يفقد قطاع الأمن عقله بشكل جماعي عند اكتشاف ثغرات أمنية جديدة في البرامج. OpenSSL ليس استثناءً ، وثغرتان جديدتان من نقاط الضعف طغت على موجز الأخبار في أواخر أكتوبر وأوائل نوفمبر 2022. الاكتشاف والإفصاح ليسا سوى بدايات دورة الثغرات الأمنية التي لا تنتهي. تواجه المنظمات المتأثرة علاجًا مؤلمًا بشكل خاص لمن هم في الخطوط الأمامية لتكنولوجيا المعلومات. يجب على قادة الأمن الحفاظ على إستراتيجية فعالة للأمن السيبراني للمساعدة في تصفية بعض الضوضاء على نقاط الضعف الجديدة ، والتعرف على التأثيرات على سلاسل التوريد ، وتأمين أصولهم وفقًا لذلك.
هجمات سلسلة التوريد لا تذهب بعيدا
في غضون عام تقريبًا ، عانينا من نقاط ضعف شديدة في المكونات بما في ذلك log4j, إطار الربيعو بينسل. كما أن استغلال الثغرات الأمنية القديمة لا يتوقف أبدًا عن عمليات التنفيذ التي تم تكوينها بشكل خاطئ أو التي تستخدم تبعيات ضعيفة معروفة. في نوفمبر 2022 ، علم الجمهور بـ حملة هجومية ضد السلطة التنفيذية المدنية الاتحادية (FCEB) ، بسبب تهديد إيراني ترعاه الدولة. كان هذا الكيان الفيدرالي الأمريكي يقوم بتشغيل البنية التحتية لـ VMware Horizon التي تحتوي على ثغرة Log4Shell ، والتي كانت بمثابة ناقل الهجوم الأولي. تعرض FCEB لسلسلة هجوم معقدة تضمنت الحركة الجانبية ، والتسوية في بيانات الاعتماد ، واختراق النظام ، واستمرارية الشبكة ، وتجاوز حماية نقطة النهاية ، والتشفير.
قد تسأل المنظمات "لماذا تستهلك برمجيات المصدر المفتوح على الإطلاق؟" بعد حوادث الأمان من الحزم الضعيفة مثل OpenSSL أو Log4j. تستمر هجمات سلسلة التوريد في الاتجاه التصاعدي لأن إعادة استخدام المكونات تجعل "منطقًا تجاريًا جيدًا" للشركاء والموردين. نقوم بهندسة الأنظمة من خلال تغيير الغرض من الكود الحالي بدلاً من البناء من نقطة الصفر. هذا لتقليل الجهد الهندسي والتوسع التشغيلي والتسليم بسرعة. تعتبر البرمجيات مفتوحة المصدر (OSS) بشكل عام جديرة بالثقة بحكم التدقيق العام الذي تتلقاه. ومع ذلك ، فإن البرامج تتغير باستمرار ، وتظهر المشكلات من خلال أخطاء الترميز أو التبعيات المرتبطة. كما يتم الكشف عن قضايا جديدة من خلال تطور تقنيات الاختبار والاستغلال.
معالجة ثغرات سلسلة التوريد
تحتاج المنظمات إلى الأدوات والعمليات المناسبة لتأمين التصاميم الحديثة. المناهج التقليدية مثل إدارة نقاط الضعف أو التقييمات في الوقت المناسب وحدها لا يمكن مواكبة ذلك. قد لا تزال اللوائح تسمح بهذه الأساليب ، مما يديم الفجوة بين "آمن" و "متوافق". تطمح معظم المنظمات إلى الحصول على مستوى معين من نضج DevOps. تعتبر "المستمر" و "الآلي" من السمات الشائعة لممارسات DevOps. لا ينبغي أن تختلف العمليات الأمنية. يجب أن يحافظ قادة الأمن على التركيز خلال مراحل الإنشاء والتسليم ووقت التشغيل كجزء من إستراتيجيتهم الأمنية:
- فحص مستمر في CI / CD: تهدف إلى تأمين خطوط أنابيب البناء (على سبيل المثال ، التحول إلى اليسار) ولكن عليك الإقرار بأنك لن تتمكن من مسح جميع التعليمات البرمجية والتعليمات البرمجية المتداخلة. النجاح في نهج التحول إلى اليسار مقيد بفاعلية الماسح الضوئي ، وارتباط إخراج الماسح الضوئي ، وأتمتة قرارات الإصدار ، وإكمال الماسح الضوئي داخل نوافذ الإصدار. يجب أن تساعد الأدوات في تحديد أولويات مخاطر النتائج. ليست كل النتائج قابلة للتنفيذ ، وقد لا تكون نقاط الضعف قابلة للاستغلال في بنيتك.
- فحص مستمر أثناء الولادة: يحدث حل وسط للمكونات وانحراف البيئة. يجب فحص التطبيقات والبنية التحتية وأعباء العمل أثناء تسليمها في حالة تعرض شيء ما للاختراق في سلسلة التوريد الرقمية عند الحصول عليها من السجلات أو المستودعات وتمهيدها.
- فحص مستمر في وقت التشغيل: يعد أمان وقت التشغيل نقطة البداية للعديد من برامج الأمان ، وتدعم مراقبة الأمان معظم جهود الأمن السيبراني. أنت بحاجة إلى آليات يمكنها جمع القياس عن بُعد وربطه في جميع أنواع البيئات ، على الرغم من ذلك ، بما في ذلك بيئات السحابة والحاويات و Kubernetes. يجب أن تعود الرؤى التي يتم جمعها في وقت التشغيل إلى مراحل الإنشاء والتسليم السابقة. تفاعلات الهوية والخدمة
- تحديد أولويات الثغرات الأمنية المكشوفة في وقت التشغيل: تكافح جميع المنظمات للحصول على ما يكفي من الوقت والموارد لفحص كل شيء وإصلاحه. يعد تحديد الأولويات على أساس المخاطر أمرًا أساسيًا لعمل برنامج الأمان. التعرض للإنترنت هو مجرد عامل واحد. آخر هو شدة الضعف ، وغالبًا ما تركز المؤسسات على القضايا الشديدة الخطورة حيث يُنظر إليها على أنها ذات التأثير الأكبر. لا يزال بإمكان هذا النهج إهدار دورات فرق الهندسة والأمن لأنها قد تطارد نقاط الضعف التي لا يتم تحميلها مطلقًا في وقت التشغيل والتي لا يمكن استغلالها. استخدم ذكاء وقت التشغيل للتحقق من الحزم التي يتم تحميلها بالفعل في التطبيقات قيد التشغيل والبنية التحتية لمعرفة المخاطر الأمنية الفعلية لمؤسستك.
لقد خلقنا إرشادات خاصة بالمنتج لتوجيه العملاء من خلال جنون OpenSSL الأخير.
تذكرنا أحدث ثغرات OpenSSL و Log4Shell بالحاجة إلى الاستعداد للأمن السيبراني واستراتيجية أمنية فعالة. يجب أن نتذكر أن معرفات CVE هي فقط تلك المشكلات المعروفة في البرامج أو الأجهزة العامة. لا يتم الإبلاغ عن العديد من نقاط الضعف ، لا سيما نقاط الضعف في التعليمات البرمجية المحلية أو التكوينات البيئية الخاطئة. يجب أن تراعي استراتيجية الأمن السيبراني الخاصة بك التكنولوجيا الموزعة والمتنوعة للتصميمات الحديثة. أنت بحاجة إلى برنامج حديث لإدارة الثغرات الأمنية يستخدم رؤى وقت التشغيل لتحديد أولويات أعمال الإصلاح للفرق الهندسية. تحتاج أيضًا إلى اكتشاف التهديدات وقدرات الاستجابة التي تربط الإشارات عبر البيئات لتجنب المفاجآت.
عن المؤلف
.png?width=690&quality=80&format=webply&disable=upscale "هل أوقعتك مخاطر سلسلة التوريد؟ الحفاظ على الهدوء والاستراتيجية!")
أجرى مايكل إيسبيتسكي ، مدير استراتيجية الأمن السيبراني في Sysdig ، أبحاثًا وتقديم المشورة بشأن الأمن السيبراني لأكثر من خمس سنوات. إنه متمرس في أمان السحابة وأمن الحاويات وأمن Kubernetes وأمن واجهة برمجة التطبيقات واختبار الأمان وأمن الأجهزة المحمولة وحماية التطبيقات والتسليم المستمر الآمن. لقد قام بتوجيه عدد لا يحصى من المنظمات على مستوى العالم في مبادراتها الأمنية ودعم أعمالها.
قبل خبرته البحثية والاستشارية ، تعلم مايك العديد من الدروس الصعبة في الخطوط الأمامية لتكنولوجيا المعلومات مع أكثر من 20 عامًا من الخبرة العملية والقيادية التي تركز على أمان التطبيقات ، وإدارة الثغرات الأمنية ، وهندسة المؤسسات ، وهندسة الأنظمة.
