کمیته رکن چهارم – ۳۰ مورد از رایج ترین آسیب پذیری های محصولات Microsoft Adobe، Oracle ، OpenSSL با اهداف مشخص
به گزارش کمیته رکن چهارم،
۱ مقدمه
بهره برداری از نرم افزارهای آسیب پذیر اصلاح نشده ، یکی از متداول ترین راه های حمله به سازمانها و زیر ساخت های حیاتی است. مهاجمان بطور فعالانه سعی در شناسایی و سوء استفاده از این آسیب پذیری ها جهت نیل به اهداف بدخواهانه خویش دارند. حال آنکه سازمان ها می توانند با افزایش سطح دانش، خود را در مقابل بسیاری از این حملات ایمن سازند چرا که طبق آمار حدود ۸۵ درصد از این حملات از قبل شناسایی شده و راه های پیشگیری از آنها نیز معرفی شده اند لذا قابل پیشگیری بوده و صرفا به اندک دانش و آگاهی نیازمند هستند.
۲ شرح مساله
وجود آسیب پذیری های اصلاح نشده در سیستم های کامپیوتری، به مهاجمان این اجازه را می دهد که بطور غیر مجاز و مخفیانه به اطلاعات حساس و محرمانه دسترسی پیدا کنند. با توجه به ماهیت و هدف حملات، برخی از آسیب پذیری ها بطور مداوم توسط مهاجمان مورد سوء استفاده قرار میگیرند. اهمیت مساله هنگامی مشخص می شود که بدانیم که یک نفوذ موفق به سیستم های کامپیوتری می تواند موجب بروز صدمات جبران ناپذیری شود، مخصوصا اگر فرد مهاجم به اطلاعات مهم و محرمانه دسترسی پیدا کند. ذیلا برخی از این صدمات را معرفی می کنیم.
• از دست رفتن موقت، یا دائم اطلاعات محرمانه، حساس و خصوصی.
• ایجاد اختلال در عملیات.
• زیان های مالی مربوط به بازیابی اطلاعات حیاتی و سیستم ها.
• آسیب های جبران ناپذیر به شهرت و اعتبار سازمان ها.
مهاجمان معمولا از آسیب پذیری های اصلاح نشده ای که در نرم افزارهای پر کاربرد وجود دارند استفاده میکنند لذا وجود یک فرایند قوی برای مدیریت بر اصلاح آسیب پذیری ، به منظور حصول اطمینان از انجام اقدامات پیشگیرانه مناسب در برابر تهدیدات بالقوه، یکی از ضرورت های هر سازمان است چرا که هرچه مدت زمان اصلاح نشدن یک آسیب پذیری طولانی تر شود، آن سازمان در برابر حملات آسیب پذیر تر خواهد بود. اما به دلیل تعداد بسیار زیاد آسیب پذیری ها، اصلاح تک تک آنها برای سازمانها میسر نبوده، لذا بهترین روش برای حصول اطمینان از وجود امنیت نسبی در سازمان ها، شناسایی و اصلاح آسیب پذیری هایی است که قبلا به دفعات زیاد مورد سوء استفاده قرار گرفته اند. لذا مدیران باید از دانش متخصصان حوزه امنیت اطلاعات بهره برده و از طرق آنها، از اصلاح شدن آسیب پذیری های متداول اطمینان حاصل کنند.
در این گزارش سعی شدهبه منظور اطلاع رسانی و ارتقاع سطح دانش سازمانها، اطلاعاتی در ارتباط با ۳۰ مورد از رایج ترین آسیب پذیری ها فراهم و نیز نحوه عملکرد و نحوه پیشگیری هر یک از آن ها مورد بررسی اجمالی قرار گیرد.