نوشته‌ها

به دنبال کمپین جاسوسی سایبری SolarWinds در سال 2020، که در آن هکرهای روسی به روز رسانی های آلوده را به یک پلتفرم مدیریت فناوری اطلاعات که به طور گسترده مورد استفاده قرار می گیرد، منتقل کردند، یک سری حملات بیشتر را در زنجیره تامین نرم افزار همچنان بر نیاز فوری به قفل کردن زنجیره های نرم افزاری تاکید می کند. و این موضوع به‌ویژه در منبع باز، جایی که پروژه‌ها ذاتاً غیرمتمرکز هستند و اغلب به‌صورت موقتی تلاش می‌کنند، شدیدتر است.

GitHub که خود متعلق به مایکروسافت است، اعلام کرد که قصد دارد از امضای کد، نوعی مهر و موم دیجیتال، برای بسته‌های نرم‌افزاری npm با استفاده از پلتفرم امضای کد Sigstore پشتیبانی کند. این ابزار از همکاری بین صنعت نشأت گرفت تا برای منبع باز بسیار آسان تر شود تا تأیید کنند که کدی که ایجاد می کنند همان کدی است که در نهایت به بسته های نرم افزاری می رسد که واقعاً توسط افراد در سراسر جهان بارگیری می شود.

جاستین هاچینگز، مدیر محصول GitHub می گوید: در حالی که اکثر بسته های npm منبع باز هستند، در حال حاضر هیچ تضمینی وجود ندارد که بسته ای در npm از همان کد منبع منتشر شده ساخته شده باشد. حملات زنجیره تامین در حال افزایش است و افزودن اطلاعات ساخت امضا شده به بسته‌های منبع باز که تأیید می‌کند نرم‌افزار از کجا آمده و چگونه ساخته شده است، راهی عالی برای کاهش سطح حمله است.

به عبارت دیگر، همه چیز در مورد ایجاد یک بازی تلفنی تایید شده رمزنگاری شده و شفاف است.

دن لورنک، مدیر عامل Chainguard، که Sigstore را توسعه می دهد، تأکید می کند که اگرچه GitHub تنها جزء اکوسیستم متن باز نیست، اما یک میدان شهری کاملاً حیاتی برای جامعه است زیرا اکثریت قریب به اتفاق پروژه ها در آنجا ذخیره و منتشر می شوند.

با ارائه Sigstore به مدیران ، شفافیت بسیار بیشتری در هر مرحله از سفر نرم افزار وجود دارد، و ابزار Sigstore به توسعه دهندگان کمک می کند تا بررسی های رمزنگاری و الزامات را هنگام حرکت نرم افزار در زنجیره تامین مدیریت کنند.

Sigstore توسط بنیاد لینوکس، گوگل، رد هت، دانشگاه پردو و Chainguard توسعه داده شده است. پلتفرم توسعه نرم افزار منبع باز Kubernetes اکنون از Sigstore پشتیبانی می کند و یک ابزار رسمی برای امضای توزیع بسته های Python با استفاده از Sigstore وجود دارد.

Hutchings GitHub می گوید: “روش های سنتی مدیریت کلیدهای امضا به اندازه جامعه منبع باز به خوبی مقیاس نمی شوند و بینشی در مورد نحوه ساخت نرم افزار ارائه نمی دهند.” یکی از چیزهایی که ما در مورد Sigstore دوست داریم این است که که پیکربندی آن برای کاربران نهایی صفر است، بنابراین ما می‌توانیم این را با اکوسیستم توسعه‌دهنده خود بدون توجه به محل زندگی کد منبع، افزایش دهیم.»

مشابه تلاش‌های عظیم صنعت برای ترویج رمزگذاری وب HTTPS، که تا حد زیادی با ابزارهایی مانند Let’s Encrypt از گروه تحقیقاتی امنیت اینترنت غیرانتفاعی امکان‌پذیر شد، Sigstore برای تشویق به پذیرش رایگان بودن و استفاده آسان متکی است.

Hutchings GitHub می‌گوید: «ما می‌خواهیم جهانی را ببینیم که در نهایت تمام مصنوعات نرم‌افزار امضا شده و به کد منبع پیوند داده می‌شوند. به همین دلیل بسیار مهم است که یک فناوری open source مانند Sigstore بسازیم که سایر مخازن بسته بندی نیز بتوانند از آن استفاده کنند.

 

در چند سال اخیر، سازمان‌ها و بانک ها با افزایش جدی در ریسک‌های عملیاتی و کسب‌وکار مواجه شده اند. همچنین چگونگی مدیریت و راهبری فعالیت‌های سازمان و بانک‌ها، همراستا با نیازهای ذینفعان، مقررات و الزامات داخلی و بین‌المللی، بازار و ریسک‌های کسب و کار و فرهنگ سازمان به عنوان مهمترین چالش‌های پیش رو در همه صنایع و خصوصا صنعت بانکی مطرح گردیده است. به منظور برطرف نمودن چالش‌های مذکور ، در چند سال اخیر در سطح بین‌المللی استقرار مفهوم GRC مورد توجه جدی قرار گرفته است.
استقرار GRC تمامی فعالیت‌های سازمان در سه حوزه حاکمیت، مدیریت ریسک و انطباق با الزامات را پوشش می‌دهد. فرایندهای مرتبط با حاکمیت(Governance) ، ساختاری برای راهبری و اعمال اختیارات لازم در راستاي حصول اهداف استراتژيک سازمان ارائه می‌نماید؛مدیریت ریسک، شامل فرایندهای شناسایی، تحلیل، ارزیابی و کنترل ریسک می‌باشد؛ و انطباق با الزامات به معنای استقرار فرایندهای لازم در اطمینان از اجرای قوانین و استانداردهای داخلي و خارجي است که برای کسب‌وکار مورد نظر تعریف شده‌اند.
اجرای مدل یکپارچه GRC، نیازمند تعریف و ایجاد ارتباطات واضح و بدون ابهام میان نقش‌ها و مسئولیت‌ها در این فرایندها می باشد. همچنین برای پیشبرد این فرایندهای در هم آمیخته لازم است تا یک نقطه مرجع در سازمان تعیین و منابع اطلاعاتی مشترک ایجاد شوند. برای استقرار GRC، بررسی و مطالعه چارچوب‌ها و استانداردهای این حوزه ضروری است. با پیاده‌سازی صحیح GRC، انتظار می‌رود که تصمیمات جامع‌تر، مبتنی بر ریسک و به منظور کاهش هزینه‌ها و افزایش بهره‌وری سازمان‌ها و بانک‌ها قابل حصول باشد.
شرکت فناوری اطلاعات رجاء با تحقیق و توسعه سامانه بومی RAJA-GRC طی پنج سال اخیر مطابق با مدل بلوغ و الزامات طرح امن سازی افتا، استانداردهای C2M2, ISMS, BCP/BCM و سایر استانداردها و سیاستنامه های داخلی سازمان ها، گامی موثر در مدیریت و انطباق ریسک در بخش دولتی و خصوصی برداشته است.

RAJA-GRC

راه حلی ساده برای یکپارچه سازی روند ممیزی و هم سطح نمودن فرآیند های محاسبه انطباقی سنجی ها و مخاطرات حوزه فناوری بالاخص حوزه بانکداری بوده که با خودکارسازی روند ممیزی در سطح کارشناسان فنی ,قادر به برآورد دوره ای از میزان انطباقات با چک لیستهای فنی تدوین شده از تجربیات فنی و دانش روز امن سازی خواهد بود.

قابلیت های کلیدی نرم افزار

  • نرم‌افزار RAJA-GRC با به کارگیری جدیدترین تکنولوژی های روز جهانی در بستر تحت وب ارائه گردیده که به واسطه این امر در هر زمان بدون نیاز به نرم افزار واسط قابل دسترس خواهد بود.علاوه بر آن میتوان به قابلیت های کلیدی زیر نیز اشاره نمود:
  • تعریف زیر مجموعه های سازمان (سازمان ,بخش ,پست سازمانی ,کاربر)
  • جمع آوری تمامی دارایی های موجود در مجموعه به صورت سلسله مراتبی و قابلت اتصال API
  • تعریف دانشنامه برای محاسبات انطباق سنجی, ریسک, سطح و بلوغ
  • تعیین سطوح انطباق سنجی, ریسک و بلوغ
  • اعلانات امنیتی مندرج در منابع معتبر به صورت دوره ای یا همزمان(Security Advisory)
  • محاسبات ریسک پرسنلی
  • گزارشگیری و خروجی فایل های Word, Excel, PDF
  • داشبورد مدیریتی جهت مشاهده کلی وضعیت سازمان در لحظه
  • تعیین گردش کار زیر پروژه های امن سازی

ویژگی های خاص سامانه RAJA-GRC

  • ظاهر زیبا و کاربر پسند با قابلیت نمایش در صفحه نمایش های مختلف
  • احراز هویت با اکتیو دایرکتوری
  • رمز نگاری داده و قابلیت اتصال با توکن در صورت نیاز
  • ارائه بر روی زیر ساخت های لینوکسی و کانتینری جهت اَبری سازی
  • Firewall داخلی
  • WAFداخلی منطبق با Rule های OWASP
  • قابلیت ارسال Log بر روی SIEM در مراکز SOC
  • آنتی ویروس داخلی جهت بررسی فایل های آپلود شده بر روی سامانه
  • بروزرسانی آفلاین سامانه در سطح نرم افزاری و دانشنامه ها