نقش سیاست Zero Trust در حفظ امنیت اطلاعات

جلال روحانی کارشناس رشد دیجیتال در گفتگو با خبرنگار «نبض فناوری» در رابطه موضوع حملات سایبری و هک برخی از سایت‌های سازمان‌ها و نهادها، اظهار کرد: این بحث را می توان در سه حوزه دسته‌بندی کرد؛ نخست اینکه چگونه می‌توان با دنیا تعامل برقرار کرد تا جلو قسمتی از این اتفاقاتی که در تمام دنیا می‌افتد، را گرفت. دسته دوم عملیاتی که به صورت هدفمند انجام می‌شود همانطور که برای خیلی از کشورها، سازمان‌ها و شرکت‌ها به صورت هدفمند اتفاق می‌افتد. دسته سوم طراحی سیستم‌ها و سازمان‌ها بر اساس منطق Zero Trust است. سیاست و مفهوم طراحی Zero Trust یا اعتماد صفر بدین معنی است که هر چیزی درون یا بیرون سازمان غیرقابل اعتماد است و هر تلاشی برای اتصال و یا استفاده از منابع می‌بایست صحت‌سنجی و ارزیابی شود. به صورت خلاصه در مفهوم امنیتی اعتماد صفر هیچ فرد و یا منبعی به صورت پیش‌فرض قابل اطمینان نیست. با بررسی و برنامه‌ریزی مناسب برای فعالیت‌های جداگانه در هر کدام از این دسته‌بندی‌ها می‌توان ضریب پایداری امنیت را افزایش داد. لازم به ذکر است مفهومی به عنوان امنیت مطلق وجود ندارد.
وی افزود: وضعیت امنیت در دنیا مشخص است، اما ما در ایران با دو محدودیت تحریم و سیاست داخلی مواجه هستیم. محدودیت تحریم باعث شده که سازمان‌ها، شرکت‌ها و متخصصان از بازار امنیت دنیا دور باشند. اگر به‌عنوان مثال پایگاه اطلاعاتی (Database Engine) در سطح دنیا تحت پوشش و رصد آسیب‌پذیری‌های امنیتی است و تمام سامانه‌های نرم‌افزاری براساس رصدهای امنیتی و کدهای CVE بروزسانی و امن‌سازی می‌شوند، در ایران به واسطه تحریم مستقیم، بسیاری از سامانه‌های اطلاعاتی تحت پوشش امنیتی مناسب نیستند و کارشناسان مجبور هستند از روش‌های میانبر برای نگهداری سامانه‌ها استفاده کنند. همچنین سیاست داخلی ایران، مبنی بر عدم استفاده از سیستم‌های امنیتی وابسته به دولت متخاصم، باعث ایجاد برخی حفره‌های آسیب‌پذیری عمومی در سطح سیستم‌های عمومی ‌می‌شود. به عنوان مثال برخی از بهترین محصولات امنیت شبکه در اختیار آمریکا و اسرائیل است که بر اساس سیاست داخلی کشور از این محصولات استفاده عام نمی‌شود.
عدم استفاده از محصولات امنیتی رایج، منجر‌ به گسترش دسته دوم حملات می‎شود. حملاتی که به صورت هدفمند بر‌ ضد کشور، سازمان‌ها و یا اشخاص اتفاق می‌افتند. برای مبارزه با این دسته از حملات به صورت عمده از محصولات امنیت شبکه و امنیت اطلاعات بومی استفاده می‎‌کنیم. در برخی از این محصولات بخصوص سیستم‌های امنیتی سمت کلاینت دارای محصولات قوی و قابل اطمینانی مانند پادویش هستیم. اما در برخی نقاط، مانند امنیت شبکه در گلوگاه‌ها و نقاط حساس دچار ضعف‌هایی هستیم. بر‌اساس اکوسیستم بین‌المللی بازار امنیت اطلاعات، تقریبا به جز اسرائیل اکثر محصولات جهانی حاصل سرمایه‌گذاری‌های بلند مدت انسانی و سرمایه‌ی نقدی است که در این خصوص ضعیف هستیم. حتی بسیاری از محصولات در کشور روسیه و یا چین نیز همگام با اکوسیستم جهانی امنیت اطلاعات پیش می‌روند که ضعف‌هایی در این خصوص در کشور وجود دارد.
روحانی گفت: برای جلوگیری مطلوب حملات دسته دوم با هدف مشخص، روش بهبود پیش‌نیازهای امنیتی نیازمند سرمایه‌گذاری قابل‌توجه در سه ضلع نیروهای انسانی، بودجه و روش‌هاست. ناآگهی و کمبود تجربه‌ی نیروی انسانی متخصص به صورت عمومی و نیز محدودیت‌های بودجه‌ای طی سال‌های گذشته تاثیر خاصی در این خصوص گذاشته است. در کشور همچنان سیستم‌های زیادی وجود دارد که از لحاظ امنیتی در جایگاه مطلوب نیستند و هنوز مورد بازرسی، بازبینی و نگهداری مناسب قرار نگرفته‌اند.

سیاست اعتماد صفر یا Zero Trust

دسته سوم و روش مناسب برای جلوگیری از بروز مشکلات امنیتی سیاست و مفهوم اعتماد صفر یا Zero Trust است. بر‌اساس رویکرد Zero Trust، هیچ سیستم، فرد و یا روشی به صورت پیش فرض قابل اعتماد نیست و هر تراکنشی با فرض عدم اعتماد می‌بایست طراحی، توسعه و نگهداری شود. در حال حاضر به جز سامانه‌های امنیتی و دفاعی، سامانه‌های محدودی با رویکرد Zero Trust طراحی و پیاده‌سازی شده‌اند و شاید بسیاری از سیستم‌های خدمات عمومی (دولتی) و یا سازمانی به دلایل مختلف بودجه‌ای، زمان طراحی، تخصص نیروی انسانی و محدودیت ابزارها هنگامی که در بلندمدت وارد پروسه نگهداری می‌شوند از این رویکرد فاصله بسیار زیادی دارند. این موضوع با توجه به فاصله اکوسیستم اطلاعاتی و امنیتی ایران از دنیا در درازمدت باعث انباشت آسیب‌پذیری‌ها و تشکیل حفره‌های امنیتی و ریسک می‌شود.
در دنیا ممکن است شرکت‌های بزرگی مانند سونی و یا خطوط کشتیرانی مرسک و یا شرکت‌های بیمه‌ای بسیار بزرگ و یا سایر شرکت‌ها دچار حملات سایبر و هک شوند و در ایران نیز همین موضوع حتما اتفاق خواهد افتاد. اما تفاوت این اتفاقات در ایران ممکن است افزوده شدن چاشنی حکومتی به موضوع باشند و اصل موضوع امنیت داده‌ با حاشیه رانده شود.
در ایران قانون صیانت از داده‌های شخصی به عنوان یک لایحه معرفی شده است، اما هنوز تصویب نشده است. همچنان در موارد مختلف از کاربران اطلاعات هویتی مانند کارت ملی، شناسنامه و یا سایر اطلاعات شخصی و محرمانه دریافت می‌شود، در حالی که این مدارک شخصی با درجه‎ی اهمیت بالایی است و می‌تواند با انواع حملات اطلاعاتی افشا شوند. در این موارد می‎‌توان از سامانه شاهکار و یا انواع سامانه‌های اعتبارسنجی وابسته به بانک مرکزی و یا تامین اجتماعی استفاده کرد و تنها ترکیب شماره ملی و شماره همراه برای احراز اولیه اشخاص کافی‌ است. همچنین سامانه‌های تصدیق متعددی مانند آلفا ریلتی نیز برای تصدیق هویت احراز شده افراد وجود دارد که بدون انباشت داده و ریسک افشا داده، می‌توانند نسبت به ایجاد دسترسی مناسب اقدام نمایند.
وی خاطرنشان کرد: خوشبختانه در کشور در حوزه نیروی متخصص کمبود نداریم بلکه شاید بخاطر محدودیت تحریم و سیاست داخلی باشد که استفاده مطلوب از این متخصصان نمی‌شود. خوب یا بد، ناقص یا کامل، ما در ایران سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) را داریم که تعدادی شیوه‌نامه و نظام‌نامه دارد؛ متاسفانه در بسیاری از موارد بدون توجه به این نظام سیستم‌هایشان را نگهداری و پیاده‌سازی می‌کنند به خصوص شرکت‌هایی که قدیمی‌تر هستند. هم اکنون در کشور هزاران سیستم اطلاعاتی داریم که هیچ وقت نگهداری و به روز نشدند. چرا تا به حال اتفاقی برای آنها رخ نداده؟ چون هنوز کسی به سراغ آنها نرفته است!

راه‌اندازی ابتدایی UFW

کتابخانه Netfilter حتی در مقدماتی‌ترین تنظیمات نقطه‌ی مهمی در کنترل دسترسی به سرورهایی که دسترسی بهشون خیلی راحت‌تر شده می‌تواند باشد. ابزار UFW که در سیستم‌های مبتنی بر اوبونتو مدت زیادی است وجود دارد، ساده‌ترین روشی است که برای استفاده از iptables سراغ دارم. من از این تنظیمات استفاده می‌کنم.


ufw logging on
ufw default allow outgoing
ufw default deny incoming
ufw allow 80/tcp
ufw allow 123
ufw allow 443/tcp
ufw limit 1717/tcp
ufw limit 99556/tcp
ufw enable
systemctl status ufw.service

تست استقامت حمید

تست حمید، به واسطه‌ی یکی از کاربران قدیمی فضای دیجیتال، چند پیشنهاد غیررسمی برای کسب و کارهای ایرانی است، تا با وجود شرایط سخت و ناپایدار (حاصل از تحریم، فیلتر، سانسور و نقص قوانین) همچنان بتوانند تجربه‌ی بهتری برای مشتریان نهایی فراهم کنند.

ادامه مطلب

برتری، مردم، شرکا و نوآوری

به نظر من پیشرفت کشورهای حاشیه خلیج فارس، به جز رویکرد سیاسی به خاطر برنامه‌ریزی خوبشون برای پرورش دانش در جامعه محلی است. امارات و قطر نمونه‌ی خوبی هستند که صرفا موضع‌گیری سیاسی را منجر به دلیل پیشرفت ندانست.

سند معرفی دانشگاه حمد بن خلیفه قطر برام جالب بود. دانشگاهی که با حمایت دولت به صورت مستقیم در کارکرد شرکت‌های بزرگ دولتی مثل هواپیمایی قطر و صنعت نفت و گاز تاثیر گذاشته است.

سنسورهای تشخیص زلزله

در مورد تشخیص زود هنگام زلزله و سیستم های هشدار مانند Earthquake Warning System دوست دارم بنویسم و اینکه چقدر به نظر میاد در آینده نزدیک هوش مصنوعی و استفاده انبوه از سنسورها این موضوع رو بهبود بده. این فهرست مطالب باشه اینجا تا شاید روزی بیشتر در موردش نوشتم.

  • https://en.wikipedia.org/wiki/Earthquake_warning_system
  • https://en.wikipedia.org/wiki/ShakeAlert
  • https://energy.sandia.gov/programs/arctic/software/chama-open-source-software-for-sensor-placement-optimization/
  • https://www.globalquakemodel.org/gem
  • https://maps.openquake.org/map/global-exposure-map/#6/32.965/54.286
  • https://github.com/gem/oq-engine
  • https://www.tandfonline.com/doi/pdf/10.1071/ASEG2018abM2_1H
  • https://phys.org/news/2019-06-artificial-intelligence-seismic-analyses.html
  • https://seiscode.iris.washington.edu/projects/emerald
  • https://docs.openquake.org/manuals/OpenQuake%20Manual%20%28latest%29.pdf
  • https://www.istructe.org/IStructE/media/Public/Resources/report-eefit-grant-open-source-low-cost-20190606.pdf
  • http://www.prestoews.org/documentation.php#What-is-PRESTo
  • https://www.rohm.com/news-detail?news-title=earthquake-detection-sensor-module&defaultGroupId=false
  • https://www.engineersgarage.com/news/rohm-brings-forth-ultra-compact-highly-precise-earthquake-detection-sensor/
  • https://hackaday.com/2019/07/06/earthquake-detection-on-a-chip/

فرمت ویدیویی جدید MPEG-5

مدتی است که شرکت‌های سامسونگ، کوالکام و هواوی با برنامه‌ریزی بهره‌برداری تجاری گسترده از شبکه‌های مخابراتی 5G نسل پنجم و استقبال بیشتر از استانداردهای ویدیویی 4K و 8K به دنبال فرمت ویدئویی جدیدی برای نسل بعدی MPEG-4 هستند.

Huawei, Qualcomm, Samsung present new video coding standard MPEG-5
Huawei, Qualcomm and Samsung have welcomed a new video coding standard called MPEG-5 Essential Video Coding (EVC). The standard delivers 4K UHD video with greater compression and efficiency when compared to the previous standard codec. It does this by improving compression capabilities; this in turn will let more screens display 4K, 8K, VR, AR and HDR content and help increase service possibilities. The standard is expected to help provide emerging delivery protocols and networks such as 5G.

فرمت ویدئویی MPEG-5

استاندارد ISO/IEC 23094 با عنوان Essential Video Coding قابلیت‌های بیشتری برای ویدئوهایی با کیفیت بیشتر، حجم کمتر و ابعاد بزرگ‌تر ارائه خواهد کرد. این ویدئو مرور خوبی برای این فرمت ارائه میدهد:

وضعیت کدک های مختلف ویدئویی
کاربری های MPEG-5

اثبات فرضیه های ریاضی با هوش مصنوعی گوگل

مجله‌ی وزین New Scientist در شماره آوریل سال ۲۰۱۹ مقاله جالبی منتشر کرده از پروژه ۱۰ ساله آقای Christian Szegedy و تیمشون برای آموزش حل تئوری‌های ریاضی به هوش مصنوعی گوگل. در زمان چاپ مقاله، حدود ۶۰٪ از تئوری‌های تست توسط این الگوریتم با منطق درست حل شده و تعدادی هم هنوز حل نشده است.

ظاهرا به علت رقابت سخت بین فیس‌بوک و گوگل در این زمینه با تاخیر زیادی در خصوص این پروژه‌ها اطلاعات منتشر می‌شود. نکته‌ی جالب در مورد این یادگیری، توسعه‌ی سیستم‌های شبه‌مغز برای این سیستم هوش مصنوعی است.

HOList: An Environment for Machine Learning of Higher-Order Theorem Proving

We present an environment, benchmark, and deep learning driven automated theorem prover for higher-order logic. Higher-order interactive theorem provers enable the formalization of arbitrary mathematical theories and thereby present an interesting, open-ended challenge for deep learning. We provide an open-source framework based on the HOL Light theorem prover that can be used as a reinforcement learning environment. HOL Light comes with a broad coverage of basic mathematical theorems on calculus and the formal proof of the Kepler conjecture, from which we derive a challenging benchmark for automated reasoning. We also present a deep reinforcement learning driven automated theorem prover, DeepHOL, with strong initial results on this benchmark.

این مصاحبه‌ی کریستین سزگدی رو اگر علاقه دارید ببینید.