در مادرید، زمینی برای “امنیت باز”

مطالب زیر از اظهارات کنت واکر، رئیس امور جهانی، در “اجلاس امنیت سایبری گوگل: حفاظت از فضای دیجیتال اروپا” اقتباس شده است. در مادریددر 26 اکتبر 2022.

بحث امنیت سایبری امروز نمی تواند به موقع باشد.

در پس زمینه افزایش تنش های ژئوپلیتیکی، ما شاهد تلاش های بیشتر و بیشتری برای تضعیف امنیت مشترک خود هستیم.

جنگ‌های سایبری و اطلاعاتی به ابزارهای تجارت در تلاش برای سوء استفاده از آسیب‌پذیری‌ها و بی‌ثبات کردن اقتصاد و دموکراسی‌های ما تبدیل شده‌اند.

جای تعجب نیست که وقتی کمیسیون اروپا از طرح خود برای تحول دیجیتال اروپا تا سال 2030 رونمایی کرد، امنیت را یک حق اساسی برای چشم انداز خود خواند.

بنابراین وظیفه تامین امنیت دنیای دیجیتال را از کجا شروع کنیم؟

از یک طرف، برخی از الزامات محلی سازی داده ها، محدودیت های دسترسی به بازار، و حتی محدودیت برای دسترسی به برخی از خدمات فرامرزی را پذیرفته اند.

اساساً باغ های دیواری و قلعه های مرتفع. اما ما یک روش متفاوت را پیشنهاد می کنیم.

اگرچه به نظر می رسد یک پارادوکس است، اما بهترین امنیت دیجیتال مدرن در واقع از طریق پذیرش باز بودن به دست می آید.

به این دلیل که در محیط موبایل و ترکیبی امروزی، امنیت سایبری یک ورزش گروهی است. هر کدام از ما به اندازه ضعیف ترین حلقه خود قوی هستیم. اما وقتی با هم کار می‌کنیم، نوآوری را تحریک می‌کنیم و بهترین شیوه‌ها را پیش می‌بریم که به نفع همه است.

من از تجربه‌ای در اینجا صحبت می‌کنم، زیرا سرویس‌های Google هر روز مورد حمله قرار می‌گیرند. و با این حال، ما افراد بیشتری را نسبت به سایرین در جهان ایمن نگه می داریم. ما این کار را با نگاه کردن به امنیت از طریق یک لنز جمعی، استفاده از چارچوب‌های باز و تکیه شدید بر نرم‌افزار منبع باز امن انجام می‌دهیم.

ما امیدواریم که از آنچه آموخته ایم برای کمک به امنیت “دهه دیجیتال” اروپا استفاده کنیم.

به همین منظور، اخیراً مقاله‌ای با توصیه‌هایی مانند سرمایه‌گذاری در فناوری که به‌طور پیش‌فرض ایمن است منتشر کردیم. کار با شرکای خصوصی و بین المللی در زمینه های جدید همکاری و ایجاد امنیت بر اساس باز بودن و قابلیت همکاری.

این توصیه ها بر اساس تجربه دست اول است. در سال 2009، گوگل قربانی یک حمله امنیت سایبری بزرگ با نام رمز عملیات شفق قطبی شد. ما آموختیم که شفافیت، همراه با امنیت از طریق طراحی، بهترین راه برای ایمن سازی اکوسیستم دیجیتال است.

همانطور که در مستندهای اخیر منتشر شده خود، هک کردن گوگل، Aurora همه چیز را تغییر دادیم. این ما را بر آن داشت تا از مدل قدیمی «دفاع محیطی» که در قسمت بیرونی ترد، جویدنی در وسط (با دیوارهای بیرونی بلند اما بدون دفاع داخلی) بود، به مدلی با اعتماد صفر که در آن همه کاربران، همه دستگاه‌ها، و همه چیز تغییر می‌کرد. برنامه ها به طور مداوم برای خطرات امنیتی بررسی می شوند، اما امنیت به راحتی و به طور طبیعی برای کاربران ایجاد می شود.

پس از شفق قطبی، ما گروه تحلیل تهدید یا TAG خود را راه اندازی کردیم تا تهدیدات را شناسایی، افشا و نسبت دهیم، خواه از طرف بازیگران دولت ملت باشد یا فروشندگان جاسوس افزارهای تجاری و نظارتی. ما همچنین تیم Project Zero خود را راه‌اندازی کردیم تا آسیب‌پذیری‌های روز صفر ناشناخته قبلی را در نرم‌افزار خودمان و سایر شرکت‌ها پیدا کرده و به سرعت فاش کنیم و نوار امنیتی را برای همه بالا ببریم.

کار همیشه راحت نبوده است – اما این نوع شفافیت کلید امنیت است. همانطور که ضرب المثل مهندسی کامپیوتر می گوید، “با چشمان کافی، همه اشکالات کم عمق هستند.”

امروزه، با اتخاذ نوآوری‌های امنیتی پیشرفته و اطلاعات تهدید، اطمینان حاصل می‌کنیم که آسیب‌پذیری‌ها به سرعت برطرف می‌شوند، قبل از اینکه بتوان از آنها به طور گسترده بهره‌برداری کرد.

هر زمان که TAG تهدید جدیدی را فاش کرد، می‌توانید رویکرد ما را در عمل ببینید. به عنوان مثال، در سال 2017، سیستم عامل اندروید ما اولین پلتفرم موبایلی بود که به کاربران در مورد نرم افزار جاسوسی Pegasus گروه NSO هشدار داد – بدافزار “صفر کلیک” که به مهاجم اجازه می دهد تا یک گوشی هوشمند را بدون هیچ اقدامی به خطر بیاندازد.

با اشتراک‌گذاری زودهنگام و گسترده اطلاعات، آگاهی را در مورد این تهدید افزایش دادیم، به قربانیان کمک کردیم تا بفهمند که آیا در معرض خطر قرار گرفته‌اند یا خیر، و تمرکز بیشتری بر روی اقدامات کاهشی ایجاد کردیم. از آن زمان، TAG به گزارش‌های مربوط به Pegasus و دیگر ابزارهای جاسوس‌افزار تجاری ادامه داده است و این صنعت تیره و تار را روشن می‌کند.

بنابراین وقتی جنگ در اوکراین آغاز شد، اصول امنیتی باز ما را یک قدم جلوتر نگه داشت. از زمان شروع جنگ، ما هزاران اخطار را برای کاربرانی که توسط بازیگران دولت-ملت هدف قرار می‌گیرند ارسال کرده‌ایم – عمل دیگری که پس از Aurora پیشگام بودیم. ما موفق شده ایم که اکثر حملات را مسدود کنیم. و ما Project Shield را راه‌اندازی کردیم و نه فقط روزنامه‌نگاران، بلکه سازمان‌های حقوق بشر و حتی وب‌سایت‌های دولتی در اوکراین را زیر چتر امنیتی Google در برابر حملات منع سرویس توزیع شده قرار دادیم.

از آنجا که در حالی که می‌تواند برای سایت‌های کوچک DDOS آسان باشد، به نظر می‌رسد که برای DDOS Google بسیار سخت است.

همه ما در این رویکرد مشترک به امنیت هستیم. در حال حاضر، ما با تیم خود در VirusTotal برای راه‌اندازی یک مرکز مهندسی ایمنی جدید گوگل در مالاگا، اسپانیا کار می‌کنیم، که امیدواریم به یک مرکز اروپایی برای تحقیقات مشترک در مورد تهدیدات پیشرفته تبدیل شود.

از زمانی که VirusTotal را در سال 2012 خریداری کردیم، آنها از یک استارت‌آپ ناموفق رشد کردند و به اسکنر و مخزن بدافزار پیشرو در جهان تبدیل شدند، چیزی که بسیاری آن را «ابزارهای امنیت سایبری گوگل» می‌نامند. VirusTotal افراد را قادر می سازد تا به دنبال بدافزار در برابر میلیون ها نمونه جدید ارسال شده روزانه بگردند.

علاوه بر این، وقتی Google راه‌حل‌های امنیتی موجود ما را با اطلاعات تهدید سایبری Mandiant ترکیب کرد، ما زمینه را برای کمک به سازمان‌های بخش دولتی و خصوصی در اروپا فراهم کردیم تا تهدیدات را پیش‌بینی کنند، درباره آن هشدار دهند و آن‌ها را کاهش دهند.

وقتی به سمت امنیت باز کار می کنیم، چه درس های بزرگتری برای همه ما وجود دارد؟

اول، مشارکت و توافقات بین جوامع دموکراتیک و حاکم بر قانون کلیدی است. ما باید رویکردهای سلب شده را کنار بگذاریم و اکوسیستمی از نوآوری را بپذیریم که در آن کارشناسان امنیتی بتوانند تهدیدات را به اشتراک بگذارند، بهترین شیوه ها را تکامل دهند و فناوری های جدید را اتخاذ کنند.

در حمایت از آن اکوسیستم، خوشحالم که اعلام کنم در سال 2023، میزبان آکادمی رشد جدید گوگل برای استارت آپ ها برای امنیت سایبری اتحادیه اروپا خواهیم بود، برنامه ای رشد برای کمک به استارت آپ های امنیت سایبری در سراسر اروپا که به داستان های موفقیت آمیزی تبدیل شوند.

دوم، قابلیت همکاری و استانداردهای امنیتی هماهنگ بین فناوری‌ها و بین کشورها، انطباق را برای کسب‌وکارها، مبتکران، و تولیدکنندگان در همه اندازه‌ها آسان‌تر می‌کند – که سخت‌افزار ایمن‌تر و نرم‌افزار بهتر را ایجاد می‌کند.

سومین و آخرین نکته ای که باید در نظر داشت این است که وقتی از فناوری قدیمی حشره دار و مدل های دفاع محیطی دور می شویم و به زیرساخت های مدرن می پردازیم، می توانیم نیروی کار ترکیبی و جهانی امروزی را که به طور فزاینده ای جهانی شده اند، بدون قربانی کردن امنیت، در خود جای دهیم.

امنیت جمعی نه تنها به دیوارها، بلکه به پل ها نیز نیاز دارد.

با اتخاذ رویکردی مبتنی بر اصول باز مانند امنیت به‌طور پیش‌فرض، معماری بدون اعتماد، شفافیت و مشارکت‌های اصولی، می‌توانیم مرزهای امنیت اطلاعات را پیش ببریم و به همه ما اجازه دهیم شب‌ها بهتر بخوابیم.