لقد مر أكثر من شهر على إعلان Elon Musk عن نيته في فتح المصدر لخوارزمية Twitter لزيادة شفافية استخدام النظام الأساسي للذكاء الاصطناعي (AI) artificial intelligence والتعلم الآلي (ML) machine learning للترويج للمشاركات أو خفض رتبتها.
أثار القرار نقاشًا حيويًا من جميع الجوانب، وكذلك في صناعة الأمن، حيث انقسم الخبراء حول ما إذا كانت الخوارزمية مفتوحة المصدر ستكون إيجابية صافية للأمان أم لا.
يمكن لفكرة ماسك في استخدام Twitter مفتوح المصدر أن تسلط الضوء على نقاط الضعف على مستوى Log4Shell و Spring4Shell على الموقع، وفقًا للنقاد. ومع ذلك، بالنسبة للداعمين، يمكن للقرار أن يعزز أمان النظام الأساسي.
السيئ: قد تتاح الفرصة للمهاجمين للعثور على نقاط الدخول
أحد أكبر المخاطر الأمنية لجعل الكود مفتوح المصدر هو أنه يوفر للجهات الفاعلة في التهديد فرصة لتحليلها بحثًا عن نقاط الضعف الأمنية.
"فتح خوارزميات توصيات تويتر سيف ذو حدين. قال مايك باركين Mike Parkin كبير المهندسين التقنيين في شركة فولكان سايبر Vulcan Cyber، في حين أن المزيد من الانتباه إلى الكود يمكن أن يعزز مستوى الأمان بشكل أفضل، فإنه يترك الباب مفتوحًا للباحثين الخبثاء لاكتساب رؤى لن تكون لديهم في العادة.
بصفته متخصصًا في إدارة المخاطر الإلكترونية، يقترح باركين أن فتح خوارزمية التوصية يمكن أن يمكّن "المعلومات المضللة" من الانتشار على المنصة بشكل أكبر حيث تتعلم الأطراف المهتمة التلاعب بها وتجنب ضوابط وتوازنات المشرف - مع منح المستخدمين إصدارات متعددة من النظام الأساسي للتصحيح.
الخير: زيادة الشفافية لتقليل نقاط الضعف
على الجانب الآخر من النقاش، يوصي محللون وخبراء أمنيون آخرون بأن زيادة الشفافية على النظام الأساسي أمر إيجابي، لأنه يتيح لقاعدة مستخدمي النظام الأساسي فرصة للعب دور في إدارة الثغرات الأمنية.
بدلاً من أن يكون لدى Twitter فريق صغير من الباحثين يديرون نقاط الضعف، فإن فتح الشفرة يمكن أن يوفر لهم الدعم من آلاف المستخدمين، الذين يمكنهم المساعدة في تحسين أمان النظام الأساسي وسلامته.
"عند اكتشاف نقاط الضعف في البرامج، يكون الوصول إلى شفرة المصدر مشابهًا لعامل الوصول إلى MRA عند تشخيص المرض. قال Casey Ellis، مؤسس ورئيس قسم التكنولوجيا في Bugcrowd، إن النظرة "من الداخل إلى الخارج" ستكون دائمًا أكثر إفادة واكتمالًا من تلك التي يتم تشكيلها من خلال النظر من الخارج إلى الداخل. "نرى هذا طوال الوقت في اختبار الأمان الجماعي، وستكون الميزة الأمنية لتويتر هي ردود الفعل الأكثر شمولاً من الجمهور حول المشكلات التي يجب إصلاحها."
يضيف Ellis أنه على الرغم من أنه يوفر للمهاجمين فرصة لتحديد نقاط الضعف، فإن ما إذا كانت الآثار الأمنية إيجابية أو سلبية ستنخفض إلى قدرة Twitter على استثمار معلومات الثغرات الأمنية وإصلاح العيوب قبل استغلالها.
كيف يمكن للمؤسسات المساعدة في التخفيف من المخاطر
في حين أنه لا يزال من غير الواضح ما هو تأثير المصادر المفتوحة للخوارزمية، إلا أن هناك بعض الخطوات البسيطة التي يمكن للمؤسسات اتخاذها للمساعدة في التخفيف من المخاطر.
يعتقد تيم ماكي، الخبير الاستراتيجي الأمني الرئيسي في Synopsys Software Integrity Group، أن برنامج حوكمة مفتوح المصدر يمكن أن يساعد في معالجة المخاطر بشكل فعال.
قال ماكي: "يمكن للشركات التخفيف من بعض هذه المخاطر من خلال تحديد مكونات المصدر المفتوح التي تدعم تقنيات تويتر مفتوحة المصدر، ثم تنفيذ برنامج حوكمة مفتوح المصدر لهم". سيراقب مثل هذا البرنامج بشكل استباقي عمليات الكشف عن نقاط الضعف الجديدة لهذه المكونات، ويمكّن الأعمال من الاستجابة بسرعة للتغيير في المخاطر. هذا مشابه للنموذج الاستباقي الذي استخدمته بعض الشركات لتقليل تعرضها لثغرة Log4Shell".
يوصي ماكي بأن تقوم المؤسسات بتنفيذ برنامج حوكمة مفتوح المصدر للمكونات مفتوحة المصدر التي تدعم تقنيات تويتر، من أجل المراقبة الاستباقية للكشف عن الثغرات الأمنية الجديدة بحيث تكون فرق الأمان على استعداد لمعالجتها.
أثار القرار نقاشًا حيويًا من جميع الجوانب، وكذلك في صناعة الأمن، حيث انقسم الخبراء حول ما إذا كانت الخوارزمية مفتوحة المصدر ستكون إيجابية صافية للأمان أم لا.
يمكن لفكرة ماسك في استخدام Twitter مفتوح المصدر أن تسلط الضوء على نقاط الضعف على مستوى Log4Shell و Spring4Shell على الموقع، وفقًا للنقاد. ومع ذلك، بالنسبة للداعمين، يمكن للقرار أن يعزز أمان النظام الأساسي.
السيئ: قد تتاح الفرصة للمهاجمين للعثور على نقاط الدخول
أحد أكبر المخاطر الأمنية لجعل الكود مفتوح المصدر هو أنه يوفر للجهات الفاعلة في التهديد فرصة لتحليلها بحثًا عن نقاط الضعف الأمنية.
"فتح خوارزميات توصيات تويتر سيف ذو حدين. قال مايك باركين Mike Parkin كبير المهندسين التقنيين في شركة فولكان سايبر Vulcan Cyber، في حين أن المزيد من الانتباه إلى الكود يمكن أن يعزز مستوى الأمان بشكل أفضل، فإنه يترك الباب مفتوحًا للباحثين الخبثاء لاكتساب رؤى لن تكون لديهم في العادة.
بصفته متخصصًا في إدارة المخاطر الإلكترونية، يقترح باركين أن فتح خوارزمية التوصية يمكن أن يمكّن "المعلومات المضللة" من الانتشار على المنصة بشكل أكبر حيث تتعلم الأطراف المهتمة التلاعب بها وتجنب ضوابط وتوازنات المشرف - مع منح المستخدمين إصدارات متعددة من النظام الأساسي للتصحيح.
الخير: زيادة الشفافية لتقليل نقاط الضعف
على الجانب الآخر من النقاش، يوصي محللون وخبراء أمنيون آخرون بأن زيادة الشفافية على النظام الأساسي أمر إيجابي، لأنه يتيح لقاعدة مستخدمي النظام الأساسي فرصة للعب دور في إدارة الثغرات الأمنية.
بدلاً من أن يكون لدى Twitter فريق صغير من الباحثين يديرون نقاط الضعف، فإن فتح الشفرة يمكن أن يوفر لهم الدعم من آلاف المستخدمين، الذين يمكنهم المساعدة في تحسين أمان النظام الأساسي وسلامته.
"عند اكتشاف نقاط الضعف في البرامج، يكون الوصول إلى شفرة المصدر مشابهًا لعامل الوصول إلى MRA عند تشخيص المرض. قال Casey Ellis، مؤسس ورئيس قسم التكنولوجيا في Bugcrowd، إن النظرة "من الداخل إلى الخارج" ستكون دائمًا أكثر إفادة واكتمالًا من تلك التي يتم تشكيلها من خلال النظر من الخارج إلى الداخل. "نرى هذا طوال الوقت في اختبار الأمان الجماعي، وستكون الميزة الأمنية لتويتر هي ردود الفعل الأكثر شمولاً من الجمهور حول المشكلات التي يجب إصلاحها."
يضيف Ellis أنه على الرغم من أنه يوفر للمهاجمين فرصة لتحديد نقاط الضعف، فإن ما إذا كانت الآثار الأمنية إيجابية أو سلبية ستنخفض إلى قدرة Twitter على استثمار معلومات الثغرات الأمنية وإصلاح العيوب قبل استغلالها.
كيف يمكن للمؤسسات المساعدة في التخفيف من المخاطر
في حين أنه لا يزال من غير الواضح ما هو تأثير المصادر المفتوحة للخوارزمية، إلا أن هناك بعض الخطوات البسيطة التي يمكن للمؤسسات اتخاذها للمساعدة في التخفيف من المخاطر.
يعتقد تيم ماكي، الخبير الاستراتيجي الأمني الرئيسي في Synopsys Software Integrity Group، أن برنامج حوكمة مفتوح المصدر يمكن أن يساعد في معالجة المخاطر بشكل فعال.
قال ماكي: "يمكن للشركات التخفيف من بعض هذه المخاطر من خلال تحديد مكونات المصدر المفتوح التي تدعم تقنيات تويتر مفتوحة المصدر، ثم تنفيذ برنامج حوكمة مفتوح المصدر لهم". سيراقب مثل هذا البرنامج بشكل استباقي عمليات الكشف عن نقاط الضعف الجديدة لهذه المكونات، ويمكّن الأعمال من الاستجابة بسرعة للتغيير في المخاطر. هذا مشابه للنموذج الاستباقي الذي استخدمته بعض الشركات لتقليل تعرضها لثغرة Log4Shell".
يوصي ماكي بأن تقوم المؤسسات بتنفيذ برنامج حوكمة مفتوح المصدر للمكونات مفتوحة المصدر التي تدعم تقنيات تويتر، من أجل المراقبة الاستباقية للكشف عن الثغرات الأمنية الجديدة بحيث تكون فرق الأمان على استعداد لمعالجتها.