کمیته رکن چهارم – اصولا در اکثر کشورهای جهان ازجمله ایران چرخه مدیریت آسیبپذیری به صورت جدی دنبال نمیشود و همین موضوع همواره سرمنشاء نفوذ به سیستمها بوده است.
زندگی امروز ما با نرمافزارها و اپلیکیشنهای مختلفی گره خورده است. این روزها ما از پرداخت کرایه تاکسی گرفته تا خریدهای مختلف، از امور تحصیلی گرفته تا امور کاری درگیر این نرمافزارها هستیم و هر کدامشان جایی به کارمان میآیند. شرکتهای تولیدکننده نرمافزارها در سرتاسر جهان بهصورت مداوم در حال انتشار بهروزرسانیها و وصلههای امنیتی برای بهبود این برنامهها هستند. اما ما چقدر دغدغه اعمال این بهروزرسانیها را دارید؟ سازمانها و شرکتهایی که در زیرساختها و در لایههای مختلف خود از نرمافزارهای گوناگون استفاده میکنند چقدر به این وصلهها و اعمال آنها پایبند هستند؟ آیا کاربران به وصلههای امنیتی و بهروزرسانی نرمافزارهای کاربردی مانند مایکروسافت و سیسکو … که منتشر میشوند توجهی دارند و این وصلهها را اعمال میکنند؟ عواقب بیتوجهی به این وصلهها برای امنیت سایبری چیست؟
اگر این موضوع دغدغه شما هم هست در ادامه یادداشت مهندس روزبه نوروزی، مدرس و معمار ارشد امنیت سایبری، را در مورد اهمیت «مدیریت آسیبپذیری و وصله در سازمانها» بخوانید.
سیستمهای کامپیوتری و برنامههای کاربردی مرتبط توسط انسانها و یا ماشینها ساخته میشوند و همان ماشینها هم به نوبه خود به نوعی تولید دست انسان هستند. انسانها دارای هوش و توانمندیهای ذهنی متفاوتی هستند لذا هرگاه یک شخص یا یک تیم اقدام به تولید نرمافزار میکند، میتوان با احتمال بالایی به این موضوع فکر کرد که شخص یا تیمی در جهان باشد که بتواند در این نرمافزار آسیبپذیری پیدا کند. در همین راستا پایش آسیبپذیریها باید در دستور کار هر سازمان و شرکت باشد. این آسیبپذیریها عموما توسط متخصصان کشف میشوند البته دو دسته از این متخصصان وجود دارند که به هکرهای کلاه سیاه و کلاه سفید معروف هستند. هکرهای کلاه سیاه هرگاه آسیبپذیری در نرمافزار پیدا کنند بهدلیل اینکه دنبال منفعت مالی خود یا ضرر رساندن به دیگران هستند اقدام به فروش آن آسیبپذیری یا کد مخرب آن در دارکوب میکنند یا اینکه این افراد، سازمانی را که قصد ضرر رساندن به آن را دارند هدف گرفته و پس از تولید کد مخرب، اقدام به نفوذ به آن سازمان میکنند.
از سوی دیگر هکرهای کلاه سفید متخصصانی هستند که خواهان گسترش امنیت در جامعه هستند، لذا پس از اینکه آسیبپذیری را یافتند آن را به تولیدکننده گزارش میکنند. از آنجایی که برخی تولیدکنندگان اقدام به رفع آسیبپذیری
خوشبختانه سازمانهای بسیاری در کشور وجود دارند که اقدام به راهاندازی مدیریت وصله کردهاند لذا میتوان گفت در این سازمانها آسیبپذیریها شناسایی و آماده رفع میشوند.
نمیکنند، این متخصصان درصورت مشاهده عدم رفع آسیبپذیری، پس از بازه زمانی مهلتی که به آنها دادهاند، اقدام به انتشار عمومی آسیبپذیری میکنند.
از دیگر راههایی که منجر به آسیبپذیریها کشف میشود میتوان به باگبانتی، تست نفوذ و اسکن آسیبپذیری با نرمافزارهای تخصصی اشاره کرد.
همانطور که میبینید راههای کشف آسیبپذیری متعدد هستند لذا احتمال اینکه آسیبپذیری در یک نرمافزار کشف شود بالا است. اما باید اذعان کرد که کشف آسیبپذیری فقط یک حلقه در مدیریت آسیبپذیری است و مدیریت آسیبپذیری شامل مراحل دیگری هم میشود که باید به آنها توجه کرد. برای مثال اسکن مجدد داراییها برای اطمینان از رفع آسیبپذیری.
پس از کشف آسیبپذیری، سازنده محصول اقدام به ارائه راهکار کوتاه یا بلندمدت میکند. راهکار کوتاهمدت ممکن است بر کارکرد سیستم و سامانه اثر منفی داشته باشد لذا برای مدتی محدود تجویز میشود یا اصلا به اجرا گذاشته نمیشود. راهکار بلندمدت عموما شامل وصله یا همان Patch است.
در چرخه مدیریت آسیبپذیری که به نوعی میتوان آن را در تلفیق با مدیریت وصله دانست باید در اسرع وقت نسبت به نصب وصله اقدام کرد البته باید قبل از نصب، تست وصله از لحاظ عملکرد انجام شود.
مراحلی که در یک مدیریت آسیبپذیری و وصله باید مدنظر قرار گیرند عبارتاند از :
۱- کشف آسیبپذیری
۲- ارائه راهکار کوتاهمدت یا ارائه وصله
۳- تست وصله
۴- نصب وصله
۵- اسکن برای اطمینان از عملکرد امنیتی وصله
اصولا در اکثر کشورهای جهان ازجمله ایران چرخه مدیریت آسیبپذیری به صورت جدی دنبال نمیشود و همین موضوع همواره سرمنشاء نفوذ به سیستمها بوده است.
بحث بهروزرسانی سیستمها را میتوان به دو بخش شایان توجه تقسیم کرد:
نخست – سرورها و اصولا تجهیزات زیرساختی
دوم – کلاینتها و دستگاههای کاربران عادی
برای مورد اول، خوشبختانه سازمانهای بسیاری در کشور وجود دارند که اقدام به راهاندازی مدیریت وصله کردهاند لذا میتوان گفت در این سازمانها آسیبپذیریها شناسایی و آماده رفع میشوند. از کلمه «آماده رفع» استفاده کردم تا به معنای دقیقتری در این موضوع اشاره داشته باشم. در بسیاری از سازمانها که آسیبپذیری کشف میشود با وجود اینکه وصلهای برای آن وجود دارد به دلیل ترس از اثرات جانبی بر سامانهها، برای نصب وصله اقدامی صورت نمیپذیرد. لذا شاهد امکان شکست حفاظتی در مجموعه آن سازمان هستیم. در سازمانهای بسیاری کلاینتها و لپتاپها در زنجیره مدیریت آسیبپذیری قرار نمیگیرند و این موضوع، سازمان را از این نقاط قابل نفوذ میکند. با این امکان، هکر پس از نفوذ به دستگاههای کاربران اقدام به حرکت عرضی کرده تا به دستگاه مدیران برسد یا به سرورها دست یابد. امنیت در سازمان، یک پازل با قطعات مشخص است که هرکدام باید در قسمت مشخص خود قرار بگیرند. تکتک نرمافزارها و تجهیزات سازمان باید در برنامه مدیریت وصله قرار گیرند. در بحث تجهیزات شخصی کاربران، نظیر دستگاههای تلفن همراه، وخامت اوضاع
کاربران اصولا به بهروزرسانی موبایل خود اقدام نمیکنند و این هم نتیجه بیاطلاعی کاربران، تحریم، فیلترینگ و همچنین وضع اقتصادی در رابطه با هزینه اینترنت است.
بالاست. وابستگی سیستم عامل به تولیدکننده دستگاه موبایل و وجود برنامههای کاربردی که اصولا پشتیبانی برای آنها وجود ندارد از یکسو و رفتارهای خطرناک کاربران در دانلود از منابع غیرمجاز، این دستگاهها را تبدیل به یکی از خطرناکترین حلقههای امنیت سازمان تبدیل کرده است. از سوی دیگر، کاربران اصولا به بهروزرسانی موبایل خود اقدام نمیکنند و این هم نتیجه بیاطلاعی کاربران، تحریم، فیلترینگ و همچنین وضع اقتصادی در رابطه با هزینه اینترنت است. در مورد کاربران از راه دور هم باید گفت این کاربران عموما از برنامه مدیریت وصله سازمان جا میمانند.
ادمینهای سازمانها باید با پیادهسازی راهکارمدیریت وصله در کل سازمان و برای تمام کاربران با ارائه راهکارهای مجاز در نسبت با تحریم و فیلترینگ، از بهروز بودن نرمافزارها و Firmwareها اطمینان حاصل کنند.
یکی از بیتوجهیها در سازمانها در زمینه اعتماد به کاربران برای نصب وصلههاست. در این سازمانها، مدیریت وصله برای کاربران خصوصا آنها که به اینترنت متصل هستند راهاندازی نمیشود و ادمینها بر این باور هستند که سیستمها اتوماتیک بهروزرسانی میشوند یا کاربران راسا اقدام به بهروزرسانی میکنند. درحالیکه باید دانست که کاربران اصولا بهدنبال راحتی امور هستند و وقتی برای مثال یک بهروزرسانی، آنها را مجبور به ریاستارت میکند یا حداقل باز و بسته کردن مرورگر برای ایشان الزامی میشود تا میتوانند در برابر بهروزرسانی مقاومت میکنند. یا جایی که نرمافزارهای تخصصی استفاده میشود، کاربر از ترس بهمریختگی تنظیمات تا میتواند بهروزرسانی تا به تعویق میاندازد.
این نکات را هکرها هم میدانند. اصولا خصوصیت هکر، شناخت کاربر و ادمین و شناخت سازمان است. لذا بیدقتیهای ادمینها و کاربران راه را برای نفوذ باز میگذارد. برای مثال در زمینه نیاز به راهکار جامع مدیریت وصله میتوان به این مثال اشاره کرد که در چند سال اخیر مواردی از آسیبپذیری در مرورگر کروم مشاهده شد که امکان دسترسی هکر به کامپیوتر را فراهم میکرد. کاربرانی که نسخههای بالای کروم را نصب کرده بودند با هشدار برای بهروزرسانی مواجه شدند اما این بهروزرسانی نیاز به اجازه کاربر داشت. نسخههای پایینتر کروم اصلا هشداری در این زمینه ندادند.
حملات باجافزاری یکی از حملات پرتکرار همراه با اثر تخریبی بالا برای سازمان و کاربران است. بسیاری از باجافزارها برای جابهجایی در شبکه متکی به آسیبپذیری در سامانهها هستند. با عدم بهروزرسانی، امکان آلودگی به باجافزار را افزایش میدهیم. برای کاربران که دستگاه شخصی را به سازمان میآورند راهکارهایی درحوزه BYOD (Bring your own device) به ما اجازه میدهد مدیریت وصله روی آن تجهیزات مانند موبایل ایشان را داشته باشیم.
بار دیگر متذکر میشوم که ادمینها و مدیران امنیت نباید برای بهروزرسانی منتظر اقدام کاربر باشند. البته آموزش و اطلاعرسانی در این زمینه، تسهیلگر پیادهسازی مدیریت وصله است.
منبع: افتانا