the tech news world : امنیت رایانه تنها زمانی اتفاق می افتد که نرم افزار به روز باشد. این باید یک اصل اساسی برای کاربران تجاری و بخش های فناوری اطلاعات باشد.
ظاهراً اینطور نیست. حداقل برای برخی از کاربران لینوکس که نصب وصلههای مهم یا غیر ضروری را نادیده میگیرند.
یک نظرسنجی اخیر که توسط TuxCare، یک سیستم پشتیبانی شرکتی بیطرف از فروشنده برای لینوکس تجاری حمایت میشود، نشان میدهد که شرکتها حتی در صورت وجود وصلهها از خود در برابر حملات سایبری محافظت نمیکنند.
نتایج نشان میدهد که حدود 55 درصد از پاسخدهندگان یک حادثه امنیت سایبری داشتهاند، زیرا یک وصله در دسترس اعمال نشده است. در واقع، هنگامی که یک آسیبپذیری مهم یا با اولویت بالا پیدا شد، 56 درصد به طور متوسط پنج هفته تا یک سال طول میکشید تا آسیبپذیری را برطرف کنند.
هدف این مطالعه درک چگونگی مدیریت امنیت و ثبات در مجموعه محصولات لینوکس توسط سازمان ها بود. مؤسسه Ponemon با حمایت TuxCare، در ماه مارس از 564 کارمند فناوری اطلاعات و متخصصان امنیت در 16 صنعت مختلف در ایالات متحده نظرسنجی کرد.
دادههای پاسخدهندگان نشان میدهد که شرکتها برای اصلاح آسیبپذیریهای امنیتی بیش از حد زمان میبرند، حتی زمانی که راهحلهایی از قبل وجود داشته باشد. بدون در نظر گرفتن انفعال آنها، بسیاری از پاسخ دهندگان خاطرنشان کردند که بار سنگینی را از طیف گسترده ای از حملات سایبری احساس می کنند.
ایگور سلتسکی، مدیرعامل و موسس TuxCare، خاطرنشان کرد: این یک مشکل قابل حل است. به این دلیل نیست که راه حل وجود ندارد. بلکه به این دلیل است که اولویت بندی مشکلات آینده برای مشاغل دشوار است.
«افرادی که کیتهای بهرهبرداری را میسازند، واقعاً خوب شدهاند. جیم جکسون، رئیس TuxCare، به LinuxInsider گفت: قبلاً 30 روز بهترین تمرین [برای وصله کردن] بود، و این هنوز بهترین تمرین ایده آل برای بسیاری از مقررات است.
غذای اصلی
نتایج نظرسنجی این تصور غلط را آشکار می کند که سیستم عامل لینوکس بدون مداخله سختگیرانه و بی خطا نیست. بنابراین کاربران ناآگاه اغلب حتی یک فایروال را فعال نمی کنند. در نتیجه، بسیاری از مسیرهای نفوذ ناشی از آسیبپذیریهایی است که میتوان آنها را برطرف کرد.
لری پونمون، رئیس و مؤسس مؤسسه پونمون، خاطرنشان کرد: «پچ کردن یکی از مهمترین گامهایی است که یک سازمان میتواند برای محافظت از خود در برابر باجافزارها و سایر حملات سایبری بردارد».
اصلاح آسیبپذیریها فقط به هسته محدود نمیشود. او افزود که باید به سیستمهای دیگر مانند کتابخانهها، مجازیسازی و پایانههای پشتیبان پایگاه داده گسترش یابد.
برای NICE Interactions 2022 ثبت نام کنید
در نوامبر 2020، TuxCare اولین سرویس پشتیبانی طولانی مدت این شرکت را برای CentOS 6.0 راه اندازی کرد. جکسون به یاد میآورد که از همان ابتدا بسیار موفق بود. اما چیزی که همچنان او را به دردسر میاندازد، مشتریان جدیدی است که برای پشتیبانی طولانیمدت چرخه عمر میآیند و هیچ اصلاحی انجام ندادهاند.
“من همیشه همین سوال را می پرسم. در یک سال و نیم گذشته چه کار می کردید؟ هیچ چیزی؟ یک سال است که وصله نکرده اید. آیا میدانید که در این مدت چند آسیبپذیری روی هم انباشته شده است؟» او شوخی کرد.
فرآیند فشرده کار
تحقیقات Ponemon با TuxCare مشکلاتی را که سازمانها برای دستیابی به اصلاح به موقع آسیبپذیریها دارند، آشکار کرد. به گفته پونمون، این علیرغم صرف هزینه متوسط سالانه 3.5 میلیون دلار در بیش از 1000 ساعت سیستم نظارت هفتگی برای تهدیدها و آسیب پذیری ها، وصله کردن، مستندسازی و گزارش نتایج است.
او میگوید: «برای رفع این مشکل، CIOها و رهبران امنیت فناوری اطلاعات باید با سایر اعضای تیم اجرایی و اعضای هیئتمدیره کار کنند تا اطمینان حاصل کنند که تیمهای امنیتی منابع و تخصص لازم برای شناسایی آسیبپذیریها، جلوگیری از تهدیدات و اصلاح آسیبپذیریها را به موقع دارند.» گفت.
این گزارش نشان داد که شرکتهای پاسخدهندگانی که وصلهای انجام دادهاند، زمان قابلتوجهی را در این فرآیند صرف کردهاند:
بیشترین زمان صرف شده در هفته برای اصلاح برنامه ها و سیستم ها 340 ساعت بود.
سیستم های پایش تهدیدها و آسیب پذیری ها هر هفته 280 ساعت طول می کشد.
مستندسازی و/یا گزارش فرآیند مدیریت پچ هر هفته 115 ساعت طول کشید.
برای زمینه، این ارقام به یک تیم IT متشکل از 30 نفر و یک نیروی کار 12000 نفری، به طور متوسط، در بین پاسخ دهندگان مربوط می شود.
بهانه های بی حد و حصر پابرجاست
جکسون گفتوگوهای متعددی را با افراد بالقوهای به یاد میآورد که همان داستان کثیف را تکرار میکنند. آنها به سرمایه گذاری در اسکن آسیب پذیری اشاره می کنند. آنها به گزارش آسیب پذیری اسکن تولید شده نگاه می کنند. سپس آنها از نداشتن منابع کافی برای تعیین تکلیف شخصی برای اصلاح مواردی که در گزارشهای اسکن نشان داده میشوند شکایت دارند.
“این دیوانه است!” او گفت.
یکی دیگر از چالشهایی که شرکتها تجربه میکنند، سندرم همیشگی ضربه زدن به خال است. مشکل به قدری بزرگ می شود که سازمان ها و مدیران ارشد آنها از غرق شدن فراتر نمی روند.
جکسون این وضعیت را به تلاش برای تامین امنیت خانه هایشان تشبیه کرد. بسیاری از دشمنان در کمین هستند و تهدیدات بالقوه نفوذ هستند. ما می دانیم که آنها به دنبال چیزهایی هستند که شما در خانه خود دارید.
بنابراین مردم روی یک حصار پیچیده در اطراف ملک خود سرمایه گذاری می کنند و دوربین ها را نظارت می کنند تا سعی کنند هر زاویه، هر عامل حمله احتمالی را در اطراف خانه زیر نظر داشته باشند.
«سپس چند پنجره و در پشتی را باز می گذارند. این به نوعی شبیه به حذف آسیبپذیریها است. اگر آن را وصله کنید، دیگر قابل بهره برداری نیست.»
بنابراین او توصیه کرد که ابتدا به اصول اولیه بازگردید. قبل از اینکه برای چیزهای دیگر خرج کنید حتما این کار را انجام دهید.
اتوماسیون وصله کردن را بدون درد می کند
به گفته جکسون، مشکل وصله همچنان جدی است. شاید تنها چیزی که در حال بهبود است، توانایی اعمال اتوماسیون برای مدیریت بیشتر آن فرآیند باشد.
هر گونه آسیب پذیری شناخته شده ای که داریم باید ظرف دو هفته کاهش یابد. این امر مردم را به سمت اتوماسیون برای وصلههای زنده و موارد دیگر سوق داده است تا بتوانید با دهها هزار بار کاری روبرو شوید. شما نمی توانید هر دو هفته یکبار همه چیز را شروع کنید. بنابراین شما به فناوریهایی نیاز دارید تا شما را از آن عبور داده و آن را خودکار کند.» او به عنوان یک راهحل قابل اجرا توضیح داد.
جکسون گفت که وضعیت بهتر شده است. او می بیند که افراد و سازمان های بیشتری از ابزارهای اتوماسیون آگاه می شوند.
به عنوان مثال، اتوماسیون میتواند وصلهها را برای باز کردن کتابخانههای SSL و G و C اعمال کند، در حالی که سرویسها بدون نیاز به بازگرداندن سرویسها از آنها استفاده میکنند. اکنون وصلههای زنده پایگاه داده به صورت بتا در دسترس است که به TuxCare اجازه میدهد تا وصلههای امنیتی را بر روی Maria، MySQL، Mongo و دیگر انواع پایگاههای داده در حین اجرا اعمال کند.
بنابراین شما نیازی به راه اندازی مجدد سرور پایگاه داده یا هر یک از کلاینت هایی که استفاده می کنند ندارید. ادامه دادن آگاهی قطعا کمک می کند. به نظر می رسد که افراد بیشتری آگاه می شوند و متوجه می شوند که به چنین راه حلی نیاز دارند.