اگه تو دنیای رایانش ابری (Cloud) یا کار کردن با کانتینرها (Container – بخشی از نرمافزار که تو محیطی مستقل اجرا میشه و خیلی محبوب شده برای اجرای میکروسرویسها) دست داشتی، میدونی که بحث امنیت تو این محیطها خیلی پیچیده و حساسه. مخصوصاً وقتی شرکتها از Multi-Factor Authentication یا همون شناسایی چندمرحلهای (مثلاً همین که علاوه بر پسورد، یه کد به گوشیت میاد یا از اثر انگشت استفاده میشه) مثل FIDO2 استفاده کنن، و همه چیز هم با ابزارهایی مثل Kubernetes و Docker که برای هماهنگی و مدیریت این کانتینرهاست بین هم ارتباط پیدا کنه.
حالا تو این سیستمهای بههمپیچیده، آسیبپذیریهای هر جزء میتونه رو بقیه هم اثر بذاره و تهدیدها هم روز به روز دارن قویتر و عجیبتر میشن. واسه همین، محققها تو این مقاله، یه چارچوب امنیتی پیشنهادی معرفی کردن که اسم جالبش هم هست Fuzzyfortify.
خلاصه بگم Fuzzyfortify چی کار میکنه: میاد با یه سری تکنیک پیچیده اما خلاقانه مبتنی بر هوش مصنوعی و ریاضیات (مثلاً Fuzzy Analytical Hierarchy Process یا همون «فرآیند سلسلهمراتبی تحلیلی فازی» – روشی برای اولویتبندی معیارها وقتی همه چیز قطعی نیست و باید با قضاوت متخصصان پیش بری)، Domain Mapping Matrix (جدولی برای نشوندادن وابستگی قسمتها تو سیستم)، و همینطور Fuzzy inference (یعنی استنتاج فازی که میتونه با دادههای مبهم هم کنار بیاد)، یه سنجش ریسکی پیاده کنه که مخصوص محیطهای کانتینریه.
کل ماجرا اینجوریه: اول نظرات و تجربههای متخصصها جمع میشه که شش معیار اساسی رو برای امنیت بررسی کنن. این شش تا معروفن به CIA–AAN:
– Confidentiality: محرمانگی یعنی اطلاعات دست هر کسی نیفته.
– Integrity: یکپارچگی یعنی اطلاعات دست نخوره و خراب نشه.
– Availability: در دسترس بودن یعنی سیستم همیشه بالا باشه و قطع نشه.
– Authentication: احراز هویت یعنی مطمئن شیم طرف همونیه که باید باشه.
– Authorization: مجوز داشتن یعنی فرد یا برنامه فقط به اطلاعات یا منابعی دسترسی داره که اجازه داره.
– Non-repudiation: عدم انکار یعنی بعداً کسی نتونه بگه من نبودم!
بعدش یه جور «پیچیدگی ساختاری» هم حساب میشه (یعنی اینکه تو این معماری کانتینری، اجزا چقدر بهم وصل و وابستهان، اینجا با Domain Mapping Matrix و حتی تکنیکی به اسم تجزیه مقدار منفرد یا SVD – یه روشی تو ریاضیات برای تحلیل ماتریسها – این کار رو دقیقتر انجام میدن).
همه اینا رو کنار هم میذارن و میرسن به چیزی به اسم Complexity Resilience Index، یعنی شاخصی که نشون میده ساختار سیستم در برابر پیچیدگی و حمله چقدر مقاومه.
حالا جالبیه این چارچوب اینه که با منطق فازی (همون سیستمهایی که مثل آدم فکر میکنن و فقط صفر و یک نمیفهمن، میتونن مثلاً بگن “تقریباً زیاد”)، کلی شاخص امنیتی از CVE ها هم وارد میکنه. CVE یعنی Common Vulnerabilities and Exposures – پایگاه دادهی عمومی آسیبپذیریها که مثلا برای هر باگ یه امتیاز پایه، میزان اثرگذاری و قابلیت بهرهبرداری براش تعیین میشه.
یه تست عملی هم گرفتن: پنج تکنیک واقعی حمله رو بررسی کردن (این تکنیکها روشهای رایج هکرها برای آسیب زدن به سیستم هستن). نتیجه چی شد؟
– Data Destruction یعنی نابودی دادهها (مثلاً همه چیز پاک بشه) و Resource Hijacking یعنی بالا کشیدن منابع مثل CPU و RAM توسط هکر – هر دو اومدن تو ریسک بالا با امتیازهای ۷۰.۴۷ و ۷۴.۶۰.
– بقیه حملهها مثل Endpoint DOS (یعنی حملهای که باعث بشه نقطه پایانی سیستم هنگ کنه و دیگر جواب نده)، Network DOS (حملهای که شبکه رو مختل میکنه) و Inhibit System Recovery (یعنی نذاره سیستم بعد از حمله دوباره برگرده به وضعیت نرمال) هم تو دسته ریسک متوسط بودن.
این نتایج نشون میدن که تو این ساختارهای مدرن که خب FIDO2 و MFA و کانتینر و همه چی با هم آمیختهان، آسیبپذیریها ممکنه به خاطر همین ارتباطات داخلی گسترش پیدا کنن و خیلی خطرناکتر از چیزی باشن که اول فکر میکنیم.
محققها میگن که این روششون در مقایسه با چارچوبهای سنتی مثل EBIOS و NIST RMF (دوتا استاندارد معروف برای مدیریت ریسک توی امنیت – EBIOS فرانسویه و بیشتر مال اروپا، NIST RMF آمریکایی و مال دولتها و شرکتهای بزرگتره)، خیلی ریزبینتر و دقیقتره؛ چون هم عدد میده، هم دلایل گسترش تهدید رو نشون میده و هم به متخصصها دید بهتری برای برنامهریزی دفاعی میده. خلاصه اینکه چطوری بدونی دقیقاً چه تکنیکهایی از سمت مهاجم خطرناکتر هستن، چرا اینجوری شدن، و این وسط باید کجا رو بیشتر تقویت کرد.
در کل، Fuzzyfortify پل میزنه بین مدلسازی ریسک تئوریک و واقعیت دنیای امنیت امروز؛ به جای مدیریت ریسک فقط روی کاغذ، کار رو برای تصمیمگیری واقعی و فعالانه تو فضای ابری و کانتینری آسونتر میکنه!
منبع: +
