Jeff Abbott ซีอีโอของ Ivanti ในสัปดาห์นี้กล่าวว่าบริษัทของเขาจะปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยอย่างสมบูรณ์ แม้ว่าผู้ขายจะเปิดเผยข้อบกพร่องชุดใหม่อีกชุดหนึ่งในผลิตภัณฑ์การเข้าถึงระยะไกล Ivanti Connect Secure และ Policy Secure ที่มีช่องโหว่
ในจดหมายเปิดผนึกถึงลูกค้า แอ๊บบอตให้คำมั่นสัญญากับการเปลี่ยนแปลงต่างๆ มากมายที่บริษัทจะทำในอีกไม่กี่เดือนข้างหน้า เพื่อเปลี่ยนแปลงรูปแบบการดำเนินงานด้านความปลอดภัย หลังจากมีการเปิดเผยข้อบกพร่องอย่างไม่หยุดยั้งตั้งแต่เดือนมกราคม การแก้ไขตามสัญญาประกอบด้วยการปรับปรุงกระบวนการด้านวิศวกรรม ความปลอดภัย และการจัดการช่องโหว่ของ Ivanti โดยสมบูรณ์ และการนำแนวคิดริเริ่มการออกแบบที่ปลอดภัยมาใช้ในการพัฒนาผลิตภัณฑ์
ยกเครื่องใหม่หมดจด
“เราได้ท้าทายตัวเองให้พิจารณาทุกขั้นตอนของกระบวนการของเราและทุกผลิตภัณฑ์อย่างมีวิจารณญาณ เพื่อให้มั่นใจถึงการปกป้องในระดับสูงสุดสำหรับลูกค้าของเรา” แอ๊บบอตกล่าว ในคำกล่าวของเขา- “เราได้เริ่มใช้การเรียนรู้จากเหตุการณ์ล่าสุดเพื่อปรับปรุงแนวทางปฏิบัติด้านวิศวกรรมและความปลอดภัยของเราในทันที”
ขั้นตอนเฉพาะบางขั้นตอนรวมถึงการฝังการรักษาความปลอดภัยลงในทุกขั้นตอนของวงจรการพัฒนาซอฟต์แวร์ และการรวมคุณสมบัติการแยกและการป้องกันการใช้ประโยชน์ใหม่ในผลิตภัณฑ์ของตน เพื่อลดผลกระทบที่อาจเกิดขึ้นจากช่องโหว่ของซอฟต์แวร์ บริษัทจะปรับปรุงกระบวนการค้นหาและจัดการช่องโหว่ภายใน และเพิ่มแรงจูงใจสำหรับนักล่าแมลงบุคคลที่สาม แอ๊บบอตกล่าว
นอกจากนี้ Ivanti จะจัดเตรียมทรัพยากรเพิ่มเติมให้กับลูกค้าสำหรับการค้นหาข้อมูลช่องโหว่และเอกสารที่เกี่ยวข้อง และมุ่งมั่นที่จะเปลี่ยนแปลงและแบ่งปันข้อมูลกับลูกค้ามากขึ้น เขากล่าวเสริม
คำมั่นสัญญาเหล่านี้จะช่วยหยุดยั้งได้มากเพียงใด ความไม่แยแสของลูกค้าที่เพิ่มขึ้น โดยที่ Ivanti ยังคงไม่ชัดเจนเนื่องจากประวัติด้านความปลอดภัยของบริษัทเมื่อเร็วๆ นี้ ในความเป็นจริง ความคิดเห็นของ Abbot เกิดขึ้นหนึ่งวันหลังจากที่ Ivanti เปิดเผย ข้อบกพร่องใหม่สี่ประการใน Connect Secure และ Policy Secure เทคโนโลยีเกตเวย์และแพทช์ที่ออกให้สำหรับแต่ละเทคโนโลยี
การเปิดเผยเป็นไปตามก เหตุการณ์ที่คล้ายกันเมื่อไม่ถึงสองสัปดาห์ก่อน ที่เกี่ยวข้องกับข้อบกพร่องสองประการใน Standalone Sentry ของ Ivanti และ Neuron สำหรับผลิตภัณฑ์ ITSM จนถึงขณะนี้ Ivanti ได้เปิดเผยช่องโหว่ทั้งหมด 11 รายการ รวมถึงช่องโหว่สี่รายการในสัปดาห์นี้ในเทคโนโลยีตั้งแต่วันที่ 1 มกราคม ช่องโหว่จำนวนมากเป็นข้อบกพร่องร้ายแรง อย่างน้อยสองรายการเป็นศูนย์วันในผลิตภัณฑ์การเข้าถึงระยะไกลของบริษัท ซึ่งผู้โจมตี รวมถึงผู้แสดงภัยคุกคามขั้นสูงแบบต่อเนื่องเช่น “แม่เหล็กก็อบลิน,” มี ถูกเอารัดเอาเปรียบในวงกว้าง- ความกังวลเกี่ยวกับศักยภาพของการละเมิดที่สำคัญจากข้อบกพร่องเหล่านี้ทำให้หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา (CISA) ในเดือนมกราคมสั่งให้หน่วยงานพลเรือนของรัฐบาลกลางทั้งหมด ทำให้ระบบ Ivanti ออฟไลน์ และไม่เชื่อมต่ออุปกรณ์ใหม่จนกว่าจะได้รับการแก้ไขอย่างสมบูรณ์
เจค วิลเลียมส์ นักวิจัยด้านความปลอดภัยและคณาจารย์ด้านการวิจัยของ IANS กล่าวว่าการเปิดเผยช่องโหว่ทำให้เกิดคำถามร้ายแรงจากลูกค้าของ Ivanti “จากการสนทนาที่ผมมี โดยเฉพาะอย่างยิ่งกับลูกค้า Fortune 500 ผมคิดจริงๆ ว่ามันน้อยเกินไปหรือสายเกินไป” เขากล่าว “เวลาในการแสดงความมุ่งมั่นนี้ต่อสาธารณะเป็นเวลามากกว่าหนึ่งเดือนที่ผ่านมา” ไม่ต้องสงสัยเลยว่าปัญหาเกี่ยวกับอุปกรณ์ Ivanti VPN (เดิมเรียกว่า Pulse) กำลังทำให้ CISO ตั้งคำถามถึงความปลอดภัยของผลิตภัณฑ์อื่นๆ มากมายของ Ivanti เขากล่าว
ชุดใหม่ของแมลง 4 ตัว
ข้อบกพร่องใหม่สี่ประการที่ Ivanti เปิดเผยในสัปดาห์นี้รวมถึงช่องโหว่โอเวอร์โฟลว์ฮีปสองรายการในองค์ประกอบ IPSec ของ Connect Secure และ Policy Secure ซึ่งทั้งสองช่องโหว่นี้บริษัทระบุว่าเป็นความเสี่ยงที่มีความรุนแรงสูงสำหรับลูกค้า ช่องโหว่หนึ่งที่ถูกติดตามในชื่อ CVE-2024-21894 ช่วยให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถเรียกใช้โค้ดที่กำหนดเองบนระบบที่ได้รับผลกระทบได้ อีกอันหนึ่งซึ่งกำหนดเป็น CVE-2024-22053 อนุญาตให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถอ่านเนื้อหาจากหน่วยความจำระบบภายใต้เงื่อนไขบางประการได้ Ivanti อธิบายถึงช่องโหว่ทั้งสองแบบว่าอนุญาตให้ผู้โจมตีส่งคำขอที่ออกแบบมาเพื่อประสงค์ร้ายเพื่อกระตุ้นการปฏิเสธเงื่อนไขการให้บริการ
ข้อบกพร่องอีกสองประการ ได้แก่ CVE-2024-22052 และ CVE-2024-22023 เป็นช่องโหว่ระดับปานกลางสองช่องโหว่ที่ผู้โจมตีสามารถหาประโยชน์เพื่อทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการบนระบบที่ได้รับผลกระทบ Ivanti กล่าวว่า ณ วันที่ 2 เมษายน บริษัทไม่ทราบว่ามีกิจกรรมการหาประโยชน์ใดๆ ในป่าที่มุ่งเป้าไปที่ช่องโหว่
การเปิดเผยข้อบกพร่องอย่างต่อเนื่องทำให้เกิดคำถามเกี่ยวกับความเสี่ยงที่ผลิตภัณฑ์ของ Ivanti ก่อให้เกิดลูกค้ามากกว่า 40,000 รายทั่วโลก โดยบางรายแสดงความไม่พอใจกับ ฟอรัมเช่น Reddit- เมื่อสองปีที่แล้ว ข่าวประชาสัมพันธ์ของ Ivanti อ้างว่าบริษัท 96 แห่งจาก Fortune 100 เป็นลูกค้า ในรุ่นล่าสุดจำนวนดังกล่าวได้ลดลงเกือบ 12% เหลือ 85 บริษัท แม้ว่าการเลิกจ้างอาจเกี่ยวข้องกับปัจจัยอื่นนอกเหนือจากความปลอดภัย แต่คู่แข่งของอิวานติบางคนก็เริ่มรู้สึกถึงโอกาสแล้ว ตัวอย่างเช่น Cisco ได้เริ่มต้นแล้ว เสนอสิ่งจูงใจ — รวมถึงการทดลองใช้ฟรี 90 วัน — เพื่อลองให้ลูกค้า Ivanti VPN ย้ายไปยังแพลตฟอร์ม Secure Access เพื่อให้พวกเขาสามารถ “ลดความเสี่ยง” จากผลิตภัณฑ์ของ Ivanti
ปัญหาที่เกี่ยวข้องกับการซื้อกิจการ?
Eric Parizo นักวิเคราะห์ของ Omdia กล่าวว่าอย่างน้อยความท้าทายบางประการของ Ivanti เกี่ยวข้องกับความจริงที่ว่ากลุ่มผลิตภัณฑ์ของบริษัทเป็นผลรวมของการเข้าซื้อกิจการในอดีตจำนวนมาก “ผลิตภัณฑ์ดั้งเดิมได้รับการพัฒนาในเวลาที่ต่างกันโดยบริษัทต่าง ๆ เพื่อวัตถุประสงค์ที่แตกต่างกันโดยใช้วิธีการที่แตกต่างกัน ซึ่งหมายความว่าคุณภาพของซอฟต์แวร์ โดยเฉพาะอย่างยิ่งในเรื่องความปลอดภัยของซอฟต์แวร์ อาจไม่สม่ำเสมออย่างมาก” เขากล่าว
Parizo กล่าวว่าสิ่งที่ Ivanti กำลังทำอยู่ตอนนี้ด้วยความมุ่งมั่นที่จะปรับปรุงกระบวนการและขั้นตอนด้านความปลอดภัยโดยรวมถือเป็นก้าวไปในทิศทางที่ถูกต้อง “ฉันอยากเห็นผู้ขายชดใช้ค่าเสียหายให้กับลูกค้าสำหรับความเสียหายที่เกิดขึ้นโดยตรงจากช่องโหว่เหล่านี้ เนื่องจากจะช่วยฟื้นคืนความมั่นใจในการซื้อในอนาคต” เขากล่าว “บางทีข้อดีอย่างหนึ่งสำหรับ Ivanti ก็คือลูกค้าคุ้นเคยกับเหตุการณ์ประเภทนี้มาก โดยที่ผู้จำหน่ายด้านความปลอดภัยทางไซเบอร์ต้องทนทุกข์ทรมานกับเหตุการณ์ที่คล้ายกันนับไม่ถ้วนในช่วงไม่กี่ปีที่ผ่านมา ซึ่งลูกค้ามีแนวโน้มที่จะให้อภัยและลืมไป”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/remote-workforce/ivanti-ceo-commits-to-security-overhaul-day-after-vendor-discloses-4-more-vulns
- :มี
- :เป็น
- :ไม่
- 000
- ลูกค้า 000 ราย
- 1
- 100
- 11
- 40
- 500
- 7
- a
- เกี่ยวกับเรา
- เข้า
- การครอบครอง
- การซื้อกิจการ
- ข้าม
- อยากทำกิจกรรม
- นักแสดง
- ที่เพิ่ม
- นอกจากนี้
- สูง
- ได้รับผล
- หลังจาก
- หน่วยงานที่
- บริษัท ตัวแทน
- มาแล้ว
- ทั้งหมด
- การอนุญาต
- ช่วยให้
- แล้ว
- ด้วย
- an
- นักวิเคราะห์
- และ
- และโครงสร้างพื้นฐาน
- อื่น
- ใด
- การประยุกต์ใช้
- เมษายน
- โดยพลการ
- เป็น
- AS
- ที่ได้รับมอบหมาย
- ที่เกี่ยวข้อง
- At
- โจมตี
- การขัดสี
- ใช้ได้
- ทราบ
- เขื่อน
- ตาม
- BE
- รับ
- เริ่ม
- บิต
- คณะกรรมการ
- ทั้งสอง
- การละเมิด
- Bug
- เป็นโรคจิต
- by
- มา
- CAN
- ก่อให้เกิด
- ผู้บริหารสูงสุด
- บาง
- ท้าทาย
- ความท้าทาย
- การเปลี่ยนแปลง
- ลักษณะ
- ซิสโก้
- พลเรือน
- อ้างว่า
- ลูกค้า
- รหัส
- มา
- ความคิดเห็น
- ความมุ่งมั่น
- ภาระผูกพัน
- มุ่งมั่น
- บริษัท
- บริษัท
- สมบูรณ์
- อย่างสมบูรณ์
- ส่วนประกอบ
- กังวล
- เงื่อนไข
- ความมั่นใจ
- เชื่อมต่อ
- เนื้อหา
- การสนทนา
- ที่สร้างขึ้น
- วิกฤติ
- ลูกค้า
- ลูกค้า
- cybersecurity
- วงจร
- วัน
- Denial of Service
- อธิบาย
- พัฒนา
- พัฒนาการ
- อุปกรณ์
- ต่าง
- ทิศทาง
- โดยตรง
- การเปิดเผย
- การค้นพบ
- do
- เอกสาร
- การทำ
- เป็นคุ้งเป็นแคว
- แต่ละ
- การฝัง
- ชั้นเยี่ยม
- ทำให้มั่นใจ
- โดยเฉพาะอย่างยิ่ง
- แม้
- เหตุการณ์
- ทุกๆ
- เอาเปรียบ
- การแสดง
- ความจริง
- ปัจจัย
- ไกล
- คุณสมบัติ
- รัฐบาลกลาง
- หา
- แก้ไข
- ข้อบกพร่อง
- ตาม
- ดังต่อไปนี้
- สำหรับ
- สมัยก่อน
- โชคลาภ
- สี่
- ฟรี
- ทดลองฟรี
- สด
- ราคาเริ่มต้นที่
- แห้ว
- อย่างเต็มที่
- อนาคต
- เกตเวย์
- ได้รับ
- กำหนด
- จะช่วยให้
- ความสง่างาม
- มากขึ้น
- มี
- มี
- he
- ช่วย
- ที่สูงที่สุด
- ของเขา
- อย่างสุจริต
- HTTPS
- i
- ทันที
- ส่งผลกระทบ
- การดำเนินงาน
- ปรับปรุง
- การปรับปรุง
- การปรับปรุง
- in
- แรงจูงใจ
- อุบัติการณ์
- ประกอบด้วย
- รวม
- รวมทั้ง
- เพิ่ม
- ข้อมูล
- โครงสร้างพื้นฐาน
- Initiative
- ตัวอย่าง
- การบูรณาการ
- ภายใน
- เข้าไป
- ร่วมมือ
- ความเหงา
- ทุนที่ออก
- ปัญหา
- IT
- ITS
- แจน
- มกราคม
- jpg
- เพียงแค่
- ปลาย
- ล่าสุด
- รุ่นล่าสุด
- การเรียนรู้
- น้อยที่สุด
- น้อยลง
- จดหมาย
- ชั้น
- ชีวิต
- กดไลก์
- น่าจะ
- น้อย
- ดู
- สำคัญ
- ทำ
- การทำ
- การจัดการ
- หลาย
- มวล
- วิธี
- สมาชิก
- หน่วยความจำ
- วิธีการ
- อาจ
- อพยพ
- ลด
- บรรเทา
- แบบ
- เดือน
- เดือน
- ข้อมูลเพิ่มเติม
- มาก
- เกือบทั้งหมด
- ใหม่
- ไม่
- ตอนนี้
- จำนวน
- มากมาย
- of
- ออมเดีย
- on
- ONE
- เปิด
- การดำเนินงาน
- โอกาส
- ใบสั่ง
- เป็นต้นฉบับ
- อื่นๆ
- ของเรา
- ตัวเรา
- เกิน
- ยกเครื่อง
- ของตนเอง
- ในสิ่งที่สนใจ
- อดีต
- แพทช์
- บางที
- ระยะ
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- นโยบาย
- ผลงาน
- ท่าทาง
- ที่มีศักยภาพ
- การปฏิบัติ
- กด
- ข่าวประชาสัมพันธ์
- ปัญหาที่เกิดขึ้น
- ขั้นตอน
- กระบวนการ
- กระบวนการ
- ผลิตภัณฑ์
- การพัฒนาผลิตภัณฑ์
- ผลิตภัณฑ์
- สัญญา
- การป้องกัน
- สาธารณชน
- ชีพจร
- การซื้อสินค้า
- วัตถุประสงค์
- คุณภาพ
- คำถาม
- คำถาม
- ยก
- อ่าน
- เมื่อเร็ว ๆ นี้
- เชื่อมต่อ
- ระเบียน
- พิจารณา
- ที่เกี่ยวข้อง
- ปล่อย
- สัมพันธ์
- กระด้าง
- ซากศพ
- รีโมท
- การเข้าถึงระยะไกล
- การร้องขอ
- การวิจัย
- นักวิจัย
- แหล่งข้อมูล
- ฟื้นฟู
- ส่งผลให้
- ขวา
- ความเสี่ยง
- คู่แข่ง
- วิ่ง
- s
- กล่าวว่า
- ประหยัด
- พูดว่า
- ปลอดภัย
- ความปลอดภัย
- เห็น
- ส่ง
- ความรู้สึก
- ชุด
- ร้ายแรง
- บริการ
- ชุด
- ใช้งานร่วมกัน
- คล้ายคลึงกัน
- ตั้งแต่
- So
- จนถึงตอนนี้
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- บาง
- โดยเฉพาะ
- ระยะ
- สแตนด์อโลน
- คงที่
- ก้านดอก
- ขั้นตอน
- ขั้นตอน
- กระแส
- อย่างเช่น
- ทุกข์ทรมาน
- ระบบ
- ระบบ
- กำหนดเป้าหมาย
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- คิด
- ของบุคคลที่สาม
- นี้
- ในสัปดาห์นี้
- ทั่วถึง
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- เวลา
- ครั้ง
- ไปยัง
- เกินไป
- รวม
- ไปทาง
- ลู่
- บันทึกเสียง
- แปลง
- การแปลง
- การทดลอง
- เรียก
- ลอง
- สอง
- ภายใต้
- จนกระทั่ง
- us
- มือสอง
- การใช้
- แตกต่างกัน
- ผู้ขาย
- ผู้ขาย
- VPN
- ช่องโหว่
- ความอ่อนแอ
- ข้อมูลช่องโหว่
- คือ
- ทาง..
- we
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- คือ
- อะไร
- ที่
- ในขณะที่
- ป่า
- จะ
- วิลเลียมส์
- กับ
- ทั่วโลก
- จะ
- ปี
- ลมทะเล