يوصي البيت الأبيض باستخدام لغات البرمجة الآمنة للذاكرة والأمان حسب التصميم – TechToday
النشرة الإخبارية
Sed ut perspiciatis unde.
يركز تقرير جديد للبيت الأبيض على تأمين الحوسبة في جذور الهجمات السيبرانية – في هذه الحالة، تقليل سطح الهجوم باستخدام لغات برمجة آمنة للذاكرة مثل Python وJava وC# والتشجيع على إنشاء قياسات موحدة لأمن البرامج.
ويحث التقرير المتخصصين في مجال التكنولوجيا على:
- تنفيذ لغات برمجة آمنة للذاكرة.
- تطوير ودعم مقاييس جديدة لقياس أمان الأجهزة.
يهدف هذا التقرير، الذي يحمل عنوان “العودة إلى اللبنات الأساسية: الطريق نحو برامج آمنة وقابلة للقياس”، إلى نقل بعض أولويات الحكومة الأمريكية إلى محترفي تكنولوجيا المعلومات وقادة الأعمال عندما يتعلق الأمر بتأمين الأجهزة والبرامج في مرحلة التصميم. التقرير عبارة عن دعوة لاتخاذ إجراءات مقترحة، مع نصائح ومبادئ توجيهية فضفاضة.
وجاء في التقرير: “حتى لو تم إصلاح كل الثغرات الأمنية المعروفة، فإن انتشار الثغرات الأمنية غير المكتشفة عبر النظام البيئي للبرمجيات سيظل يمثل مخاطر إضافية”. “إن النهج الاستباقي الذي يركز على القضاء على فئات كاملة من نقاط الضعف يقلل من سطح الهجوم المحتمل وينتج عنه تعليمات برمجية أكثر موثوقية ووقت توقف أقل وأنظمة أكثر قابلية للتنبؤ.”
تعتبر ثغرات أمان الذاكرة مصدر قلق في لغات البرمجة
وأشار التقرير إلى أن ثغرات أمان الذاكرة موجودة منذ أكثر من 35 عامًا، دون ظهور أي حل لها. يشير مؤلفو التقرير إلى أنه لا يوجد حل سحري لكل مشكلة تتعلق بالأمن السيبراني، على الرغم من أن استخدام لغات البرمجة المضمنة بسلامة الذاكرة قد يقلل من أعداد كبيرة من الأنواع المحتملة من الهجمات السيبرانية.
يشير ONCD إلى أن C وC++ هما لغتان برمجة شائعتان جدًا تستخدمان في الأنظمة المهمة ولكنها ليست آمنة للذاكرة. تعتبر Rust لغة برمجة آمنة للذاكرة، لكن لم يتم إثبات وجودها في نوع أنظمة الطيران التي ترغب الحكومة في تأمينها بشكل خاص.
وقال ONCD إن منشئي البرامج والأجهزة هم أصحاب المصلحة الأكثر صلة بتولي مسؤولية إنشاء أجهزة آمنة للذاكرة. يمكن لهؤلاء أصحاب المصلحة العمل على إنشاء منتجات جديدة بلغات برمجة آمنة للذاكرة أو إعادة كتابة الوظائف أو المكتبات المهمة.
ما هي لغات البرمجة الآمنة للذاكرة؟
تعد Python وJava وC# وGo وDelphi/Object Pascal وSwift وRuby وRust وAda من لغات البرمجة الآمنة للذاكرة، وفقًا لتقرير وكالة الأمن القومي الصادر في أبريل 2023.
مقاييس جديدة لقياس أمن البرمجيات
ويشير التقرير إلى أنه “من الضروري تطوير مقاييس تجريبية تقيس جودة برامج الأمن السيبراني”. يعد هذا جهدًا أكثر صعوبة من التبديل إلى لغات البرمجة الآمنة للذاكرة؛ ففي نهاية المطاف، تمت مناقشة التحديات والفوائد المترتبة على إنشاء مقاييس أو أدوات شاملة لقياس وتقييم أمان البرامج لعقود من الزمن.
يعد تطوير مقاييس لقياس أمان البرامج أمرًا صعبًا لثلاثة أسباب رئيسية:
- يمكن أن تكون هندسة البرمجيات فنًا وعلمًا أيضًا، ومعظم البرمجيات ليست موحدة.
- قد يكون سلوك البرنامج غير متوقع للغاية.
- تطوير البرمجيات يتحرك بسرعة كبيرة.
ومن أجل التغلب على هذه التحديات، يشير مكتب مكافحة المخدرات إلى أن أي مقياس يتم تطويره لتقييم سلامة البرامج سيحتاج إلى المراقبة ويكون مفتوحًا للتغيير باستمرار، ويجب قياس البرامج على أساس ديناميكي وليس ثابتًا.
استجابة الصناعة لأولويات التقرير
قال بول فورتادو، نائب رئيس شركة Gartner، لـ TechRepublic عبر البريد الإلكتروني: “في النهاية، كل ما يمكننا القيام به لتقليل احتمال وقوع حادث أمني مفيد للسوق”. وأشار إلى أن الشركات قد يكون أمامها طريق طويل لتقطعه لتقليل سطح الهجوم الخاص بها باستخدام أساليب مثل تلك المقترحة في تقرير ONCD.
“حتى داخل التطبيقات المطورة داخليًا، هناك اعتماد على مكتبات التعليمات البرمجية الأساسية. وقال فورتادو: “كل هذه البيئات والتطبيقات لديها مستوى معين من الديون التقنية”. “إلى أن تتم معالجة الديون التقنية عبر السلسلة بأكملها، تظل المخاطر الأساسية قائمة حتى لو بدأت في تقليل سطح الهجوم. ويقدم التقرير طريقًا للمضي قدمًا للتركيز على التطوير الجديد، ولكن الحقيقة هي أننا سنكون على بعد سنوات عديدة من معالجة جميع الديون التقنية المتبقية التي لا يزال من الممكن أن تجعل المؤسسات عرضة للاستغلال.
انظر: الاستعداد لمشهد الأمن السيبراني للمستقبل في أهم الأحداث التقنية في عام 2024. (TechRepublic)
وقد انضمت بعض المنظمات التقنية الكبيرة بالفعل إلى توصيات التقرير.
وقال يورجن مولر، الرئيس التنفيذي للتكنولوجيا في SAP، في بيان إلى ONCD: “نعتقد أن اعتماد لغات آمنة للذاكرة يمثل فرصة لتحسين أمان البرامج وزيادة حماية البنية التحتية الحيوية من تهديدات الأمن السيبراني”.
قال جيف موس، رئيس DEFCON وBlack Hat: “أشيد بمكتب مدير الأمن السيبراني الوطني لاتخاذه الخطوة الأولى المهمة وراء السياسة رفيعة المستوى، وترجمة هذه الأفكار إلى دعوات للعمل يمكن للمجتمعات التقنية والتجارية فهمها”. ، في بيان لـ ONCD. “أنا أؤيد التوصية باعتماد لغات برمجة آمنة للذاكرة عبر النظام البيئي لأن القيام بذلك يمكن أن يزيل فئات كاملة من نقاط الضعف التي وضعناها على مدى الثلاثين عامًا الماضية.”
الوجبات السريعة لمجموعة C-suite حول مجالات التركيز للأمن السيبراني
ويشير التقرير إلى أن الأمن ليس في أيدي كبير مسؤولي أمن المعلومات في الشركة التي تستخدم البرامج المتأثرة فحسب؛ وبدلاً من ذلك، يجب على كبار مسؤولي المعلومات، الذين سيأخذون زمام المبادرة في شراء البرامج، وكبار مسؤولي التكنولوجيا في الشركات التي تصنع البرمجيات على وجه الخصوص، أن يتقاسموا المسؤولية عن جهود الأمن السيبراني مع بعضهم البعض ومع رئيس أمن المعلومات.
وقال التقرير إنه يتعين على هؤلاء القادة تشجيع الأمن السيبراني في ثلاثة مجالات رئيسية:
- تطوير البرمجيات – الأكثر أهمية بالنسبة إلى CTOs وCIOs.
- تحليل المنتجات البرمجية – الأكثر أهمية بالنسبة إلى CTOs وCIOs.
- بيئة تنفيذ مرنة – الأكثر أهمية بالنسبة لرؤساء أمن المعلومات.
