وضعیت امنیت Zero-Trust چیست؟

فضای API همیشه بر امنیت به‌عنوان یک ستون طراحی و توسعه تمرکز داشته است. APIها با داده‌ها سروکار دارند — و این داده‌ها نمایانگر پایه وسیعی از کاربران هستند که انتظار دارند داده‌ها به‌طور ایمن محافظت شده و با احترام رفتار شود. برای اطمینان از اینکه این داده‌ها تا حد امکان امن هستند، بسیاری از ارائه‌دهندگان به مفهوم Zero Trust به‌عنوان راه آینده نگاه کرده‌اند.

با این حال، در سال ۲۰۲۵، تکامل هوش مصنوعی به‌سرعت بازی را تغییر داده است. در حالی که Zero Trust همیشه به‌عنوان چیزی ارزشمند دیده می‌شد — روشی برای نگاه به امنیت در بهترین شکل آن — ظهور هوش مصنوعی و بردارهای حمله پیچیده مبتنی بر آن نیازمند تغییر سریع ذهنیت بوده است. Zero Trust دیگر یک گزینه اختیاری نیست بلکه یک ملاحظه حیاتی است.

امروز، قصد داریم واقعیت امنیت در حوزه API و تأثیر هوش مصنوعی بر کاربران و ارائه‌دهندگان در سراسر جهان را بررسی کنیم. ما بردارهای تهدید جدید و در حال ظهور را بررسی کرده و نحوه کاهش آن‌ها توسط Zero Trust را توضیح می‌دهیم. همچنین نمونه‌های مشخصی از پیاده‌سازی Zero Trust را بررسی می‌کنیم تا ارزیابی کنیم آیا موفق بوده‌اند یا خیر.

وضعیت امنیت (The State of Security)

برای ایجاد زمینه و درک اهمیت این موضوع، باید وضعیت هوش مصنوعی در زمینه امنیت API را بررسی کنیم.

در روزهای اولیه APIها، اطمینان از امنیت نسبتاً ساده بود. در بسیاری از موارد، کاربران علاقه‌مند به استفاده از سرورهای از راه دور به سبک Mainframe محدود به یک سازمان خاص بودند، بنابراین امنیت نسبتاً ساده بود. با عمومی‌تر شدن APIها و ارائه خدمات عمومی، این وضعیت تغییر کرد و نیازمند ارائه خدمات پیچیده‌تر، رویکردهای امنیتی و مدل‌های تعریف کاربر شد.

با گذر زمان، ماهیت اعتماد مورد پرسش قرار گرفت — اعتماد به یک کاربر چه معنایی دارد و آیا واقعاً لازم است سطوح اعتماد را تعریف کنیم؟

ظهور Zero-Trust

نتیجه این بحث‌ها این بود که مدل‌های اعتماد سنتی — عمدتاً مبتنی بر دفاع پیرامونی مانند فایروال‌ها — به‌طور فعال مورد پرسش قرار گرفتند. یک مدل جدید شکل گرفت: معماری Zero Trust.

Zero Trust در مفهوم ساده است — هرگز اعتماد نکن، همیشه تأیید کن. با فرض اینکه تهدیدها هم داخل و هم خارج شبکه سازمان یا ساختار کد API وجود دارند، هیچ موجودیتی اجازه‌ای ندارد — همه چیز باید اعتبارسنجی و تأیید شود. برخی این را یک اقدام افراطی می‌دانستند. به‌هرحال، پذیرش اعتماد مطلق صفر به معنای تأیید صریح، محدود کردن امتیازات و نظارت مداوم است.

با گذر زمان، حملات API پیچیده‌تر و شدیدتر شدند. در اوایل دهه ۲۰۰۰، حملات همیشه پیشرفته نبودند — در حالی که حملات DDoS و دیگر حملات Flood رایج بودند، حملات پیچیده‌تر مانند افزایش امتیاز دسترسی یا تهدیدات چند برداری کمتر رخ می‌داد. وقتی این حملات اتفاق می‌افتاد، اغلب توسط دولت‌ها یا سازمان‌هایی که هدف خاصی داشتند انجام می‌شد، بنابراین نسبتاً نادر بود.

به عبارت دیگر، اگر شما در سال ۲۰۰۴ هکر بودید، حمله به یک سازمان بزرگ بسیار پرهزینه بود و اغلب بهتر بود به سراغ جرائم فرصت‌طلبانه یا حملات ساده DDoS بروید.

هرج و مرج مقرون‌به‌صرفه (Cost-Efficient Chaos)

این وضعیت به‌طور چشمگیری تغییر کرد. در اواخر دهه ۲۰۰۰ و اوایل دهه ۲۰۱۰، روند نگران‌کننده‌ای ظاهر شد — مهاجمان کارآمدتر شدند و گروه‌های کوچک شروع به استفاده از تاکتیک‌هایی کردند که قبلاً تنها توسط سازمان‌های جنایی با بودجه بالا یا دولت‌ها استفاده می‌شد.

بخشی از این تغییر ناشی از قانون مور بود — تقریباً هر دو سال، تعداد ترانزیستورهای روی یک چیپ دو برابر می‌شود و قدرت محاسباتی را به‌طور قابل توجهی افزایش می‌دهد و هزینه‌ها را کاهش می‌دهد. ناگهان، کارهایی که قبلاً به ابرکامپیوتر یا خوشه‌ای از دستگاه‌ها نیاز داشت، می‌توانست روی دسکتاپ‌های استاندارد انجام شود و شکستن رمزگذاری که قبلاً غیرممکن بود، ممکن شد.

به همین دلیل، Zero Trust به‌عنوان یک الگوی امنیتی ضروری دیده شد. در سال ۲۰۱۸، NIST مستند SP 800-207 را منتشر کرد و دستورالعمل‌ها و ساختارهایی برای پیاده‌سازی Zero Trust ارائه داد. حتی آن زمان، Zero Trust هنوز به‌طور کلی به‌عنوان آرمان‌گرایانه دیده می‌شد — چیزی مناسب برای سازمان‌هایی که با تهدیدات داخلی مواجه بودند یا داده‌های حساس را مدیریت می‌کردند.

شبح هوش مصنوعی (Specter of AI)

جایی که این روایت تغییر می‌کند، هوش مصنوعی است. به‌طور خاص، مدل‌های زبان بزرگ (LLM) با توانایی پردازش پیشرفته داده‌ها و ویژگی‌های پردازش زبان طبیعی در طی چند سال جهان فناوری را تغییر داده‌اند. پیش از انتشار ChatGPT در سال ۲۰۲۲، هوش مصنوعی عمدتاً محدود به حوزه‌های خاص فناوری بود و به‌صورت تدریجی تکامل می‌یافت.

با انتشار ChatGPT، تغییر ناگهانی رخ داد — هوش مصنوعی به یک مفهوم شناخته‌شده در بین مردم تبدیل شد و دسترسی مصرف‌کننده به LLMها به آسانی وارد کردن شماره کارت اعتباری بود. در حالی که این باعث افزایش سریع پذیرش هوش مصنوعی شد، خطر بزرگی نیز ایجاد کرد — مهاجمان ناگهان به حملات پیچیده و پیشرفته دسترسی داشتند که قبلاً هرگز ممکن نبود.

طبق گزارش گارتنر، انتظار می‌رود حملات مبتنی بر هوش مصنوعی تا سال ۲۰۳۰ حدود ۵۴۸٪ رشد داشته باشند — عددی شوکه‌کننده با توجه به اینکه گزارش‌های CrowdStrike در سال ۲۰۲۴ از حملات هوش مصنوعی به‌عنوان یکی از رایج‌ترین بردارهای حمله یاد کرده‌اند.

نگران‌کننده است که بسیاری از این حملات غیر سنتی هستند. در حالی که حملات گذشته از بدافزار برای نفوذ به داده‌ها استفاده می‌کردند، حملات مبتنی بر هوش مصنوعی از هر چیزی از رسانه‌های اجتماعی تا شبیه‌سازی صدا استفاده می‌کنند و بردارهای حمله مداوم و دشوار برای شناسایی ایجاد می‌کنند.

نمونه‌های حملات مبتنی بر هوش مصنوعی

این خطر صرفاً نظری نیست — نمونه‌های واقعی حملات پیچیده با استفاده از هوش مصنوعی رخ داده‌اند.

یک گزارش وال استریت ژورنال شرح داد که مهاجمان از صدای جعلی تولید شده توسط هوش مصنوعی برای تقلید از مدیرعامل یک شرکت انرژی مستقر در بریتانیا استفاده کردند. آن‌ها سپس از این صدای جعلی برای متقاعد کردن کارکنان جهت انتقال وجه به یک تأمین‌کننده تقلبی استفاده کردند که منجر به از دست رفتن ۲۴۳,۰۰۰ دلار شد. این حمله از آسیب‌پذیری‌های فرآیند داخلی و فرضیات اعتماد سوء استفاده کرد و چندین لایه امنیتی را دور زد.

یک مدل Zero Trust می‌توانست این حمله را کاهش دهد، با اعتبارسنجی فاکتورها در برابر درخواست‌های انتقال و اطمینان از تأیید توسط دستگاه مطمئن. اما به دلیل نبودن Zero Trust، خطای انسانی غالب شد.

با تکامل هوش مصنوعی، این حملات تنها پیچیده‌تر خواهند شد. هوش مصنوعی بر پایه تحلیل آماری و شناسایی الگو ساخته شده است، بنابراین هر سیستمی که الگوهای قابل شناسایی داشته باشد در معرض خطر است. حملات مبتنی بر هوش مصنوعی اکنون به کنترل دسترسی نادرست، وضعیت‌های بیش از حد مجاز، پیاده‌سازی نامناسب رمزگذاری و سایر نقاط ضعف بحرانی حمله می‌کنند — تهدیدی برای بنیان امنیت API.

نمونه‌های موفق Zero-Trust

با توجه به این زمینه، تعجب‌آور نیست که Zero Trust موضوع داغی شده است. بسیاری از سازمان‌ها در پاسخ به افزایش پیچیدگی حملات به سرعت در حال پذیرش این مدل هستند.

NTT DATA نمونه‌ای قوی از Zero Trust در مقیاس بزرگ ارائه می‌دهد. با شناسایی چالش‌های امنیتی ناشی از نیروی کار دورکار، NTT DATA با Zscaler همکاری کرد تا یک پلتفرم Zero Trust را پیاده‌سازی کند. طی ۳۰ روز، ۵۰,۰۰۰ کاربر وارد سیستم شدند، نیاز به VPN را حذف کردند و از یک درگاه امن و تحلیل هورستیک برای اعتبارسنجی تعاملات کاربران استفاده کردند. در نهایت، ۱۵۰,۰۰۰ کاربر به این پلتفرم منتقل شدند و عملیات جهانی ایمن بدون معرفی ریسک اضافی ممکن شد.

نمونه قوی دیگر Cimpress است، که بیشتر به‌خاطر شرکت تابعه خود، Vistaprint، شناخته می‌شود. Cimpress چندین کسب‌وکار با پشته فناوری، استانداردهای امنیتی و بردارهای حمله مختلف دارد. برای ادغام ایمن این سیستم‌های متنوع، Cimpress مدل Zero Trust را اتخاذ کرد و همکاری را بدون افزایش تهدیدات داخلی تضمین کرد.

این تلاش‌ها مزایای قابل اندازه‌گیری به همراه دارد. طبق گزارش IBM، سازمان‌هایی که Zero Trust را پیاده‌سازی کرده‌اند، کاهش ۳۰٪ در نقض داده‌ها مشاهده کرده‌اند. یک گزارش Cybereason نشان داد که ۸۱٪ سازمان‌های پذیرنده Zero Trust، امنیت بهبود یافته و کاهش نقض‌ها را گزارش کردند.

Zero-Trust: فراتر از “Nice-to-Have”

Zero Trust به‌سرعت از یک ویژگی آرمان‌گرایانه به یک ضرورت فوری در صنایع مختلف تبدیل می‌شود. سازمان‌ها باید ساختار فناوری خود را با توجه به نگرانی‌های امنیت داده ارزیابی کنند. با افزایش حملات پیشرفته، پذیرش Zero Trust تنها برای آینده‌نگری نیست — بلکه یک الزام برای حفظ امنیت در دهه آینده است.