مطالعه امنیت لینوکس نشان می دهد که چه زمانی، چگونه وصله می کنید مهم است


امنیت کامپیوتر تنها زمانی اتفاق می افتد که نرم افزار به روز باشد. این باید یک اصل اساسی برای کاربران تجاری و بخش های فناوری اطلاعات باشد.

ظاهراً اینطور نیست. حداقل برای برخی از کاربران لینوکس که نصب وصله های مهم یا غیر ضروری را نادیده می گیرند.

نظرسنجی اخیر که توسط TuxCare، یک سیستم پشتیبانی شرکتی بی طرف از فروشنده برای لینوکس تجاری، نشان می دهد که شرکت ها حتی در صورت وجود وصله ها از خود در برابر حملات سایبری محافظت نمی کنند.

نتایج نشان می‌دهد که حدود 55 درصد از پاسخ‌دهندگان یک حادثه امنیت سایبری داشته‌اند، زیرا یک وصله در دسترس اعمال نشده است. در واقع، هنگامی که یک آسیب‌پذیری مهم یا با اولویت بالا پیدا شد، 56 درصد به طور متوسط ​​پنج هفته تا یک سال طول می‌کشید تا آسیب‌پذیری را برطرف کنند.

هدف این مطالعه درک چگونگی مدیریت امنیت و ثبات در مجموعه محصولات لینوکس توسط سازمان ها بود. مؤسسه پونمون که توسط TuxCare حمایت می شد، در ماه مارس از 564 کارمند فناوری اطلاعات و متخصصان امنیت در 16 صنعت مختلف در ایالات متحده نظرسنجی کرد.

داده‌های پاسخ‌دهندگان نشان می‌دهد که شرکت‌ها برای اصلاح آسیب‌پذیری‌های امنیتی بسیار زمان می‌برند، حتی زمانی که راه‌حل‌هایی از قبل وجود داشته باشد. بدون در نظر گرفتن انفعال آنها، بسیاری از پاسخ دهندگان خاطرنشان کردند که بار سنگینی را از طیف گسترده ای از حملات سایبری احساس می کنند.

ایگور سلتسکی، مدیر عامل و موسس TuxCare اشاره کرد که این یک مشکل قابل حل است. به این دلیل نیست که راه حل وجود ندارد. بلکه به این دلیل است که اولویت بندی مشکلات آینده برای مشاغل دشوار است.

«افرادی که کیت‌های بهره‌برداری را می‌سازند، واقعاً خوب شده‌اند. قبلاً 30 روز بهترین تمرین بود [for patching]جیم جکسون، رئیس TuxCare، به LinuxInsider گفت، و این هنوز بهترین روش ایده آل برای بسیاری از مقررات است.

غذای اصلی

نتایج نظرسنجی این تصور غلط را آشکار می کند که سیستم عامل لینوکس بدون مداخله سختگیرانه و بی خطا نیست. بنابراین کاربران ناآگاه اغلب حتی یک فایروال را فعال نمی کنند. در نتیجه، بسیاری از مسیرهای نفوذ ناشی از آسیب‌پذیری‌هایی است که می‌توان آنها را برطرف کرد.

لری پونمون، رئیس و مؤسس مؤسسه پونمون خاطرنشان کرد: «پچ کردن یکی از مهم‌ترین گام‌هایی است که یک سازمان می‌تواند برای محافظت از خود در برابر باج‌افزارها و سایر حملات سایبری بردارد».

اصلاح آسیب‌پذیری‌ها فقط به هسته محدود نمی‌شود. او افزود که باید به سیستم‌های دیگر مانند کتابخانه‌ها، مجازی‌سازی و پایانه‌های پشتیبان پایگاه داده گسترش یابد.

در نوامبر 2020، TuxCare اولین سرویس پشتیبانی طولانی مدت این شرکت را برای CentOS 6.0 راه اندازی کرد. جکسون به یاد می‌آورد که از همان ابتدا بسیار موفق بود. اما چیزی که همچنان او را به دردسر می‌اندازد، مشتریان جدیدی است که برای پشتیبانی طولانی‌مدت چرخه عمر می‌آیند و هیچ اصلاحی انجام نداده‌اند.

“من همیشه همین سوال را می پرسم. در یک سال و نیم گذشته چه کار می کردید؟ هیچ چی؟ یک سال است که وصله نکردی. آیا می‌دانید که در این مدت چند آسیب‌پذیری روی هم انباشته شده است؟» او شوخی کرد.

فرآیند فشرده کار

تحقیقات Ponemon با TuxCare مشکلاتی را که سازمان‌ها با دستیابی به اصلاح به موقع آسیب‌پذیری‌ها دارند، آشکار کرد. به گفته پونمون، علیرغم صرف هزینه متوسط ​​3.5 میلیون دلاری سالانه بیش از 1000 ساعت سیستم های نظارتی هفتگی برای تهدیدها و آسیب پذیری ها، وصله کردن، مستندسازی و گزارش نتایج.

او می‌گوید: «برای رفع این مشکل، CIOها و رهبران امنیت فناوری اطلاعات باید با سایر اعضای تیم اجرایی و اعضای هیئت‌مدیره کار کنند تا اطمینان حاصل کنند که تیم‌های امنیتی منابع و تخصص لازم برای شناسایی آسیب‌پذیری‌ها، جلوگیری از تهدیدات و اصلاح آسیب‌پذیری‌ها را به موقع دارند». گفت.

این گزارش نشان داد که شرکت‌های پاسخ‌دهندگان که وصله‌ای را انجام داده‌اند، زمان قابل توجهی را در این فرآیند صرف کرده‌اند:

  • بیشترین زمان صرف شده در هفته برای وصله برنامه ها و سیستم ها 340 ساعت بود.
  • سیستم های پایش تهدیدات و آسیب پذیری ها هر هفته 280 ساعت طول می کشد.
  • مستندسازی و/یا گزارش فرآیند مدیریت پچ هر هفته 115 ساعت طول کشید.

برای زمینه، این ارقام به یک تیم IT متشکل از 30 نفر و یک نیروی کار 12000 نفری به طور متوسط ​​در بین پاسخ دهندگان مربوط می شود.

بهانه های بی حد و حصر پابرجاست

جکسون گفت‌وگوهای متعددی را با افراد احتمالی به یاد می‌آورد که همان داستان کثیف را تکرار می‌کنند. آنها به سرمایه گذاری در اسکن آسیب پذیری اشاره می کنند. آنها به گزارش آسیب پذیری اسکن تولید شده نگاه می کنند. سپس آنها از نداشتن منابع کافی شکایت می‌کنند تا واقعاً شخصی را برای اصلاح مواردی که در گزارش‌های اسکن نشان داده می‌شود تعیین کند.

“این دیوانه است!” او گفت.

یکی دیگر از چالش‌هایی که شرکت‌ها تجربه می‌کنند، سندرم همیشگی ضربه زدن به خال است. مشکل به قدری بزرگ می شود که سازمان ها و مدیران ارشد آنها از غرق شدن فراتر نمی روند.

جکسون این وضعیت را به تلاش برای تامین امنیت خانه هایشان تشبیه کرد. بسیاری از دشمنان در کمین هستند و تهدیدات بالقوه نفوذ هستند. ما می دانیم که آنها به دنبال چیزهایی هستند که شما در خانه خود دارید.

بنابراین مردم روی یک حصار پیچیده در اطراف ملک خود سرمایه گذاری می کنند و دوربین ها را نظارت می کنند تا سعی کنند بر هر زاویه، هر عامل حمله احتمالی، در اطراف خانه نظارت کنند.

«سپس چند پنجره و در پشتی را باز می گذارند. این به نوعی شبیه به حذف آسیب‌پذیری‌ها است. اگر آن را وصله کنید، دیگر قابل بهره برداری نیست.»

بنابراین او توصیه کرد که ابتدا به اصول اولیه بازگردید. قبل از اینکه برای چیزهای دیگر خرج کنید حتما این کار را انجام دهید.

اتوماسیون وصله کردن را بدون درد می کند

به گفته جکسون، مشکل وصله همچنان جدی است. شاید تنها چیزی که در حال بهبود است، توانایی اعمال اتوماسیون برای مدیریت بیشتر آن فرآیند باشد.

“هر آسیب پذیری شناخته شده ای که داریم باید ظرف دو هفته کاهش یابد. این امر مردم را به سمت اتوماسیون برای وصله‌های زنده و موارد دیگر سوق داده است تا بتوانید با ده‌ها هزار بار کاری روبرو شوید. شما نمی توانید هر دو هفته یکبار همه چیز را شروع کنید. بنابراین شما به فناوری‌هایی نیاز دارید تا شما را از آن عبور داده و آن را خودکار کند.» او به عنوان یک راه‌حل قابل اجرا توضیح داد.

جکسون گفت که وضعیت بهتر شده است. او می بیند که افراد و سازمان های بیشتری از ابزارهای اتوماسیون آگاه می شوند.

به عنوان مثال، اتوماسیون می‌تواند وصله‌ها را برای باز کردن کتابخانه‌های SSL و G و C اعمال کند، در حالی که سرویس‌ها بدون نیاز به بازگرداندن سرویس‌ها از آنها استفاده می‌کنند. اکنون وصله‌های زنده پایگاه‌داده به صورت بتا در دسترس است که به TuxCare اجازه می‌دهد تا وصله‌های امنیتی را روی Maria، MySQL، Mongo و سایر انواع پایگاه‌های داده در حین اجرا اعمال کند.

بنابراین شما نیازی به راه اندازی مجدد سرور پایگاه داده یا هر یک از کلاینت هایی که استفاده می کنند ندارید. ادامه دادن آگاهی قطعا کمک می کند. به نظر می رسد که افراد بیشتری در حال آگاه شدن هستند و متوجه می شوند که به چنین راه حلی نیاز دارند.


منبع: https://www.technewsworld.com/story/linux-security-study-reveals-when-how-you-patch-matters-176517.html?rss=1