مقابلات

جيف ويليامز، مؤسس OWASP ومؤسس ومدير تقني في Contrast Security – سلسلة المقابلات

mm
Published

جيف ويليامز، مؤسس OWASP ومؤسس ومدير تقني في Contrast Security، يُعتبر واحدًا من أكثر الشخصيات المؤثرة في أمن التطبيقات الحديث. على مدار العقود القليلة الماضية، ساعد في تحديد كيفية подход المنظمات لتطوير البرمجيات الآمنة وإدارة الضعف وحماية التطبيقات في وقت التشغيل. لعب ويليامز دورًا مركزيًا في بناء OWASP من مبادرة تطوعية صغيرة إلى مؤسسة أمنية غير ربحية معترف بها على مستوى العالم، وساهم في مشاريع بارزة مثل OWASP Top Ten و WebGoat و ESAPI و ASVS و XSS Prevention Cheat Sheet. قبل تأسيس Contrast Security في عام 2014، أسس أيضًا Aspect Security، واحدة من أوائل الشركات التي专صت في استشارات أمن التطبيقات وبرامج التدريب واختبار الاختراق وعمليات التطوير الآمنة للمنظمات الكبيرة.

OWASP هي مؤسسة غير ربحية تركز على تحسين أمن البرمجيات من خلال مشاريع مفتوحة المصدر وتنسيق المجتمع العالمي والتعليم والمعايير الصناعية. تأسست في عام 2001، أصبحت المنظمة واحدة من السلطات الأكثر أهمية في أمن التطبيقات، مع مئات الفصول المحلية وألوف المساهمين والموارد المعتمدة على نطاق واسع التي يستخدمها المطورون ومحترفو الأمن والمنظمات الحكومية حول العالم. يُعرف OWASP بأفضل مشاريعه، مثل OWASP Top Ten، الذي يحدد المخاطر الأمنية الأكثر حرجة لتطبيقات الويب، إلى جانب إطارات أمنية عديدة وأدوات اختبار ومشاريع وثائقية وبرامج تدريبية. تعمل المنظمة بفلسفة محايدة للبائع، مما يجعل مواردها التعليمية وتوجيهات الأمن متاحة بحرية للمجتمع التكنولوجي العالمي.

Contrast Security هي شركة أمن تطبيقات تركز على حماية البرمجيات من داخل التطبيق نفسه أثناء تشغيله، بدلاً من الاعتماد فقط على أدوات الفحص الخارجية. تستخدم منصة الشركة تقنية仪器 التشغيل في الوقت الفعلي لتوفير رؤية حقيقية للضعف والهجمات والواجهات البرمجية للنظام والاعتماديات مفتوحة المصدر وسلوك التطبيق عبر بيئات التطوير والإنتاج. تشمل عروضها مجالات مثل اختبار الأمان التفاعلي للتطبيقات (IAST) واستجابة اكتشاف التطبيقات (ADR) وحماية التطبيقات ذاتية الحماية في وقت التشغيل (RASP) وتحليل تركيبة البرمجيات. وضعت Contrast Security نفسها حول دمج الأمان مباشرة في عمليات DevSecOps الحديثة، مما يسمح للمطورين وفرق أمان التطبيقات وفرق عمليات الأمان بتحديد وتحسين الضعف بسرعة مع الحفاظ على دورات تسليم البرمجيات السريعة.

بعد مساهمتك في تشكيل أمن التطبيقات الحديث من خلال عملك في مشروع OWASP مفتوح المصدر، ما هو الفراغ في الصناعة الذي أدى إلى تأسيس Contrast Security، وكيف استمرت الأطروحة الأصلية مع تطور التحديات الأمنية؟

كانت الصناعة تغرق في النتائج النظرية الساكنة وไม تستطيع التركيز على القضايا التي تهم حقًا. كانت فرق الأمان تنتج كميات هائلة من النتائج دون معرفة أي من الضعف يمكن الوصول إليه أو استغلاله أو الهجوم عليه في الإنتاج. أسسنا Contrast على فكرة بسيطة: يجب أن تأتي قرارات الأمان من ملاحظة التطبيقات الفعلية التي تعمل، وليس من خلال التخمين من الخارج.

في النهاية، آمل أن تتطور الصناعة إلى النقطة التي نتمكن فيها من الخروج من عجلة الفأر لfinding مشاكل وتصحيحها وfinding المزيد للأبد. آمل أن نبدأ في إنشاء برمجيات ذات بنية أمنية قوية وحجج حقيقية لها الدفاعات المناسبة للتهديدات المتوقعة. يمتلك الجمع بين أمان التشغيل والذكاء الاصطناعي الإمكانات، ولكننا بعيدون عن ذلك بعد سنوات.

لقد وصفتم ظهور “الضعف الأسطوري”. ما يعرف هذا الفئة الجديدة من المخاطر، ولماذا يصعب على أدوات الأمان التقليدية كشفها؟

الضعف الأسطوري هو عيوب تنشأ من تعقيد برامج البرمجيات الحديثة. التفاعل بين سلوك الإطار والاعتماديات والأنماط المعمارية معقد للغاية، وغالبًا ما لا يفهمه المطورون تمامًا. لا تزال الأدوات التقليدية مُحسّنة لنمط بسيط معروف وأحداث يمكن ملاحظتها. الضعف الأسطوري غالبًا ما يتطلب فهمًا لسلوك التطبيق وflux التنفيذ وسياق التشغيل على مستوى أعمق.

لماذا تفشل فئات كاملة من الضعف في إنتاج تنبيهات في بيئات مركز العمليات الأمنية الحديثة، وماذا يكشف ذلك عن كيفية قيام فرق الأمان بقياس المخاطر حاليًا؟

معظم مراكز العمليات الأمنية مبنية حول الأحداث القابلة للملاحظة: سجلات، توقيعات، حركة مرور الشبكة، نشاط النقاط النهائية. لكن العديد من الهجمات على层 التطبيق لا تنتج إشارات ذات معنى في هذه الأنظمة. لم يكن المطور على دراية بوجود خلل ولم يضف أي سجلات لتكشف عن استغلال. لذلك تكون معظم استغلالات التطبيقات غير مرئية في السجلات. لا يمكن لفرق مركز العمليات الأمنية الاستجابة إلا لما يمكنهم رؤيته. لذلك، مع أهمية زيادة层 التطبيق وواجهة برمجة التطبيقات، من الحرج أن نضمن仪器 هذه الطبقة بأجهزة أمنية يمكنها كشف السلوك الشاذ وتقديم تقارير عنه.

كيف يمكن لفرق الأمان إعادة التفكير في اعتمادها على السجلات والتنبيهات عندما لا تترك بعض الضعف الأكثر حرجة أي إشارات قابلة للملاحظة؟

السجلات هي أدلة على ما تختاره التطبيقات للإبلاغ عنه، وليس بالضرورة دليل على ما حدث بالفعل. هذه ملاحظة خطيرة. تحتاج المنظمات إلى التحول من الملاحظة غير المباشرة إلى الملاحظة المباشرة. بدلاً من الأمل في أن يخلق استغلال تطبيقًا يمكن كشفه، يجب أن تحدد أنظمة الأمان السلوك الضعيف وسلوك الاستغلال في وقت التشغيل. إذا تم تنفيذ رمز خطير، يجب أن تعرف النظام على الفور – سواء كان هناك إدخال سجل أم لا.

لقد ناصت إلى الرؤية في وقت التشغيل كحلاً. ما هي الرؤية الحقيقية في وقت التشغيل في الممارسة، وكيف تغير ذلك طريقة عمل فرق الأمان يوميًا؟

الرؤية الحقيقية في وقت التشغيل تعني فهم ما يفعله التطبيق فعلاً في الإنتاج: ما المسارات المعرضة، ما المكتبات النشطة، إلى أين تتدفق البيانات الحساسة، ما هو الرمز الذي تم تنفيذه، وهل وصل الهجوم إلى الوظائف الضعيفة. من الناحية التشغيلية، تغير الأمان من تمرين صيد تفاعلي إلى انضباط دقيق. تتوقف الفرق عن ملاحقة كميات هائلة من الضعف وت开始 التركيز على النسبة الصغيرة من التهديدات التي يمكن الوصول إليها والحرجة والهجوم عليها بشكل فعال. ذلك يحسن بشكل كبير نسبة الإشارة إلى الضوضاء وسرعة الاستجابة. في المتوسط، فقط 38% من مكتبات المصدر المفتوح المضمنة في التطبيق يتم تحميلها إلى الذاكرة والتنفيذ. لذلك، شيء بسيط واحد يسمح به أمان التشغيل هو التركيز على الرمز الذي يتم تنفيذه فعلاً، وليس جميع المكتبات والوظائف غير المستخدمة التي ت伴ي التطبيق.

كيف يمكن لمديري مركز العمليات الأمنية الحديثة اتخاذ الخطوات الملموسة الأولى لإغلاق فجوة الرؤية قبل أن تؤدي إلى انتهاك كبير؟

أولاً، قبول أن تيلومتري الطرفية وحدها غير كافٍ لأمن التطبيقات الحديث. في الواقع، من المستحيل رؤية أو وقف العديد من هجمات التطبيقات وواجهة برمجة التطبيقات في الطرفية. يحتاج مركز العمليات الأمنية إلى رؤية داخل التطبيقات التي تعمل، وليس فقط البنية التحتية التي تستضيفها. ثانيًا، أعد تقديم الأولوية إلى الأدلة في وقت التشغيل على النتائج النظرية. ركز على الضعف في الكود النشط، تحديد مسارات الهجوم النشطة، والخدمات المعرضة التي يتم تنفيذها في الإنتاج. أخيرًا، أدمج أمن التطبيقات وتحليل الكشف. لا يمكن لمستقبل مركز العمليات الأمنية معاملة التطبيقات على أنها صناديق سوداء غير شفافة بعد الآن. التطبيقات هي الآن السطح الرئيسي للهجوم، ويتطلبون رؤية من الدرجة الأولى في وقت التشغيل.

شكرًا على المقابلة العظيمة، يرغب القراء في التعلم المزيد في زيارة OWASP أو Contrast Security.

mm

أنطوان هو قائد رؤى ومؤسس شريك في Unite.AI، مدفوعًا بشغف لا يتزعزع لتشكيل وتعزيز مستقبل الذكاء الاصطناعي والروبوتات. رجل أعمال متسلسل، يعتقد أن الذكاء الاصطناعي سيكون مدمرًا للمجتمع مثل الكهرباء، وغالبًا ما يُقبض عليه وهو يثرثر عن إمكانات التكنولوجيات المدمرة و AGI.

كما أنه مستقبلي، فهو مخصص لاستكشاف كيف سيشكل هذه الابتكارات العالم. بالإضافة إلى ذلك، فهو مؤسس Securities.io، وهي منصة تركز على الاستثمار في التكنولوجيات المتقدمة التي تعيد تعريف المستقبل وتهيئ القطاعات بأكملها.