در اوایل سال 2019 ، Pulse Secure وصله ای را برای آسیب پذیری سرور VPN منتشر کرد.
این شرکت از طریق تلفن ، ایمیل ، هشدارهای درون محصول و اعلان های آنلاین با مشتریان تماس گرفت تا به آنها یادآوری کند که این پچ را نصب کنند ، اما در ژانویه گذشته وزارت امنیت داخلی و آژانس امنیت زیرساخت وزارت امنیت داخلی یک نسخه هشدار که می گوید "بهره برداری گسترده" را مشاهده می کند از آسیب پذیری
CISA صادر شد هشدار دیگر در ماه آوریلدر مورد چقدر مهاجمان پس از بهره برداری از این آسیب پذیری از طریق شبکه های دولتی و تجاری در حال گسترش بودند.علی رغم این تلاش ها برای آگاه سازی سازمان ها در مورد تهدید ، برخی از شرکت ها موفق به وصله گذاری نشدند.در واقع ، در اوایل ماه جاری هکرها نام کاربری و رمزهای عبور خود را برای بیش از 900 سرور Pulse Secure VPN درز کرده است.
اینجا چه خبره؟چرا شرکت ها با مشکل وصله بخش اصلی بهداشت امنیت سایبری ، اینقدر مشکل دارند؟
طبق تحقیقاتی که اواخر سال گذشته توسط موسسه Ponemon منتشر شد ، می توان از 60٪ تخلفاتی که طی دو سال گذشته اتفاق افتاده بود جلوگیری کرداگر به موقع وصله ای اعمال شده باشداما فقط 32٪ از پاسخ دهندگان گفتند که آنها قادر به کاهش زمان لازم برای وصله آسیب پذیری های مهم در مقایسه با سال قبل بودند - 36٪ سفید گفتند که در واقع این مدت طولانی تر از قبل است.
آنجلوس کرومیتیس ، استاد انستیتوی فناوری جورجیا با تمرکز بر امنیت سیستم ها و شبکه و از بنیانگذاران شرکت امنیت سایبری Allure Security Technology ، گفت: مشکل مدیریت پچ چنان بزرگ است که سازمان ها می توانند به "خستگی پچ" دچار شوند.
وی به Data Center Knowledge گفت: "هنگامی كه شما یك مركز داده بزرگ اداره می كنید ، محدودیتی برای میزان مراقبت از آن وجود دارد."
علاوه بر این ، گاهی اوقات مردم فکر می کنند که وصله ها مربوط به آنها نیست.
وی گفت: "به دلیل نحوه پیکربندی شبکه ها و برنامه ها ، بسیاری از نهادها معتقدند که آنها جدا هستند ، بنابراین آنها فکر می کنند که به این میزان آسیب پذیر نیستند.""یک عقل منطقی مختلف برای عدم وصله وجود دارد."
مراکز داده به ویژه آسیب پذیر
وصله گذاری برای اکثر سازمانهای بزرگ یک مشکل است ، اما مراکز داده چالشهای خاصی دارند.این موارد شامل اختلالات احتمالی کسب و کار به دلیل خرابی ، اختلالات ناشی از عواقب پیش بینی نشده و عدم آگاهی از سیستم های آسیب پذیر است.
به گفته گرگ توهیل ، رئیس گروه فدرال AppGate - شرکت امنیت سایبری سال گذشته توسط مرکز ارائه دهنده داده Cyxtera تاسیس شد - و اولین مدیر ارشد امنیت اطلاعات کشور در دوران دولت اوباما ، مدیران مراکز داده همیشه نمی دانند که این آسیب پذیری ها در کجا قرار دارند هستند.
اول ، مشکل پیچیده مسئولیت مشترک وجود دارد.اگر مرکز داده در یک امکان مکان یابی یا در فضای ابری باشد ، ارائه دهنده بعضی از کارها را انجام می دهد اما نه همه وظایف امنیتی.از طرف ارائه دهندگان ، تنها کارهای زیادی در زمینه زیرساخت های مشتریان انجام می شود.
توهیل به DCK گفت: "نگهداری و پیکربندی واقعی تجهیزات موجود در رک اغلب توسط مشتری حفظ می شود."
حتی وقتی حوزه های مسئولیت مشخص باشند ، یادگیری درباره آسیب پذیری هایی که به اصلاح نیاز دارند ، وجود دارد.
"هنگامی که من در نیروی هوایی بودم ، ما تیم های قرمز خود را بیرون می کشیدیم و از ابزارهای تجاری خارج از قفسه استفاده می کردیم که هکرها و دشمنان بالقوه از آنها استفاده می کردند ، ابزار اسکن ، و ما از داخل اسکن می کردیم و از خارج اسکن ، "توهیل گفت."و ما از تست قلم شخص ثالث استفاده خواهیم کرد که تست های قلم منطقی و فیزیکی را انجام می دهد."
هکرها اغلب با اسکن وب - یا با ورود به یک محیط و سپس اسکن شبکه های داخلی ، سیستم های آسیب پذیر و وصله ناپذیر را کشف می کنند تا فرصت گسترش بیشتر را پیدا کنند.
مشکل با خرابی
بزرگترین مشکل برای مراکز داده این است که وصله گذاری می تواند باعث خرابی شود.
جوش آکسلرود ، رهبر امنیت سایبری در ارنست و یانگ ، به DCK گفت ، مشتریان انتظار دارند كه مراكز داده آنها 100٪ بیشتر باشد.
در نتیجه ، ممکن است وصله سازی در بازه های زمانی بسیار محدود انجام شود ، درصورتی که حداقل اخلال در آن باشد.این بدان معناست که وصله زدن به برخی از سیستم ها ممکن است زمان زیادی طول بکشد.یک راه حل برای این مشکل می تواند از فضای بازیابی فاجعه حاصل شود.اگر برخی از زیرساخت های یک مرکز داده کاهش یابد ، یک سیستم بازیابی فاجعه به طور خودکار حجم کار آسیب دیده را به یک محیط پشتیبان منتقل می کند.از نظر سیستم ، می توان از همان سیستم برای وصله استفاده کرد.
وی گفت: "مشتریان می توانند حجم کار خود را بلافاصله به یک محیط تمیز که در آن وصله اعمال شده ، بپیچند."
اگرچه این نوع زیرساخت ها گران هستند و به طور جهانی در دسترس نیستند ، آکسلرود خاطرنشان کرد: "همان جایی است که باید به آن برسیم."
مشکل عمده دیگر در مورد وصله گذاری سیستم های مرکز داده این است که وصله ها ممکن است عملیات مهم تجاری را خراب کنند.
کیت مولارسکی ، مدیر عامل رویه امنیت سایبری در ارنست و یانگ ، به ما گفت: "شما نمی دانید که این به روزرسانی چگونه بر برنامه های در حال اجرا تأثیر می گذارد."
اگر به روزرسانی خودکار روی رایانه نقطه پایانی انجام شود ، می تواند بهره وری یک کارمند را در صورت اشتباه پیش برد.بروزرسانی خودکار روی سیستم عامل سرور می تواند باعث خاموش شدن کل شرکت شود.
وی گفت: "شما باید آزمایش کنید و مطمئن شوید که وصله بر کسب و کار شما تاثیری ندارد."
یک روش استفاده از محیط های توسعه ای است که ممکن است یک سازمان از قبل برای آزمایش برنامه در اختیار داشته باشد تا مشکلات احتمالی را پس از استفاده از وصله بررسی کند ، اما این امر به هماهنگی بین مدیران مرکز داده و تیم های توسعه برنامه نیاز دارد.
خودکار ، برون سپاری یا انتقال به ابر
ویكاس شاه ، معاون IT در AArete ، یك شركت مشاوره مدیریت ، به ما گفت كه اگر یك مركز داده منابع لازم برای رسیدگی به مشكل وصله را نداشته باشد ، چند گزینه وجود دارد.یکی از این موارد سرمایه گذاری در محیط های آزمایش برای کاهش پیچیدگی وصله و زمان خرابی و در فناوری اتوماسیون است.به عنوان مثال مایکروسافت خدمات بروزرسانی ویندوز سرور و مدیر مرکز پیکربندی سیستم ها را ارائه می دهد.
وی گفت: "هر دوی این محصولات راه حل های عالی ارائه می دهند اما برای سازمان های بزرگ با تیم های اختصاصی ساخته شده اند."
ابزارهای دیگر شامل Solarwinds Patch Manager ، LANDesk Patch Manager ، ManageEngine Patch Manager Plus و Ivanti Windows Patch است.
وی گفت: "بیشتر این ابزارها می توانند به طور مستقل کار کنند و همچنین می توانند با WSUS یا SCCM [مایکروسافت] ادغام شوند." وی همچنین افزود که ارائه دهندگان سرور نیز وجود دارند که می توانند از پس کار برآیند ، از جمله Rackspace ، Connection ، Cognizant.
سرانجام ، شاه پیشنهاد داد كه شركت ها انتقال مراكز داده خود را از داخل به فضای ابری مورد بررسی قرار دهند.انتقال به ابر ، مسئولیت امنیت خود را از شرکت برکنار نمی کند ، اما فروشندگان ابر ، الزامات وصله مربوط به زیرساخت های اساسی را برطرف می کنند.