رایانش ابری به عنوان یکی از اجزای حیاتی فناوری امروزی ظاهر شده است و به عنوان ستون فقرات اتصال جهانی عمل می کند. کسبوکارها، دولتها و افراد را قادر میسازد تا از خدمات مبتنی بر ابر استفاده کرده و بسازند و پایه و اساس طیف وسیعی از سیستمهایی را که ما هر روز استفاده میکنیم، از جمله خدمات مخابراتی، حملونقل، مراقبتهای بهداشتی، بانکی و حتی سرویسهای پخش را تشکیل میدهد.
چنین سیستمهایی مانند هر سختافزار یا نرمافزاری در برابر شکست و حملات سایبری که ممکن است بهطور غیرمنتظرهای رخ دهد آسیبپذیر هستند. مجرمان سایبری مصمم تر می شوند و حملات آنها پیچیده تر و مکرر می شود. از جمله تاکتیکهایی که این گروهها اغلب استفاده میکنند، حملات انکار سرویس توزیع شده (DDoS) است که سیستمهای شرکتها را با درخواستها و ترافیک بیشتری نسبت به سیستمهای فناوری اطلاعات آنها سرازیر میکند.
این امر کاربران قانونی را از سرویس حذف می کند و باعث ایجاد دردسرهای بزرگ برای مشاغل، از جمله از دست دادن درآمد و کاهش وفاداری مشتری می شود. این مشکل میتواند برای شرکتهایی مانند گوگل و آمازون که خدمات رایانش ابری را برای میزبانی دادهها، سیستمها و خدمات مصرفکنندگان ارائه میکنند، مشکلات بزرگی ایجاد کند.
در مطالعه اخیر خود، از چندین استراتژی برای نشان دادن اینکه چگونه سیستمهای رایانش ابری واقعاً میتوانند توسط تنشها تقویت شوند، استفاده کردیم. ما از معماری به اصطلاح آشفته و استراتژی های تطبیقی استفاده کردیم که به سیستم کمک می کند از خطاها و حملات سایبری درس بگیرد.
شرکت امنیت محاسبات ابری Cloudflare در آخرین تحلیل فصلی خود از تهدیدات امنیت سایبری، افزایش 65 درصدی حملات DDoS در سه ماهه سوم سال 2023 را نسبت به سه ماهه قبل گزارش داد. بر اساس گزارش سه ماهه دوم سال 2024 Cloudflare، چهار میلیون حمله DDoS وجود داشته است.
علاوه بر DDoS و سایر حملات عمدی، شرکتهایی که از نرمافزار مبتنی بر ابر استفاده میکنند نیز در برابر قطع خدمات ناشی از مشکلاتی از مشکلات اتصال گرفته تا خرابیهای فیزیکی سرور آسیبپذیر هستند – که برخی از آنها ممکن است ناشی از حملات سایبری نیز باشد. گاهی اوقات، حتی یک مشکل ساده، مانند یک اشتباه تایپی، می تواند وب سایت های مبتنی بر ابر را خراب کند.
در 19 ژوئیه، نقص در سنسور فالکون CrowdStrike باعث شد تا دستگاه های میزبان ویندوز متصل به سیستم محاسبات ابری Microsoft Azure از کار بیفتند و باعث قطعی جهانی فناوری اطلاعات در سراسر جهان شد.
سنسور فالکون که برای جلوگیری از حملات سایبری طراحی شده است، تحت تأثیر یک حمله سایبری قرار نگرفت. این قطعی به دلیل مشکل فنی در یکی از به روز رسانی ها رخ داده است. در 31 ژوئیه، یک اشکال در سیستم دفاعی DDoS مایکروسافت باعث قطعی هشت ساعته در Azure شد.
شکنندگی را تخریب کنید
حل چنین قطعی های بزرگی به دلیل پیچیدگی ابر و وابستگی آن به سیستم های دیگر – از جمله امنیت سایبری – چالش های مهمی را به همراه دارد. رفع قابل اعتماد در برخی موارد مانند CrowdStrike می تواند از ساعت ها تا چند روز یا حتی بیشتر طول بکشد.
چنین حوادثی شکنندگی زیرساخت های فناوری به طور کلی، به ویژه سیستم های مبتنی بر ابر را برجسته می کند. راه حل ها در حال حاضر به جای پرداختن به مشکلات ریشه ای با ایجاد سیستم های ابری قابل اعتمادتر و انعطاف پذیرتر، بر مدیریت تأثیرات این حوادث تمرکز دارند. برای جلوگیری از خرابی، یک گام مهم، ترکیب تست نرم افزار پیشرفته به عنوان یک استاندارد برای ارزیابی انعطاف پذیری و قابلیت اطمینان آن در شرایط استرس است.
در تحقیقات خود، ما به مصرفکنندگان رایانش ابری کمک میکنیم تا با انجام این کار در برابر این تهدیدات مقاومت کنند، و رایانش ابری را بهتر میتوان در برابر حملات و قطعیهای مهم مقاومت کرد و به کار خود ادامه داد. اپراتورهای سیستم رایانش ابری نیز باید برای قویتر کردن آنها با حوادث گذشته سازگار شوند و از آنها درس بگیرند.
ما از تکنیکی به نام مهندسی آشوب – حمله عمدی و آزمایش با نرم افزارهای مبتنی بر ابر – استفاده کردیم تا ببینیم سیستم چگونه به چنین حملاتی پاسخ می دهد.
یکی از جدیدترین مقالات ما نشان داد که میتوانیم از این تکنیک برای پیشبینی دقیقتر نحوه واکنش یک سیستم به یک حمله استفاده کنیم. مهندسی آشوب شامل وارد کردن عمدی خطاها به یک سیستم و سپس اندازهگیری نتایج است. این فناوری به شناسایی و رفع ضعفها و شکافهای احتمالی در طراحی، معماری و شیوههای عملیاتی سیستم کمک میکند.
روشها میتوانند شامل خاموش کردن یک سرویس، تزریق تاخیر (تأخیر زمانی در نحوه پاسخگویی سیستم به یک فرمان) و خطاها، شبیهسازی حملات سایبری، پایان دادن به فرآیندها یا وظایف، یا شبیهسازی تغییر در محیطی که سیستم در آن کار میکند و در راه آن را با آن پیکربندی کنید.
در آزمایشهای اخیر، ما خطاها را به سیستمهای مبتنی بر ابر زنده معرفی میکنیم تا بفهمیم چگونه تحت سناریوهای استرسزا، مانند حملات یا خطاها رفتار میکنند. با افزایش تدریجی شدت این “تزریق خطا”، ما حداکثر نقطه تنش سیستم را شناسایی کردیم.
بررسی ما کاهش عملکرد و در دسترس بودن خدمات را در نتیجه نشان داد. بنابراین این آزمایشهای مهندسی آشوب مشکلاتی را آشکار کردند که اندازهگیریهای عملکرد سنتی نمیتوانستند.
درس گرفتن از هرج و مرج
مهندسی آشوب ابزاری عالی برای بهبود عملکرد سیستم های نرم افزاری است. اما برای دستیابی به آنچه «ضد شکنندگی» مینامیم – سیستمهایی که میتوانند تحت استرس و هرج و مرج قویتر شوند تا ضعیفتر شوند – باید آزمایش آشوب را با ابزارهای دیگری ترکیب کنیم که سیستمها را برای قویتر شدن در برابر حمله تغییر میدهند.
در جدیدترین کارمان، یک چارچوب تطبیقی برای انجام این کار ارائه کردیم. این چارچوب که ما آن را Unfragile نامیدهایم، از مهندسی آشوب برای معرفی تدریجی حالتهای خرابی و ارزیابی پاسخ سیستم تحت این تنشها استفاده میکند.
سپس استراتژیهای قابل انطباق جدیدی را برای از بین بردن آسیبپذیریهای کشف شده از طریق مهندسی آشوب ارائه میکنیم. این می تواند شامل تغییر کد منبع خود برنامه برای بهبود عملکرد آن باشد. با ارائه معیارهای بلادرنگ در مورد عملکرد سیستم، سیستم می تواند تطبیق پذیر شود، به طوری که مشکلات احتمالی زود تشخیص داده شده و حل شوند.
با ترکیب مهندسی آشوب با استراتژیهای تطبیقی برای هشدار دادن به اپراتورها در مورد آسیبپذیریها در زمان واقعی، بهمنظور رفع آنها، میتوانیم به سیستمهای ابری نه تنها نحوه مقاومت در برابر استرسها، بلکه قویتر شدن از آنها را نیز آموزش دهیم.
این تضمین میکند که زیرساخت دیجیتال حیاتی ما قویتر، قابل اعتمادتر و قادر به یادگیری از هرج و مرج برای مقابله بهتر با چالشهای آینده میشود.
ارسال شده توسط The Conversation
این مقاله از The Conversation تحت مجوز Creative Commons بازنشر شده است. مقاله اصلی را بخوانید.
شهادتاستفاده از «مهندسی آشوب» برای آسیبپذیری کمتر محاسبات ابری در برابر حملات سایبری (2024، 26 اوت) در 27 اوت 2024 از https://techxplore.com/news/2024-08-chaos-cloud-vulnerable-cyber بازیابی شده است. html
این سند مشمول حق چاپ است. علیرغم هرگونه معامله منصفانه به منظور مطالعه یا تحقیق خصوصی، هیچ بخشی از آن بدون اجازه کتبی قابل تکثیر نیست. محتوا فقط برای مقاصد اطلاعاتی ارائه شده است.