همکاری دو جانبه در تشخیص آسیب پذیری

به گزارش کارگروه فناوری اطلاعات سایبربان؛ در حال حاضر نرم افزارهای دولتی، کسب و کار و منبع باز مختلفی وجود دارند که تقریبا همه ی جنبه های وزارت دفاع، ارتش و عملیات های تجاری آمریکا را پوشش می دهند. تامین امنیت این فناوری های گوناگون به هکرهایی با سطح توانایی بسیار بالا نیاز دارد؛ زیرا باید بتوانند عملکردهای نرم افزار را درک کرده، آسیب پذیری های نوین را شناسایی کنند. این اقدام نیز از طریق ابزارها و روش های صورت می گیرد که نیاز به آموزش گسترده دارند.

با وجود این که فرآیند مذکور مؤثر است؛ اما در بیشتر موارد به صورت کاملاً دستی انجام می شود. به همین علت شناسایی هر آسیب پذیری ممکن است به صدها یا حتی هزاران ساعات زمان نیاز داشته باشد. در مقابل به کار گیری برنامه های تجزیه و تحلیل خودکار در چندسال گذشته در حال رایج شدن است؛ اما نمونه های امروزی تنها قادر هستند تعداد محدودی از کلاس های رفتارهای مخرب موجود را بدون دخالت انسان شناسایی کنند؛ دلیل این مسئله نیز عدم درک هوش مصنوعی از نرم افزار و سرنخ های موجود برای جستجو است.

دفتر نوآوری اطلاعات سازمان دارپا (I2O) به منظور برطرف سازی چالش بالا، به تازگی از پروژه ی «چِس» (CHESS¹) رونمایی کرد. هدف چس همکاری انسان و رایانه برای شناسایی هر چه سریع تر آسیب پذیری های روز صفرم (Zero Day) در اکوسیستم نرم افزاری است که به صورت مداوم و با شتاب رشد می کند. این موضوع فرصت های بسیاری را برای متخصصان یا حتی افراد غیر متخصص به وجود می آورد تا تهدیدات در حال ظهور را شناسایی و برطرف سازند.

داستین فریز (Dustin Fraze)، مدیر برنامه ی چس در دفتر نوآوری اطلاعات دارپا گفت:

در سراسر بخش های صنعت، دولت و دانشگاه ها تعداد بسیار کمی از هکرهای ماهر وجود دارند. ترکیب آنها با سامانه های تجزیه و تحلیل خودمختار محدود فعلی مقیاسی از تشخیص آسیب پذیری و اصلاح آن را به وجود می آورد که به سختی به سطح مورد نیاز محیط های نرم افزاری امروزی قابل مقایسه است.

فریز ادامه داد:

ما قصد داریم از طریق برنامه ی چس، تخصص های هکرهای انسانی را جمع آوری و درک کرده، آنها را به روش هایی برای سامانه های خودمختار تجزیه و تحلیلی که در محدوده ی وسیعی از فناوری ها در دسترس هستند تبدیل کنیم. با اجازه دادن به افراد مختلف برای شرکت در این طرح، ما روشی را برای گسترش قابلیت شناسایی آسیب پذیری، فراتر از محدودیت ها امروزی ایجاد می کنیم.

سازمان دارپا برای دستیابی به هدف یاد شده برای برنامه ی چس، طرح های ابتکاری موجود در 5 حوزه ی فنی مختلف را جستجو می کند.

پژوهشگران در حوزه ی اول روی جذب هکرهای حرفه ای و روش کار آنها تمرکز می کنند. برپایه ی اطلاعات جمع آوری شده، شیوه های جدیدی برای بهبود ارتباط بین انسان و رایانه ایجاد خواهد شد.

در بخش دوم پژوهشگران روش هایی را برای کشف و وصله ی آسیب پذیری های کلاس ها در کد منبع و فایل های باینری به وجود می آورند. به کمک این بخش اطلاعات مربوط فعالیت های مخربی که توسط کارشناسان انسانی نادیده گرفته شده؛ اما مهم هستند نیز شناسایی می شود. به عبارتی شکاف اطلاعاتی موجود در بینش انسانی ایجاد شده در حوزه ی اول کاهش پیدا می کند. محققان هر دو بخش اول با یکدیگر همکاری می کنند؛ زیرا هدف آنها ایجاد سامانه ای برای کشف حفره های امنیتی است که به سادگی توسط انسان و رایانه قابل درک باشد.

فریز افزود:

انسان ها دارای دانش معنایی، متنی و درکی فراتر از آن هستند که یک رایانه به تنهای نمی تواند به آن دست یابد. شکاف اطلاعاتی مورد بحث جلوی درک بسیاری از انواع آسیب پذیری های نرم افزاری را توسط ماشین می گیرد. در مقابل بینش انسان ها می تواند شکاف مذکور را پر کرده، سامانه ای در سطح هکرهای بسیار حرفه ای به وجود آورد که با سرعتی بالا فعالیت می کند.

بخش های سوم و چهارم روی آزمایش و ارزیابی فناوری های انسان و رایانه ی مشترک ایجاد شده در 2 حوزه ی اول تمرکز دارد.

حوزه ی آخر نیز وظیفه ی مدیریت ارزیابی و یکپارچه سازی را دارد. همچنین راه حل های نهایی انتقال دستاورد ایجاد شده به بخش های دولتی و تجاری را ایجاد خواهد کرد.

پروژه ی چس در یک بازه ی زمانی 42 ماهه و در سه فاز تکمیل خواهد شد. که در هر فاز پیچیدگی برنامه ای که قادر به تجزیه و تحلیل موثر آن است افزایش می یابد.

1. _{Computers and Humans Exploring Software Security}