین نرم‌افزار دیگر پاسخگوی تهدیدهای نوظهور نیستند. اگرچه ابزارهایی مانند SBOM (فهرست اجزای نرم‌افزار)، امضای دیجیتال و اطلاعات منشأ کد در سال‌های اخیر نقش مهمی در افزایش شفافیت و اعتماد به نرم‌افزارها ایفا کرده‌اند، اما نمی‌توانند مشخص کنند یک نرم‌افزار پس از اجرا چه رفتاری از خود نشان خواهد داد؛ موضوعی که به اعتقاد متخصصان، به یکی از مهم‌ترین چالش‌های امنیت سایبری در عصر هوش مصنوعی تبدیل شده است.

این تحول در شرایطی رخ می‌دهد که هوش مصنوعی سرعت تولید، تغییر و استقرار کد را به شکل بی‌سابقه‌ای افزایش داده و فرصت بررسی دستی نرم‌افزارها را به حداقل رسانده است. از همین رو، صرف اطلاع از منشأ یک نرم‌افزار یا اجزای تشکیل‌دهنده آن، دیگر تضمین‌کننده امنیت آن نیست و ارزیابی رفتار واقعی نرم‌افزار در زمان اجرا، به یکی از الزامات جدید امنیت زنجیره تأمین نرم‌افزار تبدیل شده است.

امنیت زنجیره تأمین نرم‌افزار؛ از شفافیت تا ارزیابی رفتار

در سال‌های اخیر، به‌ویژه پس از اجرای سیاست‌های جدید امنیت سایبری در آمریکا، سازمان‌های دولتی و خصوصی سرمایه‌گذاری گسترده‌ای در حوزه امنیت زنجیره تأمین نرم‌افزار انجام داده‌اند. استفاده از SBOM (فهرست اجزای نرم‌افزار) امکان شناسایی کتابخانه‌ها، وابستگی‌ها و مؤلفه‌های به‌کاررفته در یک برنامه را فراهم می‌کند و امضای دیجیتال نیز اصالت منتشرکننده نرم‌افزار را تأیید می‌کند.

با این حال، کارشناسان امنیت سایبری معتقدند این ابزارها تنها به این پرسش پاسخ می‌دهند که «نرم‌افزار از چه اجزایی تشکیل شده و منشأ آن چیست؟» اما پاسخ روشنی برای این سؤال ندارند که «این نرم‌افزار پس از اجرا چه رفتاری خواهد داشت؟»

برای مثال، یک برنامه ممکن است از هیچ کتابخانه آسیب‌پذیری استفاده نکند، اما پس از اجرا اقدام به سرقت اطلاعات، حذف فایل‌ها، دسترسی به گذرواژه‌ها، ایجاد ماندگاری در سیستم یا ارسال داده‌ها به سرورهای خارجی کند. از این رو، ترکیب اجزای یک نرم‌افزار به‌تنهایی معیار کافی برای ارزیابی امنیت آن نیست و رفتار واقعی آن در زمان اجرا نیز باید مورد بررسی قرار گیرد.

چرا امضای دیجیتال دیگر تضمین امنیت نیست؟

یکی دیگر از ارکان امنیت زنجیره تأمین نرم‌افزار، استفاده از امضای دیجیتال و اطلاعات منشأ کد (Provenance) است. این فناوری‌ها مشخص می‌کنند یک نرم‌افزار توسط چه فرد یا سازمانی منتشر شده و آیا فرایند توسعه و انتشار آن مطابق استانداردها و الزامات تعیین‌شده انجام شده است یا خیر.

با این حال، متخصصان امنیت سایبری تأکید می‌کنند که اصالت یک نرم‌افزار، لزوماً به معنای امن بودن آن نیست. حتی نرم‌افزارهایی که توسط شرکت‌های معتبر امضا و منتشر شده‌اند نیز ممکن است در نتیجه نفوذ به زنجیره توسعه، وجود خطاهای برنامه‌نویسی یا استفاده از کد تولیدشده توسط سامانه‌های هوش مصنوعی، رفتارهای ناخواسته یا حتی مخرب از خود نشان دهند.

در گذشته، اعتبار منبع انتشار نرم‌افزار معیار قابل قبولی برای تصمیم‌گیری درباره اجرای آن به شمار می‌رفت، اما با گسترش استفاده از هوش مصنوعی در توسعه نرم‌افزار و افزایش چشمگیر سرعت تولید و انتشار نسخه‌های جدید، این مدل مبتنی بر اعتماد به منشأ، دیگر به‌تنهایی پاسخگوی تهدیدهای امروز نیست.

هوش مصنوعی تهدیدهای امنیت سایبری را متحول کرده است

پژوهشگران دانشگاه تورنتو پیش‌تر نمونه‌ای از یک کرم رایانه‌ای مبتنی بر هوش مصنوعی را معرفی کردند که می‌توانست هنگام حرکت در شبکه، مسیر حمله خود را متناسب با شرایط تغییر دهد. برخلاف بدافزارهای سنتی که معمولاً از آسیب‌پذیری‌های مشخص یا روش‌های از پیش تعریف‌شده استفاده می‌کنند، این نمونه قادر بود برای هر محیط، راهبردی متناسب با شرایط آن انتخاب کند.

چنین تحولاتی نشان می‌دهد بدافزارهای نسل آینده می‌توانند به‌صورت پویا رفتار خود را تغییر دهند؛ موضوعی که شناسایی آن‌ها را با روش‌های سنتی مبتنی بر امضا، الگوهای شناخته‌شده یا شاخص‌های نفوذ (IoC) دشوارتر می‌کند. همین مسئله، نیاز به استفاده از سامانه‌های امنیتی مبتنی بر تحلیل رفتار و پایش مستمر در زمان اجرا را بیش از پیش آشکار کرده است.

«رفتار نرم‌افزار»؛ حلقه مفقوده امنیت زنجیره تأمین نرم‌افزار

کارشناسان معتقدند مدل فعلی امنیت زنجیره تأمین نرم‌افزار باید یک مؤلفه اساسی دیگر را نیز در بر بگیرد: ارزیابی رفتار مورد انتظار نرم‌افزار پیش از اجرا.

به باور آن‌ها، هر سامانه امنیتی باید علاوه بر پاسخ به سه پرسش «این نرم‌افزار از چه اجزایی تشکیل شده است؟»، «از کجا آمده است؟» و «چگونه ساخته شده است؟»، بتواند به این سؤال نیز پاسخ دهد که «این نرم‌افزار پس از اجرا چه رفتارها و قابلیت‌هایی خواهد داشت؟»

در این رویکرد، مواردی مانند تلاش برای افزایش سطح دسترسی، دسترسی به اطلاعات حساس، ایجاد ماندگاری در سیستم، برقراری ارتباطات غیرمنتظره با اینترنت یا حرکت جانبی در شبکه، پیش از اجرای نرم‌افزار ارزیابی و تحلیل می‌شوند تا ریسک‌های احتمالی پیش از استقرار یا اجرا شناسایی شوند.

Zero Trust؛ آینده امنیت نرم‌افزار

متخصصان امنیت سایبری بر این باورند که همان‌گونه که مفهوم Zero Trust شیوه اعتماد به کاربران، دستگاه‌ها و شبکه‌ها را متحول کرد، اکنون همین رویکرد باید در حوزه امنیت نرم‌افزار نیز به کار گرفته شود.

بر اساس این دیدگاه، هیچ نرم‌افزاری نباید صرفاً به دلیل برخورداری از امضای دیجیتال، اعتبار تولیدکننده یا میزبانی در یک مخزن معتبر، قابل اعتماد تلقی شود. در عوض، تصمیم برای استقرار یا اجرای نرم‌افزار باید بر پایه ارزیابی رفتار واقعی و سطح ریسک آن اتخاذ شود.

با گسترش استفاده از هوش مصنوعی و افزایش چشمگیر سرعت تولید کد، آینده امنیت زنجیره تأمین نرم‌افزار بیش از هر زمان دیگری به تحلیل رفتار برنامه‌ها وابسته خواهد بود. در چنین شرایطی، کارشناسان تأکید می‌کنند ابزارهایی مانند SBOM، امضای دیجیتال و اطلاعات منشأ کد همچنان از ارکان اصلی امنیت زنجیره تأمین نرم‌افزار هستند، اما دیگر به‌تنهایی برای تضمین امنیت نرم‌افزارها کافی نخواهند بود. نسل جدید راهکارهای امنیتی باید این ابزارها را با تحلیل رفتار نرم‌افزار در زمان اجرا و ارزیابی ریسک‌های عملیاتی ترکیب کند تا بتواند با تهدیدهای نوظهور عصر هوش مصنوعی مقابله کند.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث