مدیریت آسیب‌پذیری و وصله در سازمان‌ها

کمیته رکن چهارم – اصولا در اکثر کشورهای جهان ازجمله ایران چرخه مدیریت آسیب‌پذیری به صورت جدی دنبال نمی‌شود و همین موضوع همواره سرمنشاء نفوذ به سیستم‌ها بوده است.

زندگی امروز ما با نرم‌افزارها و اپلیکیشن‌های مختلفی گره خورده است. این روزها ما از پرداخت کرایه تاکسی گرفته تا خریدهای مختلف، از امور تحصیلی گرفته تا امور کاری درگیر این نرم‌افزارها هستیم و هر کدام‌شان جایی به کارمان می‌آیند. شرکت‌های تولیدکننده نرم‌افزارها در سرتاسر جهان به‌صورت مداوم در حال انتشار به‌روزرسانی‌ها و وصله‌های امنیتی برای بهبود این برنامه‌ها هستند. اما ما چقدر دغدغه اعمال این به‌روزرسانی‌ها را دارید؟ سازمان‌ها و شرکت‌هایی که در زیرساخت‌ها و در لایه‌های مختلف خود از نرم‌افزارهای گوناگون استفاده می‌کنند چقدر به این وصله‌ها و اعمال آنها پایبند هستند؟ آیا کاربران به وصله‌های امنیتی و به‌روزرسانی نرم‌افزارهای کاربردی مانند مایکروسافت و سیسکو … که منتشر می‌شوند توجهی دارند و این وصله‌ها را اعمال می‌کنند؟ عواقب بی‌توجهی به این وصله‌ها برای امنیت سایبری چیست‌؟

اگر این موضوع دغدغه شما هم هست در ادامه یادداشت مهندس روزبه نوروزی، مدرس و معمار ارشد امنیت سایبری، را در مورد اهمیت «مدیریت آسیب‌پذیری و وصله در سازمان‌ها» بخوانید.

سیستم‌های کامپیوتری و برنامه‌های کاربردی مرتبط توسط انسان‌ها و یا ماشین‌ها ساخته می‌شوند و همان ماشین‌ها هم به نوبه خود به نوعی تولید دست انسان هستند. انسان‌ها دارای هوش و توانمندی‌های ذهنی متفاوتی هستند لذا هرگاه یک شخص یا یک تیم اقدام به تولید نرم‌افزار می‌کند، می‌توان با احتمال بالایی به این موضوع فکر کرد که شخص یا تیمی در جهان باشد که بتواند در این نرم‌افزار آسیب‌پذیری پیدا کند. در همین راستا پایش آسیب‌پذیری‌ها باید در دستور کار هر سازمان و شرکت باشد. این آسیب‌پذیری‌ها عموما توسط متخصصان کشف می‌شوند البته دو دسته از این متخصصان وجود دارند که به هکرهای کلاه ‌سیاه و کلاه سفید معروف هستند. هکر‌های کلاه سیاه هرگاه آسیب‌پذیری در نرم‌افزار پیدا کنند به‌دلیل اینکه دنبال منفعت مالی خود یا ضرر رساندن به دیگران هستند اقدام به فروش آن آسیب‌پذیری یا کد مخرب آن در دارک‌وب می‌کنند یا اینکه این افراد، سازمانی را که قصد ضرر رساندن به آن را دارند هدف گرفته و پس از تولید کد مخرب، اقدام به نفوذ به آن سازمان می‌کنند.

از سوی دیگر هکرهای کلاه سفید متخصصانی هستند که خواهان گسترش امنیت در جامعه هستند، لذا پس از اینکه آسیب‌پذیری را یافتند آن را به تولید‌کننده گزارش می‌کنند. از آنجایی که برخی تولید‌کنندگان اقدام به رفع آسیب‌پذیری
خوشبختانه سازمان‌های بسیاری در کشور وجود دارند که اقدام به راه‌اندازی مدیریت وصله کرده‌اند لذا می‌توان گفت در این سازمان‌ها آسیب‌پذیری‌ها شناسایی و آماده رفع می‌شوند.
نمی‌کنند، این متخصصان درصورت مشاهده عدم رفع آسیب‌پذیری، پس از بازه زمانی مهلتی که به آنها داده‌اند، اقدام به انتشار عمومی آسیب‌پذیری می‌کنند.

از دیگر راه‌هایی که منجر به آسیب‌پذیری‌ها کشف می‌شود می‌توان به باگ‌بانتی‌، تست نفوذ و اسکن آسیب‌پذیری با نرم‌افزارهای تخصصی اشاره کرد.

همان‌طور که می‌بینید راه‌های کشف آسیب‌پذیری متعدد هستند لذا احتمال اینکه آسیب‌پذیری در یک نرم‌افزار کشف شود بالا است. اما باید اذعان کرد که کشف آسیب‌پذیری فقط یک حلقه در مدیریت آسیب‌پذیری است و مدیریت آسیب‌پذیری شامل مراحل دیگری هم می‌شود که باید به آنها توجه کرد. برای مثال اسکن مجدد دارایی‌ها برای اطمینان از رفع آسیب‌پذیری.

پس از کشف آسیب‌پذیری، سازنده محصول اقدام به ارائه راهکار کوتاه یا بلندمدت می‌کند. راهکار کوتاه‌مدت ممکن است بر کارکرد سیستم و سامانه اثر منفی داشته باشد لذا برای مدتی محدود تجویز می‌شود یا اصلا به اجرا گذاشته نمی‌شود. راهکار بلندمدت عموما شامل وصله ‌یا همان Patch است.

در چرخه مدیریت آسیب‌پذیری که به نوعی می‌توان آن را در تلفیق با مدیریت وصله دانست باید در اسرع وقت نسبت به نصب وصله اقدام کرد البته باید قبل از نصب، تست وصله از لحاظ عملکرد انجام شود.

مراحلی که در یک مدیریت آسیب‌پذیری و وصله باید مدنظر قرار گیرند عبارت‌اند از :

۱- کشف آسیب‌پذیری
۲- ارائه راهکار کوتاه‌مدت یا ارائه وصله
۳- تست وصله
۴- نصب وصله
۵- اسکن برای اطمینان از عملکرد امنیتی وصله

اصولا در اکثر کشورهای جهان ازجمله ایران چرخه مدیریت آسیب‌پذیری به صورت جدی دنبال نمی‌شود و همین موضوع همواره سرمنشاء نفوذ به سیستم‌ها بوده است.

بحث به‌روزرسانی سیستم‌ها را می‌توان به دو بخش شایان توجه تقسیم کرد:

نخست – سرورها و اصولا تجهیزات زیرساختی
دوم – کلاینت‌ها و دستگاه‌های کاربران عادی

برای مورد اول، خوشبختانه سازمان‌های بسیاری در کشور وجود دارند که اقدام به راه‌اندازی مدیریت وصله کرده‌اند لذا می‌توان گفت در این سازمان‌ها آسیب‌پذیری‌ها شناسایی و آماده رفع می‌شوند. از کلمه «آماده رفع» استفاده کردم تا به معنای دقیق‌تری در این موضوع اشاره داشته باشم. در بسیاری از سازمان‌ها که آسیب‌پذیری کشف می‌شود با وجود اینکه وصله‌ای برای آن وجود دارد به دلیل ترس از اثرات جانبی بر سامانه‌ها، برای نصب وصله اقدامی صورت نمی‌پذیرد. لذا شاهد امکان شکست حفاظتی در مجموعه آن سازمان هستیم. در سازمان‌های بسیاری کلاینت‌ها و لپ‌تاپ‌ها در زنجیره مدیریت آسیب‌پذیری قرار نمی‌گیرند و این موضوع، سازمان را از این نقاط قابل نفوذ می‌کند. با این امکان، هکر پس از نفوذ به دستگاه‌های کاربران اقدام به حرکت عرضی کرده تا به دستگاه مدیران برسد یا به سرور‌ها دست یابد. امنیت در سازمان، یک پازل با قطعات مشخص است که هرکدام باید در قسمت مشخص خود قرار بگیرند. تک‌تک نرم‌افزار‌ها و تجهیزات سازمان باید در برنامه مدیریت وصله قرار گیرند. در بحث تجهیزات شخصی کاربران، نظیر دستگاه‌های تلفن همراه، وخامت اوضاع
کاربران اصولا به به‌روزرسانی موبایل خود اقدام نمی‌کنند و این هم نتیجه بی‌اطلاعی کاربران، تحریم، فیلترینگ و همچنین وضع اقتصادی در رابطه با هزینه اینترنت است.
بالاست. وابستگی سیستم عامل به تولیدکننده دستگاه موبایل و وجود برنامه‌های کاربردی که اصولا پشتیبانی برای آنها وجود ندارد از یک‌سو و رفتارهای خطرناک کاربران در دانلود از منابع غیرمجاز، این دستگاه‌ها را تبدیل به یکی از خطرناک‌ترین حلقه‌های امنیت سازمان تبدیل کرده است. از سوی دیگر، کاربران اصولا به به‌روزرسانی موبایل خود اقدام نمی‌کنند و این هم نتیجه بی‌اطلاعی کاربران، تحریم، فیلترینگ و همچنین وضع اقتصادی در رابطه با هزینه اینترنت است. در مورد کاربران از راه دور هم باید گفت این کاربران عموما از برنامه مدیریت وصله سازمان جا می‌مانند.

ادمین‌های سازمان‌ها باید با پیاده‌سازی راهکارمدیریت وصله در کل سازمان و برای تمام کاربران با ارائه راهکارهای مجاز در نسبت با تحریم و فیلترینگ، از به‌روز بودن نرم‌افزارها و Firmwareها اطمینان حاصل کنند.

یکی از بی‌توجهی‌ها در سازمان‌ها در زمینه اعتماد به کاربران برای نصب وصله‌هاست. در این سازمان‌ها، مدیریت وصله برای کاربران خصوصا آنها که به اینترنت متصل هستند راه‌اندازی نمی‌شود و ادمین‌ها بر این باور هستند که سیستم‌ها اتوماتیک به‌روز‌رسانی می‌شوند یا کاربران راسا اقدام به به‌روزرسانی می‌کنند. درحالی‌که باید دانست که کاربران اصولا به‌دنبال راحتی امور هستند و وقتی برای مثال یک به‌روزرسانی، آنها را مجبور به ری‌استارت می‌کند یا حداقل باز و بسته کردن مرورگر برای ایشان الزامی می‌شود تا می‌توانند در برابر به‌روزرسانی مقاومت می‌کنند. یا جایی که نرم‌افزارهای تخصصی استفاده می‌شود، کاربر از ترس بهم‌ریختگی تنظیمات تا می‌تواند به‌روزرسانی تا به تعویق می‌اندازد.

این نکات را هکر‌ها هم می‌دانند. اصولا خصوصیت هکر، شناخت کاربر و ادمین و شناخت سازمان است. لذا بی‌دقتی‌های ادمین‌ها و کاربران راه را برای نفوذ باز می‌گذارد. برای مثال در زمینه نیاز به راهکار جامع مدیریت وصله می‌توان به این مثال اشاره کرد که در چند سال اخیر مواردی از آسیب‌پذیری در مرورگر کروم مشاهده شد که امکان دسترسی هکر به کامپیوتر را فراهم می‌کرد. کاربرانی که نسخه‌های بالای کروم را نصب کرده بودند با هشدار برای به‌روزرسانی مواجه شدند اما این به‌روزرسانی نیاز به اجازه کاربر داشت. نسخه‌های پایین‌تر کروم اصلا هشداری در این زمینه ندادند.

حملات باج‌افزاری یکی از حملات پرتکرار همراه با اثر تخریبی بالا برای سازمان و کاربران است. بسیاری از باج‌افزار‌ها برای جابه‌جایی در شبکه متکی به آسیب‌پذیری در سامانه‌ها هستند. با عدم به‌روز‌رسانی، امکان آلودگی به باج‌افزار را افزایش می‌دهیم. برای کاربران که دستگاه شخصی را به سازمان می‌آورند راهکارهایی درحوزه BYOD (Bring your own device) به ما اجازه می‌دهد مدیریت وصله روی آن تجهیزات مانند موبایل ایشان را داشته باشیم.

بار دیگر متذکر می‌شوم که ادمین‌ها و مدیران امنیت نباید برای به‌روزرسانی منتظر اقدام کاربر باشند. البته آموزش و اطلاع‌رسانی در این زمینه، تسهیلگر پیاده‌سازی مدیریت وصله است.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.