Skip to main content

هل يمكننا التخلص من دورة التصحيح دورة مرح؟

كان أمس تصحيح الثلاثاء لشركة مايكروسوفت - يوم الثلاثاء مشغول مع 12 نشرات أمنية جديدة تتناول 22 نقطة ضعف منفصلة. كان يومًا كبيرًا أيضًا لحل مشكلات برامج Adobe أيضًا. ومما يبعث على الارتياح قدر الإمكان معرفة أن جميع نقاط الضعف هذه قد تم تصحيحها ، والحقيقة المؤسفة هي أننا ما زلنا نقوم بذلك مرة أخرى في الشهر المقبل. ألا يجب أن يكون هناك طريقة أفضل من تطبيق Band-Aids كل شهر؟

النموذج الحالي للبرمجيات والأمن يخلق فرصًا اقتصادية لبائعي البرامج الأمنية ومهنيي أمن المعلومات ، ولكنه دائمًا متأخر في اليوم و خطوة وراء المهاجمين. يعتمد النموذج على الاستجابة للتهديدات بعد اكتشافها في البرية ، ودورة دائمة من الترقيع والتكرار مع عدم وجود نهاية تلوح في الأفق.

جرافيك: يشرح دييغو أغيري أنوب غوش ، كبير العلماء ومؤسس Invincea ، في مدونة ، "أن يخطئ هو الإنسان. ومع ذلك ، فإن الواقع هو أن أي نموذج للأمن يعتمد على صحة الملايين من أسطر الكود التي تشكل منطقة السطح الهجومية للبرامج المتصلة بالإنترنت هو نموذج معيوب بشكل أساسي ولا يمكن الدفاع عنه "

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

يضيف غوش:" لا يجب أن نكون على ما يرام عندما يتم إخبارنا يوم الثلاثاء بأننا ثملنا يوم الاثنين وأن الجميع يقبل ذلك كقاعدة. يجب ألا نقبل الزعم بأنه لا يوجد شيء آمن - أن الوقاية هي استراتيجية فاشلة - أن أفضل ما يمكننا أن نأمله هو كشف خصومنا عندما يكونون في شبكاتنا. "

يشير غوش أن مهندسي الحماية من الحرائق لا يقومون فقط بتثبيت أجهزة الكشف عن الدخان وطفايات الحريق ، ولكن أيضا استباقي هندسة أفضل تقنيات البناء والتصاميم بناء لمنع الحرائق في المقام الأول. وبالمثل ، تحتاج صناعة الأمن إلى الخروج من الموقف الرجعي والدفاعي للارتداد ، والكشف عن التهديد القائم على التوقيع ، واتخاذ مبادرة استباقية لتصميم أنظمة وبرمجيات أكثر أمانًا في المقام الأول.

إذن ، ما هي إجابة؟ حسنا ، لا يدعي غوش أن لديه الأجوبة. إنه أكثر تنفيسًا للإحباط من النموذج الأمني ​​الحالي ، والنداء إلى جميع الأطراف للتركيز أكثر على الحلول التي تم تصميمها بشكل أفضل في المقام الأول لمنع الهجمات.

يعلن غوش ، "لقد حان الوقت ل الابتكار في الأمن مرة أخرى لتغيير اللعبة لإرجاع المزايا إلى المدافع بدلا من المهاجم. "

هل تعتقد أنه يمكن القيام به؟ أو ، هل تعتقد أننا محكومون علينا فقط باللحاق بمهاجمينا؟