کیڑے کے بغیر کوئی سافٹ ویئر نہیں ہے، ٹھیک ہے؟ اگرچہ یہ ایک عام جذبہ ہے، ہم قیاس کرتے ہیں جو اس بنیاد پر انحصار کرتے ہیں کہ سافٹ ویئر میں ہماری روزمرہ کی ڈیجیٹل زندگی میں کوئی کیڑے نہیں ہیں۔ ہم شناخت فراہم کرنے والوں (IDPs) پر بھروسہ کرتے ہیں کہ وہ توثیق کا حق حاصل کریں، آپریٹنگ سسٹم ان کی تفصیلات کی مکمل تعمیل کریں، اور مالی لین دین ہمیشہ حسب منشا انجام دیں۔ اس سے بھی زیادہ واضح طور پر، ہم اپنی جسمانی حفاظت کے ساتھ سافٹ ویئر پر بھروسہ کرتے ہیں۔ ہوائی جہاز پر جا رہے ہیں، ایسی کار چلانا جو ٹریفک کی لین پر ہماری پابندی یا ہمارے سامنے والی کار سے ہماری دوری کو فعال طور پر درست کرتی ہے، یا کچھ سرجریوں سے گزر رہی ہے۔ یہ کیا ممکن بناتا ہے؟ یا اسے دوسرے طریقے سے ڈالیں، خراب سافٹ ویئر کی وجہ سے ہوائی جہاز آسمان سے کیوں نہیں گر رہے ہیں؟
سافٹ ویئر کی کوالٹی اشورینس سائنسی اور انجینئرنگ ٹولز سے لی جاتی ہے۔ سافٹ ویئر کے معیار کو یقینی بنانے اور بہتر بنانے کا ایک طریقہ یہ ہے کہ اس کی تشہیر کی جائے اور زیادہ سے زیادہ لوگوں کو اس کو توڑنے کی ترغیب دی جائے۔
دوسرا انجینئرنگ میں جڑے ڈیزائن کے نمونوں یا اچھی طرح سے آرکیٹیکچر فریم ورک کا استعمال کر رہا ہے۔ مثال کے طور پر، اگرچہ ہر سافٹ ویئر پراجیکٹ کو اسی سطح کی جانچ پڑتال کے تحت نہیں رکھا جا سکتا جیسا کہ لینکس کرنل، جو کئی دہائیوں سے زیرِ تفتیش ہے، سوفٹ ویئر پروجیکٹس اسکروٹنی کو مدعو کرنے کے لیے سورس کوڈ کھول سکتے ہیں یا کچھ حاصل کرنے کی امید میں آڈٹ کے لیے کوڈ جمع کر سکتے ہیں۔ سیکورٹی کی ضمانت دیتا ہے.
اور ظاہر ہے، ٹیسٹنگ ہے۔ چاہے جامد، متحرک، یا حقیقی وقت، ڈویلپر کے ذریعے یا کسی وقف ٹیم کے ذریعے، ٹیسٹنگ سافٹ ویئر کی ترقی کا ایک بڑا حصہ ہے۔ تنقیدی سافٹ ویئر کے ساتھ، ٹیسٹنگ عام طور پر ایک مکمل طور پر الگ پروجیکٹ ہوتا ہے جسے مخصوص مہارت کے ساتھ ایک علیحدہ ٹیم سنبھالتی ہے۔
جانچ اچھی ہے، لیکن یہ جامع ہونے کا دعویٰ نہیں کرتی۔ اس بات کی کوئی ضمانت نہیں ہے کہ ہمیں تمام کیڑے مل گئے ہیں کیونکہ ہم نہیں جانتے کہ ہم کن کیڑے کے بارے میں نہیں جانتے ہیں۔ کیا ہم نے پہلے ہی وہاں سے 99% لینکس کرنل کیڑے ڈھونڈ لیے ہیں؟ 50%؟ 10%؟
'مطلق' دعویٰ
رسمی طریقوں کا تحقیقی میدان آپ کو یہ یقین دلانے کے طریقے تلاش کر رہا ہے کہ سافٹ ویئر کے کسی مخصوص حصے میں کوئی کیڑے نہیں ہیں، جیسے کہ آپ کے اسٹاک بروکر یا سرٹیفکیٹ اتھارٹی۔ بنیادی خیال سافٹ ویئر کو ریاضی میں ترجمہ کرنا ہے، جہاں سب کچھ اچھی طرح سے بیان کیا گیا ہے، اور پھر ایک حقیقی ثبوت بنائیں کہ سافٹ ویئر بغیر کسی کیڑے کے کام کرتا ہے۔ اس طرح، آپ اس بات کا یقین کر سکتے ہیں کہ آپ کا سافٹ ویئر بگ فری ہے اسی طرح آپ اس بات کا یقین کر سکتے ہیں کہ ہر نمبر کو پرائم نمبرز کی ضرب میں گلایا جا سکتا ہے۔ (نوٹ کریں کہ میں اس کی وضاحت نہیں کرتا کہ بگ کیا ہے۔ یہ ایک مسئلہ ثابت ہوگا، جیسا کہ ہم بعد میں دیکھیں گے۔)
رسمی طریقہ کی تکنیکیں طویل عرصے سے تنقیدی سافٹ ویئر کے لیے استعمال ہوتی رہی ہیں، لیکن وہ انتہائی کمپیوٹ اور کوشش کرنے والی تھیں اور اس لیے صرف سافٹ ویئر کے چھوٹے ٹکڑوں پر لاگو ہوتی ہیں، جیسے کہ چپ فرم ویئر کا ایک محدود حصہ یا تصدیقی پروٹوکول۔ حالیہ برسوں میں، اعلی درجے کی نظریہ provers کی طرح Z3 اور لنڈ نے اس ٹیکنالوجی کو بڑے تناظر میں لاگو کرنا ممکن بنایا ہے۔ اب رسمی طور پر تصدیق ہو چکی ہے۔ پروگرامنگ زبانوں, آپریٹنگ سسٹم، اور مرتب کرنے والے جو ان کی وضاحتوں کے مطابق کام کرنے کی 100% ضمانت ہے۔ ان ٹیکنالوجیز کو لاگو کرنے کے لیے اب بھی جدید مہارت اور ایک ٹن کمپیوٹنگ پاور دونوں کی ضرورت ہوتی ہے، جو انہیں زیادہ تر تنظیموں کے لیے ممنوعہ طور پر مہنگی بناتی ہے۔
بڑے کلاؤڈ فراہم کنندگان اعلی درجے کی حفاظت کی یقین دہانی تک پہنچنے کے لیے اپنے بنیادی اسٹیکوں کی باقاعدہ تصدیق کر رہے ہیں۔ ایمیزون اور مائیکروسافٹ ان کے پاس تحقیقی گروپس ہیں جو انجینئرنگ ٹیموں کے ساتھ کام کرتے ہیں تاکہ تصدیق کے رسمی طریقوں کو اہم انفراسٹرکچر میں شامل کیا جا سکے، جیسے اسٹوریج یا نیٹ ورکنگ۔ مثالیں شامل ہیں۔ AWS S3 اور EBS اور Azure Blockchain. لیکن واقعی دلچسپ حقیقت یہ ہے کہ گزشتہ چند سالوں میں، کلاؤڈ فراہم کرنے والے ہیں کرنے کی کوشش کر اجناس بنانا اپنے صارفین کو فروخت کرنے کے لیے باقاعدہ تصدیق۔
فیصلہ کن طور پر غلط کنفیگریشن کو حل کرنا؟
پچھلے سال، AWS نے دو خصوصیات جاری کیں جو ان مسائل کو حل کرنے کے لیے باضابطہ تصدیق کا فائدہ اٹھاتی ہیں جو ان کے صارفین کو طویل عرصے سے دوچار ہیں، یعنی نیٹ ورک اور شناخت اور رسائی کا انتظام (IAM) غلط کنفیگریشنs نیٹ ورک تک رسائی اور IAM کنفیگریشنز پیچیدہ ہیں، یہاں تک کہ ایک اکاؤنٹ کے لیے بھی، اور یہ پیچیدگی ایک بڑی تنظیم میں تقسیم شدہ فیصلہ سازی اور حکمرانی کے ساتھ بہت زیادہ بڑھ جاتی ہے۔ AWS اپنے صارفین کو آسان کنٹرول دے کر اس کا ازالہ کرتا ہے — جیسے کہ "S3 بالٹیوں کو انٹرنیٹ کے سامنے نہیں آنا چاہیے" یا "EC2 مثالوں پر انٹرنیٹ ٹریفک کو فائر وال سے گزرنا چاہیے" — اور ہر ممکنہ کنفیگریشن منظر نامے میں ان کو لاگو کرنے کی ضمانت دیتا ہے۔
AWS غلط کنفیگریشن کے مسئلے کو حل کرنے والا پہلا نہیں ہے، یہاں تک کہ AWS مخصوص مسائل جیسے کہ S3 بالٹیاں کھولیں۔. کلاؤڈ سیکیورٹی پوسچر مینجمنٹ (سی ایس پی ایم) وینڈرز ابھی کچھ عرصے سے اس مسئلے کو حل کر رہے ہیں، ورچوئل پورٹ چینل (VPC) کنفیگریشن اور IAM کے کرداروں کا تجزیہ کر رہے ہیں اور ایسے معاملات کی نشاندہی کر رہے ہیں جہاں مراعات بہت سست ہیں، حفاظتی خصوصیات کا صحیح استعمال نہیں کیا جاتا ہے، اور ڈیٹا کو بے نقاب کیا جا سکتا ہے۔ انٹرنیٹ پر. تو کیا نیا هے؟
ٹھیک ہے، یہ وہ جگہ ہے جہاں مطلق ضمانت آتی ہے۔ CSPM حل غلط کنفیگریشنز کی ایک معلوم بری یا معلوم اچھی فہرست بنا کر، کبھی کبھی آپ کے ماحول سے سیاق و سباق شامل کرکے، اور اس کے مطابق نتائج پیدا کرکے کام کرتا ہے۔ نیٹ ورک اور IAM تجزیہ کار ہر ممکنہ IAM یا نیٹ ورک کی درخواست کی جانچ کر کے کام کرتے ہیں اور اس بات کی ضمانت دیتے ہیں کہ وہ آپ کی تفصیلات کے مطابق ناپسندیدہ رسائی کے نتیجے میں نہیں ہوں گے (جیسے "انٹرنیٹ رسائی نہیں")۔ فرق جھوٹے منفی کے بارے میں ضمانتوں میں ہے۔
جب کہ AWS کا دعویٰ ہے کہ اس سے کوئی چیز چھوٹنے کا کوئی طریقہ نہیں ہے، CSPM وینڈرز کا کہنا ہے کہ وہ کیٹلاگ اور پتہ لگانے کے لیے ہمیشہ نئی غلط کنفیگریشنز کی تلاش میں رہتے ہیں، جو اس بات کا اعتراف ہے کہ انھوں نے پہلے ان غلط کنفیگریشنز کا پتہ نہیں لگایا تھا۔
رسمی تصدیق کی کچھ خامیاں
باضابطہ توثیق اچھی طرح سے طے شدہ مسائل، جیسے میموری سیکورٹی کے مسائل کو تلاش کرنے کے لیے بہت اچھا ہے۔ تاہم، منطقی کیڑے تلاش کرنے کی کوشش کرتے وقت چیزیں مشکل ہو جاتی ہیں کیونکہ ان کے لیے یہ بتانے کی ضرورت ہوتی ہے کہ کوڈ کو اصل میں کیا کرنا ہے، جو بالکل وہی ہے جو کوڈ خود کرتا ہے۔
ایک چیز کے لیے، رسمی تصدیق کے لیے اچھی طرح سے متعین اہداف کی وضاحت کی ضرورت ہوتی ہے۔ اگرچہ کچھ اہداف، جیسے انٹرنیٹ تک رسائی کو روکنا، کافی آسان لگتا ہے، حقیقت میں وہ نہیں ہیں۔ AWS IAM تجزیہ کار دستاویزات موجود ہیں۔ ایک مکمل سیکشن "عوامی" کا کیا مطلب ہے، اور یہ انتباہات سے بھرا ہوا ہے۔ اس کی فراہم کردہ گارنٹی صرف اتنی ہی اچھی ہیں جتنی کہ اس نے کوڈ کیے ہوئے ریاضیاتی دعوے ہیں۔
کوریج کا بھی سوال ہے۔ AWS تجزیہ کار صرف چند بڑی AWS خدمات کا احاطہ کرتے ہیں۔ اگر آپ اپنے نیٹ ورک میں ٹریفک کو آؤٹ باؤنڈ کنکشن چینل کے ذریعے روٹ کرتے ہیں، تو تجزیہ کار کو معلوم نہیں ہوگا۔ اگر کچھ سروس کو دو IAM رولز تک رسائی حاصل ہے اور وہ ان کو ایک خفیہ عوامی بالٹی سے پڑھنے اور عوامی کو لکھنے کے لیے یکجا کر سکتے ہیں، تو تجزیہ کار کو معلوم نہیں ہوگا۔ اس کے باوجود، غلط کنفیگریشن کے مسئلے کے کچھ اچھی طرح سے متعین ذیلی سیٹ پر، رسمی تصدیق پہلے سے کہیں زیادہ مضبوط ضمانتیں فراہم کرتی ہے۔
اوپر دیے گئے متعلقہ فائدہ کے سوال پر واپس جانا، فرق یہ ہے کہ IAM اور نیٹ ورک تجزیہ کار کا دعویٰ ہے کہ اس کے پائے جانے والے مسائل کی فہرست جامع ہے، جبکہ CSPM کا دعویٰ ہے کہ اس کی فہرست میں آج معلوم ہونے والی ہر غلط ترتیب کا احاطہ کیا گیا ہے۔ یہاں اہم سوال ہے: کیا آپ کو پرواہ کرنی چاہئے؟
کیا ہمیں مطلق ضمانتوں کا خیال رکھنا چاہئے؟
درج ذیل منظر نامے پر غور کریں۔ آپ CSPM کے مالک ہیں اور AWS نیٹ ورک اور IAM تجزیہ کار کو دیکھیں۔ دونوں کے نتائج کا موازنہ کرتے ہوئے، آپ کو احساس ہوگا کہ انہوں نے بالکل وہی مسائل کی نشاندہی کی ہے۔ کچھ کوشش کے بعد، آپ اس فہرست میں موجود ہر ایک مسئلہ کو حل کر دیتے ہیں۔ صرف اپنے CSPM پر بھروسہ کرتے ہوئے، آپ محسوس کریں گے کہ آپ اب ایک اچھی جگہ پر ہیں اور سیکیورٹی کے وسائل کو کہیں اور وقف کر سکتے ہیں۔ مرکب میں AWS تجزیہ کاروں کو شامل کرنے سے، اب آپ جانتے ہیں — AWS گارنٹی کے ساتھ — کہ آپ اچھی جگہ پر ہیں۔ کیا یہ وہی نتائج ہیں؟
یہاں تک کہ اگر ہم رسمی تصدیق کے انتباہ کو نظر انداز کرتے ہیں اور یہ فرض کرتے ہیں کہ یہ 100% مسائل کو پکڑتا ہے، CSPM جیسی پتہ لگانے پر مبنی خدمات کے فوائد کی پیمائش ہر انفرادی تنظیم کے لیے ایک مشق ہو گی جس کی اپنی حفاظتی خطرے کی بھوک ہے۔ کچھ کو یہ مطلق ضمانتیں گراؤنڈ بریکنگ لگیں گی، جبکہ دوسرے شاید موجودہ کنٹرولز پر قائم رہیں گے۔
یہ سوالات CSPM کے لیے منفرد نہیں ہیں۔ SAST/DAST/IAST ویب ایپلیکیشن سیکیورٹی ٹیسٹنگ ٹولز اور باضابطہ طور پر تصدیق شدہ سافٹ ویئر کے لیے بھی یہی موازنہ کیا جا سکتا ہے، ایک مثال کے طور پر۔
انفرادی تنظیمی انتخاب سے قطع نظر، اس نئی ٹکنالوجی کا ایک دلچسپ ضمنی اثر سیکیورٹی سلوشنز کی غلط منفی شرحوں کی پیمائش شروع کرنے، دکانداروں کو بہتر ہونے پر مجبور کرنے اور انہیں واضح ثبوت فراہم کرنے کا ایک آزاد طریقہ ہوگا جہاں انہیں بہتر کرنے کی ضرورت ہے۔ یہ سائبرسیکیوریٹی انڈسٹری میں اپنے آپ میں ایک زبردست شراکت ہے۔
