info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

برای وصله‌کردن آسیب‌پذیری‌ها از تهدیدات شروع کنید...

خلاصه: فرض کنید که در مورد سه آسیب‌پذیری جدید مرتبط با برنامه‌های کاربردی خود آگاه می‌شوید، کدام یک را بهتر است وصله کنید؟ با چه ترتیبی؟آیا لازم است که منابع خود را صرف وصله کردن همه‌ی آسیب‌پذیری‌ها کنید؟ با تمرکز بر تهدیدات و ایجاد یک بینش درست نسبت به آن‌ها می‌توانید به‌راحتی آسیب‌پذیری‌ها را اولویت‌بندی کنید.

با شروع با تهدیدات شما می‌توانید به راحتی آسیب‌پذیری‌ها را اولویت‌بندی کنید. سال‌هاست که صنعت امنیت در مورد اهمیت وصله کردن به‌عنوان یک اقدام امنیتی پایه برای جلوگیری از حملات می‌گوید. افشای Equifax آخرین یادآوری ست از آنچه در سازمان‌ها به‌خاطر تأخیر در انجام اقدامات اتفاق می‌افتد. بدیهی است که Equifax تنها نیست.

تحقیقات گروه استراتژی سازمانی (ESG) می‌گوید بهبود توانایی کشف، اولویت‌بندی و رفع آسیب‌پذیری‌های سازمانی یک اولویت مهم برای متخصصان امنیت سایبری است. از طرف دیگر، محققان همچنین به وصله‌کردن به‌عنوان یکی از مهم‌ترین وظایف عملیات امنیتی اشاره می‌کنند.

اغلب، فقدان متخصصان امنیتی ماهر عامل ناتوانی ما برای وصله کردن به‌موقع است. این فقط مربوط به تعداد آسیب‌پذیری‌ها نیست و یک پروسه‌ی مورد نیاز برای وصله کردن است- تست، استقرار، تایید، برنامه‌ریزی برای downtime و … .

یا وصله وجود دارد یا ندارد، و اگر آسیب‌پذیری دارای وصله باشد پس باید آن را وصله کنید. این به‌نظر نسبتاً سیاه و سفید می‌رسد. اما خاکستری کجاست؟

خاکستری لیستی از آسیب‌پذیری‌های اولویت‌ بندی شده براساس تهدیدات سازمان شما است. کلید در اینجا سازمان شماست و این لیست برای هر سازمانی براساس محیط و مشخصات ریسک متفاوت خواهد بود. بنابراین شما باید بتوانید پارامتر‌های خود را برای تعیین اهمیت و اولویت بالاتر تنظیم کنید. اگر شما با تحلیل و رسیدن به یک فهم عمیق از تهدیدات شروع کنید، به‌زودی متوجه خواهید شد که نباید همه‌چیز را وصله کنید. اگر شما این کار را کردید، به‌احتمال زیاد منابع ارزشمندی را که می‌توانید به وظایف با ‌ارزش بیشتری اختصاص دهید را هدر داده‌اید.

اما چگونه تصمیم می‌گیرید که کدام آسیب‌پذیری پراهمیت‌تر است؟ احتمالاً شما بخشی از پاسخ را از تهدیداتی که از منابع تجاری، متن‌باز، صنعتی و فروشندگان امنیتی موجود خود دریافت کرده‌اید، بدست می‌آورید. شما فقط نیاز به حفاری کمی عمیقتری دارید.

شما نیاز به جمع‌آوری و مرتبط کردن این تهدیدات با داده‌های داخلی و رخدادها در یک ریپازیتوری مرکزی و تبدیل داده‌ها به یک فرمت یکسان برای تحلیل و اقدام‌های بعدی دارید. سپس می‌توانید داده‌ها را با مفاد داخلی و خارجی برای فراهم کردن دید نسبت به اینکه چه کسی، چه‌چیزی، کجا، چه‌وقت و چگونه یک حمله را انجام داده است، تقویت کنید.

با بینش نسبت به روش‌های مهاجمان، شامل فرآیند‌های خاص، برنامه‌های کاربردی، سیستم‌عامل‌ها و آسیب‌پذیری‌هایی که هدف قرار می‌دهند، می‌توانید از این مفاد برای اولویت‌بندی تهدیدات، محاسبه‌ی ریسک‌ها و تعیین این که کدام آسیب‌پذیری‌ها برای وصله کردن در اولویت قرار دارند، استفاده کنید.

در اینجا یک مثال ساده‌شده آورده شده است. بگذارید فرض کنیم شما در مورد سه آسیب‌پذیری جدید مرتبط با برنامه‌های کاربردی محیط خود آگاه می‌شوید. کدام یک را بهتر است وصله کنید؟ با چه ترتیبی؟ با بینش نسبت به تهدیدات شما درمی‌یابید که:

  • آسیب‌پذیری A هیچ دشمن شناخته‌شده‌ای از آن یا شاخص‌های مرتبط استفاده نمی‌کند. اگرچه آن یک آسسیب‌پذیری است اما بهره‌برداری از آن در دنیای واقعی ممکن نیست.
  • آسیب‌پذیری B مربوط به یک کمپین دشمن خاص و شاخص‌های مرتبطی می‌باشد، با بررسی داده‌های داخلی و رخدادها تعداد کمی از این شاخص‌ها را در SIEM خود یا سیستم خود می‌بینید.
  • آسیب‌پذیری C تهدیدات و IOCهای مرتبطی دارد. با این حال آن تهدیدات برای هدف قرار دادن صنایع خاصی که جز آن‌ها نیستید شناخته شده‌اند.

از کجا شروع می‌کنید؟ آیا به وصله‌کردن هرسه نیاز است؟ پاسخ واضح است. نیاز است که آسیب‌پذیری B فوراً وصله شود. چرا که در محیط شما دیده‌شده‌است. آسیب‌پذیری C در لیست اولویت‌های شما احتمالاً اولویت دوم است. اگرچه به صنعت شما مرتبط نیست ممکن است براساس مشخصات ریسک تصمیم بگیرید که آن را وصله کنید. و در نهایت از آن‌جایی که آسیب‌پذیری A اکسپلویت نشده است، احتمالاً منطقی نیست که اکنون برای آن منابعی را تخصصی دهید.

البته، شما نمی‌توانید این کار را یک‌بار انجام دهید و آن را فراموش کنید. چراکه دشمنان تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) خود را تغییر می‌دهند. اولویت‌بندی باید به‌صورت مدام و مستمر انجام شود.

همانطور که چشم‌انداز تهدید به‌صورت پویا در کنار محیط داخلی شما تغییر می‌کند، شما نیاز دارید که به اضافه کردن داده و مفاد بیشتر به ریپازیتوری خود ادامه داده و همچنین در مورد دشمنان و TTPهای آن‌ها یاد بگیرید.

از طریق ارزیابی تهدید مداوم می‌توانید به‌صورت خودکار اولویت‌ها را دوباره محاسبه و ارزیابی کنید و بر روی وصله‌کردن آسیب‌پذیری‌هایی که که بیشترین ارتباط را با سازمان شما دارند تمرکز کنید.

در مثال بالا اگر آسیب‌پذیری A در هفته‌ی بعد یا چند روز بعد مورد بهره‌برداری قرار می‌گرفت چه می‌شد؟ از طریق ارزیابی تهدید مداوم و اولویت‌بندی خودکار شما خواهید دانست که چه زمانی، زمان مناسب برای انجام اقدامات لازم است.

با شروع از تهدیدات، شما می‌توانید به‌آسانی آسیب‌پذیری‌ها را اولویت‌بندی گنید. این به شما این امکان را می‌دهد که به‌طور مؤثر و کارآمد ریسک سازمان خود را کاهش دهید و تیم خود را در موقعیتی برای انجام فعالیت‌های ارزشمند دیگر شامل تشخیص و حتی پیش‌بینی تهدیدات بالقوه قرار دهید.