جب سافٹ ویئر میں نئی کمزوریاں دریافت ہوتی ہیں تو سیکیورٹی انڈسٹری اجتماعی طور پر اپنا دماغ کھو دیتی ہے۔ OpenSSL کوئی مستثنیٰ نہیں ہے، اور اکتوبر کے آخر اور نومبر 2022 کے اوائل میں دو نئی کمزوریوں نے نیوز فیڈز کو مغلوب کردیا۔ دریافت اور انکشاف اس کبھی نہ ختم ہونے والے خطرے کے چکر کی صرف شروعات ہیں۔ متاثرہ تنظیموں کو علاج کا سامنا کرنا پڑتا ہے، جو خاص طور پر ان لوگوں کے لیے تکلیف دہ ہوتا ہے جو IT کے فرنٹ لائنز پر ہیں۔ سیکیورٹی رہنماؤں کو سائبر سیکیورٹی کی ایک مؤثر حکمت عملی کو برقرار رکھنا چاہیے تاکہ نئی کمزوریوں پر کچھ شور کو فلٹر کرنے، سپلائی چینز کے اثرات کو پہچاننے اور اس کے مطابق اپنے اثاثوں کو محفوظ بنانے میں مدد ملے۔
سپلائی چین حملے دور نہیں ہو رہے ہیں۔
تقریباً ایک سال کے عرصے میں، ہم اجزاء میں شدید کمزوریوں سے دوچار ہوئے ہیں، بشمول log4j, بہار فریم ورک، اور اوپن ایس ایس ایل. پرانی کمزوریوں کا استحصال بھی ان نفاذ سے کبھی نہیں رکتا جو غلط کنفیگرڈ ہیں یا جو معلوم کمزور انحصار کا استعمال کرتے ہیں۔ نومبر 2022 میں، عوام کو ایک کے بارے میں معلوم ہوا۔ فیڈرل سویلین ایگزیکٹو برانچ کے خلاف حملہ مہم (FCEB)، جو ریاستی سرپرستی میں ایرانی خطرے سے منسوب ہے۔ یہ امریکی وفاقی ادارہ VMware Horizon انفراسٹرکچر چلا رہا تھا جس میں Log4Shell کمزوری تھی، جس نے ابتدائی حملے کے ویکٹر کے طور پر کام کیا۔ FCEB کو ایک پیچیدہ اٹیک چین کا نشانہ بنایا گیا جس میں لیٹرل موومنٹ، کریڈینشل کمپرومائز، سسٹم کمپرومائز، نیٹ ورک پرسٹینس، اینڈ پوائنٹ پروٹیکشن بائی پاس، اور کرپٹو جیکنگ شامل تھے۔
تنظیمیں پوچھ سکتی ہیں "او ایس ایس کو بالکل کیوں استعمال کرتے ہیں؟" OpenSSL یا Log4j جیسے کمزور پیکجوں سے سیکیورٹی کے واقعات کے بعد۔ سپلائی چین کے حملے اوپر کی طرف بڑھتے رہتے ہیں کیونکہ اجزاء کا دوبارہ استعمال شراکت داروں اور سپلائرز کے لیے "اچھی کاروباری سمجھ" بناتا ہے۔ ہم شروع سے تعمیر کرنے کے بجائے موجودہ کوڈ کو دوبارہ ترتیب دے کر سسٹمز کو انجینئر کرتے ہیں۔ یہ انجینئرنگ کی کوششوں کو کم کرنے، آپریشنل پیمانے پر، اور تیزی سے ڈیلیور کرنے کے لیے ہے۔ اوپن سورس سافٹ ویئر (OSS) کو عام طور پر عوامی جانچ پڑتال کی وجہ سے قابل اعتماد سمجھا جاتا ہے۔ تاہم، سافٹ ویئر ہمیشہ بدل رہا ہے، اور مسائل کوڈنگ کی غلطیوں یا منسلک انحصار کے ذریعے پیدا ہوتے ہیں۔ جانچ اور استحصالی تکنیک کے ارتقاء کے ذریعے بھی نئے مسائل کا پردہ فاش کیا جاتا ہے۔
سپلائی چین کی کمزوریوں سے نمٹنا
جدید ڈیزائنوں کو محفوظ بنانے کے لیے تنظیموں کو مناسب ٹولنگ اور عمل کی ضرورت ہے۔ روایتی نقطہ نظر جیسے کمزوری کا انتظام یا پوائنٹ ان ٹائم اسیسمنٹس ہی برقرار نہیں رہ سکتے۔ ضابطے اب بھی ان طریقوں کی اجازت دے سکتے ہیں، جو "محفوظ" اور "مطابق" کے درمیان تقسیم کو برقرار رکھتے ہیں۔ زیادہ تر تنظیمیں DevOps کی پختگی کی کچھ سطح حاصل کرنے کی خواہش رکھتی ہیں۔ "مسلسل" اور "خودکار" DevOps طریقوں کی عام خصوصیات ہیں۔ سیکیورٹی کے عمل میں فرق نہیں ہونا چاہیے۔ سیکیورٹی رہنماؤں کو اپنی حفاظتی حکمت عملی کے حصے کے طور پر تعمیر، ترسیل، اور رن ٹائم کے مراحل میں توجہ مرکوز رکھنی چاہیے:
- CI/CD میں مسلسل اسکین کریں: تعمیراتی پائپ لائنوں کو محفوظ بنانے کا مقصد (یعنی شفٹ-بائیں) لیکن تسلیم کریں کہ آپ تمام کوڈ اور نیسٹڈ کوڈ کو اسکین نہیں کر پائیں گے۔ شفٹ بائیں اپروچ کے ساتھ کامیابی اسکینر کی افادیت، اسکینر آؤٹ پٹ کے باہمی تعلق، ریلیز کے فیصلوں کی آٹومیشن، اور ریلیز ونڈوز کے اندر اسکینر کی تکمیل تک محدود ہے۔ ٹولنگ کو نتائج کے خطرے کو ترجیح دینے میں مدد کرنی چاہیے۔ تمام نتائج قابل عمل نہیں ہیں، اور آپ کے فن تعمیر میں کمزوریاں قابل استعمال نہیں ہوسکتی ہیں۔
- ترسیل کے دوران مسلسل اسکین کریں: اجزاء سے سمجھوتہ اور ماحول میں اضافہ ہوتا ہے۔ ایپلیکیشنز، انفراسٹرکچر، اور کام کے بوجھ کو ڈیلیور کرتے وقت اسکین کیا جانا چاہیے اگر ڈیجیٹل سپلائی چین میں کسی چیز سے سمجھوتہ کیا گیا ہو جب رجسٹریوں یا ریپوزٹریوں سے حاصل کیا جائے اور بوٹسٹریپ کیا جائے۔
- رن ٹائم میں مسلسل اسکین کریں: رن ٹائم سیکیورٹی بہت سے سیکیورٹی پروگراموں کا نقطہ آغاز ہے، اور سیکیورٹی کی نگرانی سائبر سیکیورٹی کی زیادہ تر کوششوں کو تقویت دیتی ہے۔ آپ کو ایسے میکانزم کی ضرورت ہے جو ہر قسم کے ماحول میں ٹیلی میٹری کو جمع اور اس سے جوڑ سکے، حالانکہ، بادل، کنٹینر، اور کبرنیٹس کے ماحول شامل ہیں۔ رن ٹائم میں جمع ہونے والی بصیرتیں پہلے کی تعمیر اور ترسیل کے مراحل پر واپس آنی چاہئیں۔ شناخت اور سروس کے تعاملات
- رن ٹائم میں سامنے آنے والی کمزوریوں کو ترجیح دیں: تمام تنظیمیں ہر چیز کو اسکین کرنے اور ٹھیک کرنے کے لیے کافی وقت اور وسائل کے ساتھ جدوجہد کرتی ہیں۔ خطرے پر مبنی ترجیح سیکورٹی پروگرام کے کام کے لیے بنیادی ہے۔ انٹرنیٹ کی نمائش صرف ایک عنصر ہے۔ ایک اور کمزوری کی شدت ہے، اور تنظیمیں اکثر اعلی اور نازک شدت کے مسائل پر توجہ مرکوز کرتی ہیں کیونکہ ان کا سب سے زیادہ اثر سمجھا جاتا ہے۔ یہ نقطہ نظر اب بھی انجینئرنگ اور سیکیورٹی ٹیموں کے چکروں کو ضائع کر سکتا ہے کیونکہ وہ ان کمزوریوں کا پیچھا کر رہے ہیں جو رن ٹائم پر کبھی لوڈ نہیں ہوتے ہیں اور ان کا فائدہ نہیں ہوتا ہے۔ رن ٹائم انٹیلی جنس کا استعمال کریں اس بات کی تصدیق کرنے کے لیے کہ آپ کی تنظیم کو اصل سیکیورٹی رسک جاننے کے لیے چلانے والی ایپلیکیشنز اور انفراسٹرکچر میں کون سے پیکجز درحقیقت لوڈ ہوتے ہیں۔
ہم نے بنایا ہے۔ مصنوعات کی مخصوص رہنمائی حالیہ OpenSSL پاگل پن کے ذریعے صارفین کو آگے بڑھانے کے لیے۔
تازہ ترین OpenSSL کمزوری اور Log4Shell ہمیں سائبر سیکیورٹی کی تیاری اور موثر سیکیورٹی حکمت عملی کی ضرورت کی یاد دلاتے ہیں۔ ہمیں یاد رکھنا چاہیے کہ CVE-IDs عوامی سافٹ ویئر یا ہارڈ ویئر میں صرف وہی معلوم مسائل ہیں۔ بہت سے خطرات کی اطلاع نہیں دی جاتی ہے، خاص طور پر گھریلو کوڈ میں کمزوریاں یا ماحولیاتی غلط کنفیگریشنز۔ آپ کی سائبرسیکیوریٹی حکمت عملی کو جدید ڈیزائن کی تقسیم شدہ اور متنوع ٹیکنالوجی کا حساب دینا چاہیے۔ آپ کو ایک جدید خطرے کے انتظام کے پروگرام کی ضرورت ہے جو انجینئرنگ ٹیموں کے لیے اصلاحی کام کو ترجیح دینے کے لیے رن ٹائم بصیرت کا استعمال کرتا ہے۔ آپ کو خطرے کا پتہ لگانے اور ردعمل کی صلاحیتوں کی بھی ضرورت ہے جو حیرت سے بچنے کے لیے تمام ماحول میں سگنلز کو آپس میں جوڑتی ہیں۔
مصنف کے بارے میں
.png?width=690&quality=80&format=webply&disable=upscale "سپلائی چین کے خطرات آپ کو نیچے لے گئے؟ پرسکون رہیں اور حکمت عملی اختیار کریں!")
سسڈیگ میں سائبرسیکیوریٹی اسٹریٹجی کے ڈائریکٹر مائیکل اسبٹسکی نے پانچ سال سے زیادہ عرصے سے سائبرسیکیوریٹی پر تحقیق اور مشورہ دیا ہے۔ وہ کلاؤڈ سیکیورٹی، کنٹینر سیکیورٹی، کبرنیٹس سیکیورٹی، API سیکیورٹی، سیکیورٹی ٹیسٹنگ، موبائل سیکیورٹی، ایپلیکیشن پروٹیکشن، اور محفوظ مسلسل ڈیلیوری میں مہارت رکھتا ہے۔ اس نے عالمی سطح پر ان گنت تنظیموں کو ان کے حفاظتی اقدامات اور ان کے کاروبار کی حمایت میں رہنمائی کی ہے۔
اپنے تحقیقی اور مشاورتی تجربے سے پہلے، مائیک نے 20 سال سے زیادہ پریکٹیشنر اور لیڈر شپ کے تجربے کے ساتھ IT کے فرنٹ لائنز پر بہت سے سخت اسباق سیکھے جس میں ایپلی کیشن سیکیورٹی، کمزوری کے انتظام، انٹرپرائز آرکیٹیکچر، اور سسٹمز انجینئرنگ پر توجہ دی گئی۔
