هیچ‌کس نگران ضربان قلب شما نیست!

مصاحبه انجام شده با متخصص امنیتی شرکت McAfee و CrowdStrike’s، مایک سنتوناس است. بحث با نگاهی به امنیت اینترنت اشیاء در بازار آغاز می‌شود. وی معتقد است امنیت اینترنت اشیاء واقعاً فاجعه است.
او می‌گوید صنعت به بیراهه رفته است. «صنعت به سمت ایده‌های عجیب و تعجب‌آور رفته و آن‌ها را بدون تخصص ساخته است. در این میان هیچ‌کس درباره امنیت و چرخه زندگی فکری نکرده ‌است.»
او توضیح می‌دهد: «هنگامی‌که شما محصولات ارزان را با یک چرخه زندگی کوتاه ترکیب می‌کنید مدل‌های هزینه‌ای برای به‎روزرسانی آن‌ها وجود نخواهد داشت.» از طرفی سنتوناس معتقد است وسواس به امنیت اینترنت اشیاء توجه را به جهت اشتباهی سوق می‌دهد.

او می‌گوید: «آسمان همیشه در حال سقوط نیست و فناوری‌های زیادی هستند که واقعاً مفید بوده و واقعاً به‌خوبی هم انجام شده‌اند.»
از آنجا که نقاط انتهایی در IOT بسیار کوچک و ساده هستند تا بتوانند راهبردهای امنیتی را اجرا کنند، تأمین این امنیت ناخودآگاه به سمت نقاط انتهایی می‌رود که به‌عنوان پلی بین مثلاً یک شبکه حسگر و اینترنت عمل می‌کنند.
این شرایط با گام‌های شرکت Crowdstrike در تناسب است؛ زیرا حتی نقاط انتهایی پیچیده نیز در شرایطی که تهدید‌های جدید به‌سرعت توسعه‌ می‌یابند با مشکل مواجه می‌شوند.

او گفت: «نقاط انتهایی دیگر توان کافی برای تأمین امنیت شبکه‌ها را ندارند و البته میزبانان زیادی وجود دارند که بیرون شبکه‌ هستند.»
این یک دلیل خوب برای حرکت امنیت به داخل ابر است؛ جایی که هدف فراتر رفتن از رویکرد اولیه گرفتن یک محصول فیزیکی (مانند یک دیوار آتش) بوده و بتوان محصولات را مجازی‌سازی کرده و آن‌ها را در فضای ابری اجرا کرد.
انواع مسائلی که این متخصص امنیتی در ذهن دارد مثلاً شامل این موارد می‌شود: اجرای کنترل دسترسی از طریق ابر در شرایطی که امکان‌پذیر باشد و یا استفاده از ابر برای تصمیم‌گیری در مورد اینکه چگونه یک دستگاه رفتار می‌کند.

یک ترموستات را در نظر بگیرید. سنتوناس در مورد این مثال معتقد است: «در نظر گرفتن شرایط گفته‌شده در مورد این ترموستات خیلی راحت‌تر از یک رایانه است. باید به آن نکته توجه کرد که چالش‌های پیش روی ما مرتبط با دستگاه‌های کنترلی است. مثلاً در اینجا رایانه‌ای که این ترموستات را به اینترنت متصل می‌کند هدفی است که مهاجمان به آن جمله خواهند کرد.»
این موضوع دوباره داستان نفوذ روزانه به اینترنت اشیاء را برجسته می‌کند.

«مهم نیست که تردمیل شما به شما بگوید میزان ضربان قلب شما امروز صبح ۱۵۰ ضربان در دقیقه است.»
هدف واقعی جای دیگری است. او توضیح می‌دهد: «برنامه دارای اعتبارهایی است و آن اعتبارها بر روی یک وسیله اندروید و بدون هیچ‌گونه امنیتی نصب می‌شوند.»
سنتوناس می‌گوید: «اینجاست که شرکت‌های مبتنی بر ابر باید وارد شوند. به‌طور کلی بزرگ‌ترین دغدغه‌ای که مردم در جستجوی آن هستند جایگزینی روش‌هایی است که دیگر پاسخگو نیستند.»

او می‌گوید: «مسابقه در کشف بدافزارها و ارائه روش‌ها امضای جدید کافی نیست، بلکه باید از معیارهای سازش نیز به‌عنوان راهی دیگر درباره این امضاها بهره برد.»
«شما نمی‌توانید صد در صد تلاش‌های رخنه‌‌گرانه را متوقف کنید. همیشه موقعیت‌هایی با شکست پنهان وجود دارد و یا جاهایی هست که هیچ بدافزاری ابداً استفاده نشده ‌است.‌»
او می‌گوید شاخص‌های حمله به‌جای جستجوی بدافزارها، کاری است که شرکت CrowdStrike‌ نیز سعی دارد بدین ترتیب با تهدیدها مقابله کند: «به‌جای این‌که به دنبال ابزارهایی باشید که مهاجمان استفاده می‌کنند به دنبال روش‌هایی باشید که به کار می‌بندند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap