بحث: نصف الشركات تصحح نقاط الضعف في غضون شهر - لماذا؟

أجرى الباحثون في Kollective ، وهي شركة توصيل محتوى محددة بالبرمجيات ، دراسة استقصائية بين مائتي منظمة أمريكية وبريطانية. ووجدوا أن ما يقرب من نصف الشركات بحاجة إلى شهر كامل لإغلاق ثغرة معروفة. سنشرح سبب حدوث ذلك ، وما الذي يمكن فعله حيال ذلك.


/ PxHere / PD

تقوم الشركات بتثبيت تصحيحات طويلة جداً

تم إجراء المسح Kollective بين رؤساء أقسام تكنولوجيا المعلومات. قال 45 ٪ من المستجيبين من الشركات الكبيرة (الذين لديهم أكثر من 100 ألف محطة شبكة) أنهم بحاجة إلى حوالي 30 يومًا لتثبيت التصحيح. قال 27 ٪ آخرون أنه في بعض الأحيان يستغرق الأمر منهم عدة أشهر لتثبيت التحديثات.

مع تزايد عدد التهديدات السيبرانية ، يبدو أن اتباع نهج مماثل غير مقبول. وفقًا لشركة Symantec ، ارتفع عدد هجمات برامج الفدية العام الماضي بنسبة 36٪. علاوة على ذلك ، من المعروف أن أكثر من 230 ألف عينة من البرامج الضارة تظهر كل يوم.

في هذا الصدد ، على مدار العامين الماضيين ، انخفض وقت تثبيت التصحيح ، الذي كانت الشركة أمامه قبل أن يستغل المهاجمون الثغرة الأمنية ، بنسبة 29٪. ومع ذلك ، لا يزال التحديث الأمني ​​البسيط أحد أكثر طرق الحماية فعالية. في العديد من عمليات الاختراق ومقالب البيانات ، يستغل المتسللون نقاط الضعف التي تم إصدار تصحيح لها بالفعل.

أجرت ServiceNow دراسة استقصائية بين 3 آلاف من خبراء أمن المعلومات من جميع أنحاء العالم ووجدت أن 56٪ من الشركات كان بإمكانها تجنب تسرب المعلومات في الماضي إذا قامت بتثبيت تحديث في الوقت المحدد. مثال على ذلك هو السرقة الهائلة للبيانات الشخصية من Equifax في الولايات المتحدة الأمريكية. ثم تدفق أكثر من 140 مليون أمريكي إلى الشبكة.

كان من الممكن تجنب هذا الحادث إذا قام المتخصصون في مكتب الائتمان بتثبيت التصحيح في الوقت المناسب. استخدم المخترقون الثغرة الأمنية في إطار عمل Apache Struts ( CVE-2017-5638 ) بسبب خطأ في معالجة الاستثناءات. تم إصدار تصحيح لهذه الثغرة الأمنية قبل شهرين من الهجوم على Equifax.

لماذا تأخير التحديثات

1. نقص الموظفين. تعاني أقسام أمن المعلومات من نقص المتخصصين المؤهلين. وفقًا لمنظمة ISACA غير الربحية ، بحلول عام 2019 ، سيكون هناك نقص في أفراد أمن المعلومات في الصناعة. سيكون النقص حوالي 2 مليون شخص.

هذا يؤثر بالفعل بشكل مباشر على حماية المنظمات من الهجمات السيبرانية. في دراسة McAfee لعام 2016 ، قال ربع المستجيبين إن نقص خبراء أمن المعلومات في شركتهم أدى إلى تسرب البيانات.

2. إدارة تثبيت التصحيح غير فعالة. ومع ذلك ، فإن زيادة عدد موظفي متخصصي أمن المعلومات في الشركة لا يؤدي دائمًا إلى زيادة موثوقية البنية التحتية لتكنولوجيا المعلومات. تشير ServiceNow إلى أنه لا يجب عليك الانتظار لزيادة الأمان حتى يتم تعديل عمليات الأعمال المرتبطة بالتصحيح.

يتأثر معدل إغلاق الثغرات بعدد كبير من العمليات اليدوية. هناك شركات لا تزال تستخدم Excel لإدارة التصحيح. حتى أن شركة واحدة من Fortune 100 شكلت قسمًا كاملاً من الموظفين المسؤولين عن إدارة جداول البيانات ببيانات الضعف - يكتبون هناك ما إذا كان هناك تصحيح ، ومن يقوم بتثبيته ، وما إلى ذلك.

وفقًا لنائب رئيس Trend Micro لـ Cloud Research في Mark Micro ، فإن Mark Nunnikhoven هو على وجه التحديد أن نقص الأتمتة في عملية تحديث أنظمة تكنولوجيا المعلومات في الشركات أصبح أحد الأسباب الرئيسية لاعتماد WannaCry على نطاق واسع.

3. صعوبة تحديد أولويات التحديثات. وفقًا لمنشور CSO ، هناك سبب آخر لبطء ترقية الأنظمة وهو عدد كبير جدًا من التصحيحات. من الصعب على المتخصصين في مجال الأمن تحديد الأولويات وتحديد أي منهم يجب تعيينه قبل الآخرين. حتى في حالة Spectre و Meltdown ، عبر الخبراء عن آراء متضاربة: اقترح بعض الخبراء الانتظار ، بينما كان البعض الآخر في عجلة من أمرهم لتثبيت التصحيحات بشكل أسرع.

الوضع معقد بسبب بطء تجديد قواعد البيانات مع نقاط الضعف. بحلول أغسطس من هذا العام ، لم يقع أكثر من 3 آلاف تهديد من تلك التي تم اكتشافها من يناير إلى يونيو 2018 في قواعد بيانات CVE و NVD ، وحصل نصفهم تقريبًا على أعلى تصنيف خطر لـ CVSSv2.

4. تعقيد التثبيت. أجرى Barkly استطلاعًا حول تثبيت تحديثات Meltdown و Specter بين محترفي الأمن. اعتبر 80٪ من المستجيبين أن عملية تثبيت التصحيحات لإغلاق نقاط الضعف في شرائح Intel "غير واضحة".

"عندما ظهر Meltdown و Specter ، لم تكن هناك أداة اختبار مفيدة لتحديد نقاط الضعف هذه. بمرور الوقت ، بدأت المرافق تظهر ، ولكن كان من المستحيل ضمان موثوقيتها ، كما يقول سيرجي بلكين ، رئيس قسم التطوير 1cloud . - في وقت لاحق ، اقترحت شركة Microsoft طريقة تحقق ، ولكنها معقدة للغاية. ومع ذلك ، كانت هناك حلول (على وجه الخصوص ، لعدد من توزيعات Linux ) جعلت من الممكن معرفة ما إذا كان Meltdown و Specter يتأثران أم لا بأمر واحد في وحدة التحكم. "

كيفية زيادة سرعة التحديثات

1. أتمتة عملية تثبيت التصحيحات. يعمل أتمتة عملية الترقية على تبسيط المهمة للمسؤولين والمستخدمين النهائيين. يقوم النظام نفسه بتنزيل التصحيحات من الإنترنت ، ويحتاج مسؤول النظام إلى اتباع عملية التثبيت. هذا مهم بشكل خاص لمقدمي الخدمات السحابية ، حيث أنهم يديرون عددًا كبيرًا من "الأجهزة".

هناك أدوات (مثل HPE Server Automation) تقوم بتحديث أنظمة التشغيل مركزيًا على خوادم مركز البيانات. تسمح لك بتحديد التصحيحات الضرورية التي يقدمها مورد نظام التشغيل. حتى مع مساعدتهم ، يمكنك تكوين عملية التثبيت نفسها ، على سبيل المثال ، لاستبعاد التحديثات غير المناسبة لبيئة معينة.

2. تدريب الموظفين. يلعب الناس دورًا مهمًا في ضمان أمن البيانات. لذلك ، من الضروري زيادة وعي المتخصصين في تكنولوجيا المعلومات والموظفين العاديين في الشركة ، واستثمار الأموال والوقت ، على الأقل في دورات النظافة الإلكترونية الأساسية.


/ Flickr / kelly / cc

بشكل عام ، يمكن استخدام مجموعة متنوعة من الأساليب للتعرف بشكل أفضل على أمان البيانات ، مثل التلعيب. تلعب برايس ووترهاوس كوبرز أستراليا لعبة Game of Threats بين عملائها عندما تتنافس فرق من "الهاكرز" و "المدافعين عن النظام" في جهاز محاكاة خاص.

3. زيادة الاستثمار في الأمن السيبراني. وفقًا لـ Gartner ، في عام 2018 ، سيزداد إنفاق المنظمات على الأمن السيبراني بنسبة 12.4٪ مقارنة بالعام الماضي. ستنفق الشركات المزيد على أتمتة العمليات وتقنيات حماية البيانات الجديدة حتى يتمكن خبراء أمن المعلومات من العمل بكفاءة أكبر.

ما هي الخطوة التالية

يعد التثبيت البطيء لتحديثات الأمان مشكلة في النظام. وربما ستقدم "إزعاج" لفترة طويلة إلى حد ما ، خاصة في ضوء اكتشاف نقاط ضعف رئيسية جديدة في المعالجات ، مثل Foreshadow . ومع ذلك ، إذا بدأت المزيد من الشركات في تثبيت التصحيحات بسرعة ، فسيؤثر ذلك بشكل إيجابي على النظام البيئي بأكمله ويقلل بشكل كبير من عدد تسرب البيانات الشخصية. مثل الذي حدث مع Equifax.

بضع منشورات من مدونة شركة 1cloud:

• كيف يتم تأمين البيانات السحابية
• لماذا البنية التحتية المستأجرة أفضل من الأجهزة العادية
• منصة تدريب للمشرفين: كيف ستساعد السحابة
• ما هي الميزات التي يمنحها .NET Core للمطورين؟