پچ یا نابودی: چطور سازمانها می توانند بر مدیریت آسیب پذیری ها مسلط شوند؟

منتظر یک نقض داده ای پر هزینه نباشید که با یک خاطره بد به اهمیت مدیریت آسیب پذیری ها پی ببرید.
بهره برداری از آسیب پذیری مدت هاست که یک تاکتیک محبوب برای مهاجمان سایبری بوده است. اما امروزه این اقدام به طور فزاینده ای در حال تبدیل شدن به واقعیتی است که باید هر کارشناس امنیت شبکه را نگران کند. طبق یک برآورد، موارد مشاهده شده بهره برداری از آسیب پذیری که منجر به نقض داده ها می شود، در سال 2023 سالانه سه برابر افزایش یافته است و حملاتی که حفره‌ های امنیتی را هدف قرار می‌دهند، یکی از سه راهی هستند که عاملان تهدید حملات باج‌افزاری را آغاز می‌کنند.
از آنجایی که تعداد CVE ها همچنان به رکوردهای جدید می رسد و سازمان ها در تلاش برای مقابله هستند. آنها به یک رویکرد سازگارتر، خودکار و مبتنی بر ریسک برای کاهش تهدیدات مربوط به آسیب‌پذیری نیاز دارند.

سربار آسیب پذیری

آسیب پذیری در نرم افزارها اجتناب ناپذیر است. تا زمانی که انسان ها کدهای کامپیوتری را ایجاد می کنند، خطای انسانی در این فرآیند رخ می دهد و منجر به اشکالاتی می شود که مهاجمان در بهره برداری از آنها بسیار متخصص شده اند. با این حال، انجام این کار با سرعت و و در مقیاس بالا، موجب حملات باج افزار و سرقت داده، عملیات جاسوسی پیشرفته، حملات مخرب و موارد دیگر نیز خواهد شد.

متأسفانه، تعداد CVE هایی که هر ساله منتشر می شوند، به شدت زیاد است که علت آن عوامل زیر می تواند باشد:

• توسعه نرم افزار جدید و ادغام مداوم منجر به افزایش پیچیدگی و به روز رسانی های مکرر، گسترش نقاط ورود بالقوه برای مهاجمان و گاهی اوقات شناسایی آسیب پذیری های جدید می شود. در عین حال، شرکت‌ ها از ابزارهای جدیدی استفاده می‌کنند که اغلب به مؤلفه‌ های third party، کتابخانه‌های منبع باز و سایر وابستگی‌هایی که ممکن است حاوی آسیب‌پذیری‌های کشف نشده باشد، متکی هستند.
• سرعت اغلب بر امنیت اولویت دارد، به این معنی که نرم افزار بدون بررسی کافی در حال توسعه خواهد بود. این موضوع موجب ایجاد باگ و آسیب پذیری ها در کد تولید شده، می شود- گاهی اوقات آسیب پذیری ها از کامپوننت های منبع باز مورد استفاده توسعه‌دهندگان می‌آیند.
• محققان امنیتی در راستای یافتن آسیب پذیری ها تلاش‌های بیشتری داشته و همچنین از برنامه ‌های پاداش یافتن باگ بیشتر استفاده می شود. در نهایت با شناسایی یک آسیب پذیری، آن آسیب پذیری توسط سازنده مورد نظر افشا و اصلاح می شوند و چنانچه کاربران این وصله ها را اعمال نکنند، در معرض سوء استفاده قرار خواهند گرفت.
• فروشندگان نرم افزارهای جاسوسی تجاری بدافزارها و اکسپلویت ها را برای کاربران خاص خود – هکرها و مهاجمان وابسته به دولتها – می فروشند تا از دشمنان خود جاسوسی کنند. تخمین زده شده که تجارت در”بخش نفوذ سایبری” هر ده سال دو برابر می شود.
• زنجیره تامین جرایم سایبری به طور فزاینده‌ای حرفه‌ای شده و کارگزاران دسترسی اولیه (IABs) منحصراً بر نقض ها و آسیب پذیری های سازمان هدف تمرکز می‌کنند که اغلب از طریق بهره‌برداری از آسیب‌پذیری دسترسی اولیه را ایجاد می کنند. یک گزارش از سال 2023 افزایش 45 درصدی IAB ها در انجمن های جرایم سایبری و دو برابر شدن تبلیغات IAB دارک وب در سال 2022 در مقایسه با 12 ماه قبل را ثبت کرد.

با این حال، ترندهای دیگر شاید حتی نگران کننده تر باشند. سازمانهای امنیتی اعلام کرده اند که اکثر این نقص ‌ها در ابتدا به عنوان Zero-day مورد بهره‌برداری قرار گرفته‌اند. این بدان معناست که در زمان بهره‌برداری، هیچ وصله‌ای در دسترس نبود و سازمان‌ها باید از مکانیسم‌های دیگری برای ایمن نگه‌ داشتن آنها یا به حداقل رساندن تأثیرات استفاده کنند. از طرف دیگر، آسیب پذیری ها با پیچیدگی کم و نیاز به تعامل کم یا بدون نیاز به کاربر نیز اغلب مورد توجه قرار می گیرند. یک مثال، اکسپلویت های zero-click است که توسط فروشندگان جاسوس‌افزار تجاری برای استقرار بدافزارشان ارائه می‌شود.

موضوع مورد توجه دیگر، هدف قرار دادن محصولات perimeter-based با بهره برداری از آسیب پذیری است. مراکز امنیت سایبری نسبت به افزایش چنین حملاتی هشدار داده اند که اغلب شامل سوء استفاده‌ های Zero-day است که برنامه ‌های انتقال فایل، فایروال‌ها، VPNها و ارائه‌های مدیریت دستگاه تلفن همراه (MDM) را هدف قرار می‌دهند. به گفته آنها:

مهاجمان متوجه شده‌اند که اکثر محصولاتی perimeter-based «از نظر طراحی ایمن» نیستند، و بنابراین آسیب‌پذیری‌ها را می‌توان خیلی راحت‌تر از سایر نرم افزارهای محبوب کاربران پیدا کرد.

موضوع بدتر می شود

موارد زیر موقع تصمیم گیری در خصوص پیاده سازی راهکارهای امنیتی قابل توجه است:

• سرعت بالای بهره برداری از آسیب پذیری. تحقیقات google cloud میانگین زمان بهره برداری را تنها پنج روز در سال 2023 تخمین زده است.
• پیچیدگی سیستم های IT، OT/IoT سازمانی امروزی که محیط های ترکیبی و چند ابری را با فناوری های قدیمی دربرمیگیرد.
• کیفیت پایین پچ های وندور و ارتباطات گیج کننده که باعث می شود راهکاری های دفاعی و امنیتی نیاز به تلاش دو چندان داشته و به این معنی است که اغلب وندورها نمیتوانند به طور موثری میزان در معرض خطر قرار گرفتن خود را ارزیابی نمایند.
• تاخیر در لیست های مختلف CVEها که باعث می شود بسیاری از سازمانها بدون منبع حیاتی اطلاعات به روز در مورد آسیب پذیری ها بمانند.

طبق بررسی های صورت گرفته توسط Verizon از منابع آسیب پذیری های شناخته شده :

• در طی 30 روز، 85 درصد از آسیب پذیری ها اصلاح نشدند.
• طی 50 روز، 50% از آسیب پذیری ها اصلاح نشدند.
• طی دو ماه همچنان 47% از آسیب پذیری ها اصلاح نشدند.

زمان وصله

حقیقت این است که هر ماه CVEهای زیادی در سیستم های مختلفی منتشر می شود تا تیم های فناوری اطلاعات و امنیت سازمانها بتوانند آنها را اصلاح کنند. بنابراین تمرکز باید بر اولویت بندی موثر با توجه به شدت خطر باشد. ویژگی های زیر را برای هر گونه آسیب پذیری و راهکار مدیریت وصله در نظر بگیرید.

• اسکن خودکار محیط های سازمانی برای CVEهای شناخته شده
• اولویت بندی آسیب پذیری ها براساس شدت آنها
• گزارشاتی با جزییات کامل به منظور شناسایی نرم افزارها و دارایی های آسیب پذیر، CVEهای مرتبط، وصله ها و …
• انعطاف پذیری به منظور انتخاب دارایی های مشخص برای وصله براساس نیازهای سازمان
• امکان وصله و انجام آپدیت ها به صورت دستی یا خودکار

برای تهدیدات Zero-day قابلیت هایی نظیر Advanced Threat detection که به صورت خودکار اکسپلویت های ممکن را اسکن کرده، در محیط سندباکس اجرا کرده تا از مخرب بودن یا نبودن آنها مطمئن شود، بسیار کمک کننده خواهند بود. الگوریتم های Machine learning می توانند تهدیدات جدید را با دقت بالا و در زمان کوتاه، شناسایی کرده، به طور خودکار آنها را مسدود کرده و وضعیت هر نمونه را ارائه کند.

تاکتیک ها و قابلیت های دیگر می تواند شامل تقسیم بندی شبکه ها، دسترسی به شبکه zero trust، نظارت بر شبکه (در جهت شناسایی رفتارها و فعالیت غیرمعمول) و برنامه های آگاه سازی و آموزش امنیت سایبری قوی باشد.

از آنجایی که مهاجمان از ابزارهای هوش مصنوعی بیشتر از قبل استفاده می کنند، اسکن دارایی ها و نرم افزارهای آسیب پذیری که در معرض حملات اینترنتی قرار دارد، برای آنها راحتتر است. با گذشت زمان حتی ممکن است بتوانند از ابزارهای هوش مصنوعی برای یافتن آسیب پذیری های zero-day استفاده کنند. بهترین دفاع این است که مطلع بمانید و از راهکارهای امنیتی جامع و معتبر استفاده نمایید. 

برای مثال راهکارهای ESET Protect امکان شناسایی و مدیریت آسیب پذیری ها در کمترین زمان و با ضریب اطمینان بالا را فراهم می کنند.

منبع:

welivesecurity.com