امنیت کامپیوتر تنها زمانی اتفاق می افتد که نرم افزار به روز باشد. این باید یک اصل اساسی برای کاربران تجاری و بخش های فناوری اطلاعات باشد.
ظاهراً اینطور نیست. حداقل برای برخی از کاربران لینوکس که نصب وصله های مهم یا غیر ضروری را نادیده می گیرند.
نظرسنجی اخیر که توسط TuxCare، یک سیستم پشتیبانی شرکتی بی طرف از فروشنده برای لینوکس تجاری، نشان می دهد که شرکت ها حتی در صورت وجود وصله ها از خود در برابر حملات سایبری محافظت نمی کنند.
نتایج نشان میدهد که حدود 55 درصد از پاسخدهندگان یک حادثه امنیت سایبری داشتهاند، زیرا یک وصله در دسترس اعمال نشده است. در واقع، هنگامی که یک آسیبپذیری مهم یا با اولویت بالا پیدا شد، 56 درصد به طور متوسط پنج هفته تا یک سال طول میکشید تا آسیبپذیری را برطرف کنند.
هدف این مطالعه درک چگونگی مدیریت امنیت و ثبات در مجموعه محصولات لینوکس توسط سازمان ها بود. مؤسسه پونمون که توسط TuxCare حمایت می شد، در ماه مارس از 564 کارمند فناوری اطلاعات و متخصصان امنیت در 16 صنعت مختلف در ایالات متحده نظرسنجی کرد.
دادههای پاسخدهندگان نشان میدهد که شرکتها برای اصلاح آسیبپذیریهای امنیتی بسیار زمان میبرند، حتی زمانی که راهحلهایی از قبل وجود داشته باشد. بدون در نظر گرفتن انفعال آنها، بسیاری از پاسخ دهندگان خاطرنشان کردند که بار سنگینی را از طیف گسترده ای از حملات سایبری احساس می کنند.
ایگور سلتسکی، مدیر عامل و موسس TuxCare اشاره کرد که این یک مشکل قابل حل است. به این دلیل نیست که راه حل وجود ندارد. بلکه به این دلیل است که اولویت بندی مشکلات آینده برای مشاغل دشوار است.
«افرادی که کیتهای بهرهبرداری را میسازند، واقعاً خوب شدهاند. قبلاً 30 روز بهترین تمرین بود [for patching]جیم جکسون، رئیس TuxCare، به LinuxInsider گفت، و این هنوز بهترین روش ایده آل برای بسیاری از مقررات است.
غذای اصلی
نتایج نظرسنجی این تصور غلط را آشکار می کند که سیستم عامل لینوکس بدون مداخله سختگیرانه و بی خطا نیست. بنابراین کاربران ناآگاه اغلب حتی یک فایروال را فعال نمی کنند. در نتیجه، بسیاری از مسیرهای نفوذ ناشی از آسیبپذیریهایی است که میتوان آنها را برطرف کرد.
لری پونمون، رئیس و مؤسس مؤسسه پونمون خاطرنشان کرد: «پچ کردن یکی از مهمترین گامهایی است که یک سازمان میتواند برای محافظت از خود در برابر باجافزارها و سایر حملات سایبری بردارد».
اصلاح آسیبپذیریها فقط به هسته محدود نمیشود. او افزود که باید به سیستمهای دیگر مانند کتابخانهها، مجازیسازی و پایانههای پشتیبان پایگاه داده گسترش یابد.
در نوامبر 2020، TuxCare اولین سرویس پشتیبانی طولانی مدت این شرکت را برای CentOS 6.0 راه اندازی کرد. جکسون به یاد میآورد که از همان ابتدا بسیار موفق بود. اما چیزی که همچنان او را به دردسر میاندازد، مشتریان جدیدی است که برای پشتیبانی طولانیمدت چرخه عمر میآیند و هیچ اصلاحی انجام ندادهاند.
“من همیشه همین سوال را می پرسم. در یک سال و نیم گذشته چه کار می کردید؟ هیچ چی؟ یک سال است که وصله نکردی. آیا میدانید که در این مدت چند آسیبپذیری روی هم انباشته شده است؟» او شوخی کرد.
فرآیند فشرده کار
تحقیقات Ponemon با TuxCare مشکلاتی را که سازمانها با دستیابی به اصلاح به موقع آسیبپذیریها دارند، آشکار کرد. به گفته پونمون، علیرغم صرف هزینه متوسط 3.5 میلیون دلاری سالانه بیش از 1000 ساعت سیستم های نظارتی هفتگی برای تهدیدها و آسیب پذیری ها، وصله کردن، مستندسازی و گزارش نتایج.
او میگوید: «برای رفع این مشکل، CIOها و رهبران امنیت فناوری اطلاعات باید با سایر اعضای تیم اجرایی و اعضای هیئتمدیره کار کنند تا اطمینان حاصل کنند که تیمهای امنیتی منابع و تخصص لازم برای شناسایی آسیبپذیریها، جلوگیری از تهدیدات و اصلاح آسیبپذیریها را به موقع دارند». گفت.
این گزارش نشان داد که شرکتهای پاسخدهندگان که وصلهای را انجام دادهاند، زمان قابل توجهی را در این فرآیند صرف کردهاند:
- بیشترین زمان صرف شده در هفته برای وصله برنامه ها و سیستم ها 340 ساعت بود.
- سیستم های پایش تهدیدات و آسیب پذیری ها هر هفته 280 ساعت طول می کشد.
- مستندسازی و/یا گزارش فرآیند مدیریت پچ هر هفته 115 ساعت طول کشید.
برای زمینه، این ارقام به یک تیم IT متشکل از 30 نفر و یک نیروی کار 12000 نفری به طور متوسط در بین پاسخ دهندگان مربوط می شود.
بهانه های بی حد و حصر پابرجاست
جکسون گفتوگوهای متعددی را با افراد احتمالی به یاد میآورد که همان داستان کثیف را تکرار میکنند. آنها به سرمایه گذاری در اسکن آسیب پذیری اشاره می کنند. آنها به گزارش آسیب پذیری اسکن تولید شده نگاه می کنند. سپس آنها از نداشتن منابع کافی شکایت میکنند تا واقعاً شخصی را برای اصلاح مواردی که در گزارشهای اسکن نشان داده میشود تعیین کند.
“این دیوانه است!” او گفت.
یکی دیگر از چالشهایی که شرکتها تجربه میکنند، سندرم همیشگی ضربه زدن به خال است. مشکل به قدری بزرگ می شود که سازمان ها و مدیران ارشد آنها از غرق شدن فراتر نمی روند.
جکسون این وضعیت را به تلاش برای تامین امنیت خانه هایشان تشبیه کرد. بسیاری از دشمنان در کمین هستند و تهدیدات بالقوه نفوذ هستند. ما می دانیم که آنها به دنبال چیزهایی هستند که شما در خانه خود دارید.
بنابراین مردم روی یک حصار پیچیده در اطراف ملک خود سرمایه گذاری می کنند و دوربین ها را نظارت می کنند تا سعی کنند بر هر زاویه، هر عامل حمله احتمالی، در اطراف خانه نظارت کنند.
«سپس چند پنجره و در پشتی را باز می گذارند. این به نوعی شبیه به حذف آسیبپذیریها است. اگر آن را وصله کنید، دیگر قابل بهره برداری نیست.»
بنابراین او توصیه کرد که ابتدا به اصول اولیه بازگردید. قبل از اینکه برای چیزهای دیگر خرج کنید حتما این کار را انجام دهید.
اتوماسیون وصله کردن را بدون درد می کند
به گفته جکسون، مشکل وصله همچنان جدی است. شاید تنها چیزی که در حال بهبود است، توانایی اعمال اتوماسیون برای مدیریت بیشتر آن فرآیند باشد.
“هر آسیب پذیری شناخته شده ای که داریم باید ظرف دو هفته کاهش یابد. این امر مردم را به سمت اتوماسیون برای وصلههای زنده و موارد دیگر سوق داده است تا بتوانید با دهها هزار بار کاری روبرو شوید. شما نمی توانید هر دو هفته یکبار همه چیز را شروع کنید. بنابراین شما به فناوریهایی نیاز دارید تا شما را از آن عبور داده و آن را خودکار کند.» او به عنوان یک راهحل قابل اجرا توضیح داد.
جکسون گفت که وضعیت بهتر شده است. او می بیند که افراد و سازمان های بیشتری از ابزارهای اتوماسیون آگاه می شوند.
به عنوان مثال، اتوماسیون میتواند وصلهها را برای باز کردن کتابخانههای SSL و G و C اعمال کند، در حالی که سرویسها بدون نیاز به بازگرداندن سرویسها از آنها استفاده میکنند. اکنون وصلههای زنده پایگاهداده به صورت بتا در دسترس است که به TuxCare اجازه میدهد تا وصلههای امنیتی را روی Maria، MySQL، Mongo و سایر انواع پایگاههای داده در حین اجرا اعمال کند.
بنابراین شما نیازی به راه اندازی مجدد سرور پایگاه داده یا هر یک از کلاینت هایی که استفاده می کنند ندارید. ادامه دادن آگاهی قطعا کمک می کند. به نظر می رسد که افراد بیشتری در حال آگاه شدن هستند و متوجه می شوند که به چنین راه حلی نیاز دارند.
منبع: https://www.technewsworld.com/story/linux-security-study-reveals-when-how-you-patch-matters-176517.html?rss=1