پنل چالشی در الکامپ ۹۸
بررسی «چالش‌ها و روش‌های استفاده از محصولات امنیتی خارجی در شرایط تحریم»
اختصاصی افتانا
کد مطلب: 15578
تاریخ انتشار : شنبه ۲۹ تير ۱۳۹۸ ساعت ۱۲:۲۷
 
«چالش‌ها و روش‌های استفاده از محصولات امنیتی خارجی در شرایط تحریم» در یک پنل تخصصی در حاشیه الکامپ بررسی شد.
بررسی «چالش‌ها و روش‌های استفاده از محصولات امنیتی خارجی در شرایط تحریم»
 
 
Share/Save/Bookmark
«چالش‌ها و روش‌های استفاده از محصولات امنیتی خارجی در شرایط تحریم» در یک پنل تخصصی در حاشیه الکامپ بررسی شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پنل تخصصی چالشی با عنوان «چالش‌ها و روش‌های استفاده از محصولات امنیتی خارجی در شرایط تحریم» صبح روز پنجشنبه ۲۷ تیرماه در بخش الکامپ تاکز نخستین روز نمایشگاه الکامپ در سالن ۶ محل دائمی نمایشگاه‌های بین‌المللی تهران برگزار شد.

مهندس کیایی‌فر، مدیر تحقیق و توسعه شرکت مدبران، مهندس احمدی، مدیر IT شرکت OIEC و دکتر صالحی، مدیر هلدینگ دیده‌بان در این پنل به بحث و تبادل نظر درباره این موضوعات مهم و چالشی پرداختند که در ادامه می‌خوانید.

صالحی: با افزایش تنش‌ها میان ایران و آمریکا و در شرایطی که بیش از ۸۰ درصد تجهیزات امنیتی به‌کار رفته در لبه شبکه سازمان‌های ایرانی، آمریکایی هستند این موضوع به دغدغه‌ای تبدیل شده‌است. محصولاتی که با وجود تحریم‌ها در ایران نصب شده‌اند و لایسنس‌های آنها با مشکلات فراوان نصب می‌شود و مکررا توسط شرکت‌های تولیدکننده غیرفعال می‌شوند. واقعا درصورت وقوع جنگ میان ایران و آمریکا چقدر می‌شود به این تجهیزات امنیتی اعتماد کرد؟ در این چالش مهم امنیتی بهترین راهکار کدام است؟ آیا باید محصولات آمریکایی را که بهترین امکانات و قابلیت‌های فنی را دارند کنار
احمدی: من نسبت به سازمانی که در آن مشغول کارم مسئولیت دارم و نمی‌توانم شرایطی را پیش بیاورم که احتمال تجربه‌ای مانند فلیم در آن وجود داشته‌باشد. پس نمی‌توانم به راحتی محصولی را که هنوز به اندازه کافی آزموده نشده و خطاهای‌ آن درنیامده در یک زیرساخت حیاتی به‌کار بگیرم.
گذاشت؟ آیا محصولات بومی جایگزین خوبی برای حفاظت محسوب شوند؟ آیا استفاده از محصولات Open Source جایگزین مناسبی است؟

کیایی‌فر: پدیده جنگ از بدو تولد بشر آغاز شد. جنگ سایبری امروز در دنیا حرف اول را می‌زند. ادبیات جنگ میان ایران و آمریکا باید ما را نگران این جنگ سایبری کند. ۸۰ درصد تجهیزات ما در زیرساخت‌ها، آمریکایی است، پس مدیریت امنیت‌ سایبری در این شرایط بسیار دشوار است. به‌ویژه اگر در این تجهیزات back door وجود داشته‌باشد. گذاشتن back door در محصولات بسیار رایج شده است و همین چندی پیش بود که NSA با back door های وجود در تجهیزات جونیپر توانست دسترسی در سطح ادمین پیدا کند و موفق به نفوذ شود. مورد دیگر بلاک کردن لایسنس‌ها و تمدید نکردن آنهاست. از فروردین‌ماه امسال بود که سوفوس لایسنس‌هایش را در ایران مسدود کرد. از چند روز قبل در ایران فایروال‌های سوفوس اسکرین لاک می شوند و دستگاه کاملا بدون استفاده می‌شود. یعنی ما هزینه کردیم و برند برتر UTM را در سیستم خود قرار دادیم، اما حالا عملا باید آن را دور بیندازیم چون برای ما کار نمی‌کند. حالا این سوال پیش می‌آید که اگر برای پرهیز از چنین گرفتاری‌هایی از سوفوس و فورتی‌گیت و برندهای خارجی معتبر دیگر استفاده نکنیم، پس باید چکار کنیم؟!

احمدی: در هر صورت هر جنگی هزینه‌ای دارد. هیچ کشوری در دنیا تولیدکننده صفر تا صد همه محصولات نمی‌شود و هزینه تولید آن بالاست و نیروی متخصص آن در همه‌جا وجود ندارد. ما هم نمی‌توانیم تولیدکننده همه‌چیز و بی‌نیاز از دنیا باشیم. محصولاتی که خریداری می‌کنیم ممکن است به دلایل برنامه‌ریزی شده و یا برنامه‌ریزی نشده‌ای از کار بیفتند یا back door داشته‌باشد؛ اما صرفا به این دلایل نمی‌توان آنها را کنار گذاشت. فرض کنید که ما برندهای معتبر UTMرا که اخیرا برای آنها مشکل ایجاد شده‌است کنار بگذاریم، اما آیا می‌توانم به همین سادگی برویم سراغ UTM داخلی؟! من نسبت به سازمانی که در آن مشغول کارم مسئولیت دارم و نمی‌توانم شرایطی را پیش بیاورم که احتمال تجربه‌ای مانند فلیم در آن وجود داشته‌باشد. پس نمی‌توانم به راحتی محصولی را که هنوز به اندازه کافی آزموده نشده و خطاهای‌ آن درنیامده در یک زیرساخت حیاتی به‌کار بگیرم. شاید در چنین شرایطی محصول ایرانی به عنوان سولوشن ارائه‌شود، اما این کافی نیست و نمی‌توان از ترس مرگ دست به خودکشی زد و از برندهای معتبر و دقیقی مثل سایبروم، سیسکو، سوفوس و نظایر آن گذشت و به سراغ محصولات ایرانی رفت که اغلب پشتیبانی آنها نیز تمام‌وقت نیستند و در خارج از ساعات اداری و روزهای تعطیل نمی‌توان به بخش پشتیبانی
کیایی‌فر: در دنیای امنیت مدلی به نام زیروتراست داریم که به هیچ پروتکلی اعتماد نمی‌کند. ما هم می‌توانیم برمبنای این مدل پیش برویم، یعنی خود را از محصولات برتر خارجی محروم نکنیم. از آنها استفاده کنیم اما کاملا مراقب آنها باشیم و دائم آنها را پایش کنیم.
آنها دسترسی داشت. پس ما این مشکل را داریم که فیچرهای معتبر خارجی شاید از سوی تولیدکنندگان‌شان برای ما از دسترس خارج شوند و محصولات داخلی با کاستی‌هایی همراه هستند.

کیایی‌فر: سه راهکار پیش روی ماست که مورد سوم را بعدا خواهم‌گفت. راهکار اول ما همان استفاده از محصولات آمریکایی است که در حالت عادی بسیار عالی هستند، اما در شرایط تحریم، دردسرساز. راهکار دوم به کارگیری محصولات ایرانی است. در اینجا این بحث پیش می‌آید که بومی‌سازی با وجود نیاز شدید که به آن داریم به حربه‌ای برای کسب درآمد شرکت‌ها تبدیل شده‌است. حقیقت این است که ما نمی‌توانیم همه‌چیز را بومی‌سازی کنیم. نیروی متخصص انسانی که پشت یک محصول قرار می‌گیرد در همه‌جا وجود ندارد. تاکنون هم به‌ندرت در حوزه آی‌تی محصول موفق قابل رقابت و مقایسه‌ای با نمونه‌های خارجی آن داشته‌ایم. پس به جای اینکه همه‌چیز را بومی‌سازی کنیم بهتر است خود را در یک‌سری موارد محدودتری به این درجه برسانیم ور همان تعداد اندک، تولید بومی‌مان را به سطح صادرات برسانیم و بر کیفیت آن بیفزاییم. الزاماتی هم که دستگاه‌های دولتی در قالب بخش‌نامه برای استفاده از محصول بومی دریافت‌می‌کنند، فایده‌ای ندارد و صرف یک ابلاغیه مسئولیت تامین امنیت دستگاهی را که به آن محصول تجهیز شده از مشتری نمی‌گیرد. افزایش کمیتی که در آن، خبری از کیفیت نباشد به رشد بومی‌سازی کمکی نمی‌کند. در حال حاضر در بومی‌سازی‌هایمان به بلوغ نرسیدیم و راهکارهای بومی‌ ما کافی نیستند.

صالحی: در شرایطی که محصول بومی در سطح جهانی نداریم، شاید بهتر باشد که از عبارت محصولات توسعه‌یافته در داخل به جای واژه بومی برای آنها استفاده کنیم. وقتی که بتوانیم تکنولوژی محصول را از آن خود کنیم شاید بتوانیم ام آنرا محصول بومی امن بگذاریم. مسائل متعددی براای محصولات بومی ما مطرح هستند، مثلا آسیب‌پذیری‌های موجود در آنها چگونه پایش می‌شود. تاکنون گزارش‌های امنیتی که آسیب‌پذیری‌های موجود در محصولات را ارائه دهد در مورد کدام یک از محصولات داخلی خود دیده‌ایم در صورتی که این موضوع برای محصولات امنیتی خارجی یک روال است.

کیایی‌فر: محصولات ما هنوز به بلوغ کامل نرسیده‌اند. بله، ما اصلا بر روی محصولات بومی خود گزارش آسیب‌پذیری نداریم. یک ذهنیت هم وجود دارد که سازندگان داخلی الگوریتم‌های امنیتی خود را لو نمی دهند و تصور می‌کنند با این کار امنیت را افزایش می‌دهند درصورتی که باید این الگوریتم‌ها باید
صالحی: در شرایطی که محصول بومی در سطح جهانی نداریم، شاید بهتر باشد که از عبارت محصولات توسعه‌یافته در داخل به جای واژه بومی برای آنها استفاده کنیم. وقتی که بتوانیم تکنولوژی محصول را از آن خود کنیم شاید بتوانیم ام آنرا محصول بومی امن بگذاریم.
توسط هکرها تست شود و آسیب‌پذیری‌هایش قبل از آنکه برای مشتریان‌شان اتفاقات جدی‌تری بیفتد برطرف‌شود.

ما امروزه در کشورمان تجهیزات نظامی خوبی اعم از موشک و غیره داریم، اما صفر تا صد آنها ساخت خودمان نیست، بلکه چیزهایی را هم از کشورهایی که در گفتمان سیاسی و روابط بین‌المللی ادبیات و منافع نزدیک‌تری به ما دارند وارد می‌کنیم. در اینجا می‌خواهم به راهکار سوم اشاره کنم. در دنیای امنیت مدلی به نام زیروتراست داریم که به هیچ پروتکلی اعتماد نمی‌کند. ما هم می‌توانیم برمبنای این مدل پیش برویم، یعنی خود را از محصولات برتر خارجی محروم نکنیم. از آنها استفاده کنیم اما کاملا مراقب آنها باشیم و دائم آنها را پایش کنیم. در کنار آنها هم در زیرساخت‌های حیاتی محصولات تراست مانند محصولات چین و روسیه را قرار دهیم تا امنیت را در لایه‌های مختلف، ارتقا دهیم.

احمدی: البته صرف داشتن یک‌سری منافع مشترک نمی‌تواند استفاده از محصولات برفرض چینی یا روسی را هم برای ما به گزینه‌ای ایده‌آل تبدیل کند. ما باید شبکه را طوری بچینیم که اگر محصول مورد استفاده در آن، چه داخلی و چه خارجی، دچر مشکلی شد بتوانیم به‌راحتی و ایجاد اختلال در سایر اجزای شبکه آن را تعویض کنیم. پاک‌سازی از ترس اینکه شاید این محصول دچار اختلال یا تحریم یا مواردی از این دست شود معقول نیست. هزینه‌ای که برای خرید این محصولات شده‌است نمی‌توان نادیده گرفت. پس باید شبکه را درست طراحی کرد.
سازمان مسئول حفظ منافع خود است. من به‌عنوان کسی که در یک سازمان، فعال هستم در قبال آن مسئولیت دارم. من طرفدار محصول داخلی یا خارجی و .... نیستم بلکه من طرفدار سازمانم هستم با هرآنچه که سازمانم را به خطر بیندازد موافق نیستم، چه تولید داخل و چه تولید خارج.

کیایی‌فر: قطعا نمی‌توان به چین و روسیه هم به تنهایی متکی بود. نمود آن را در مورد برند هوآوی دیدیم که چگونه آمریکا توانست با فشار بر این برند در روابط تجاری‌اش مداخله کند. محصولات بومی هم ابتدا باید در جاهایی که حساسیت کمتری دارند کم‌کم استفاده‌شوند تا به بلوغ برسند و ایرادهای خود را کاهش دهند. استفاده از آنها باید مرحله به مرحله باشد. ابتدا در جاهایی که حساسیت کمتری دارند قرار گیرند و پس از بلوغ در سازمان‌های اینترپرایز و حساس.

صالحی: در این پنل کوشیدیم تا اشاره‌ای داشته‌باشیم به اینکه در هرصورت باید با در نظر گرفتن شرایط و وضعیت موجود، بهترین گزینه‌های که برای کاستن از دغدغه امنیت سایبری پیش رو داریم چه چیزهایی هستند.