تمتلك المؤسسات الحديثة مجموعات تقنية مترامية الأطراف تحتوي على مئات أو آلاف نقاط النهاية. فرص نقاط الضعف هائلة. في بعض الأحيان تكون هذه الثغرات الأمنية غير معروفة لمطوري ومستخدمي الأنظمة والأجهزة: صفر يوم. إذا اكتشف ممثلو التهديد هذا النوع من الثغرات الأمنية قبل أن يتم علاجها، فيمكنهم استغلالها.
في عام 2023، أبلغ مشروع تتبع الثغرات الأمنية في يوم الصفر عن إجمالي 97 اكتشفوا ثغرات يوم الصفر. لا يتم استغلال جميع أيام الصفر في نهاية المطاف في البرية، ولكن يتم استغلال بعضها، وبتأثير كبير. تداعيات استغلال أ ثغرة أمنية يوم صفر في أداة نقل الملفات MOVEit تكشفت على مدار عام 2023، مع المزيد والمزيد من الضحايا يأتي إلى النور.
لا يمكن التنبؤ بالأيام الصفرية، بحكم التعريف. وهي نقاط ضعف غير معروفة لم يتم تصحيحها بعد. قد لا يتمكن مدراء تكنولوجيا المعلومات وفرقهم من التنبؤ بالضبط بموعد ظهور أحدث ثغرة أمنية، ولكن يمكنهم التعرف على هذه المخاطر الأمنية وإعداد خطة عمل.
حيث تحدث أيام الصفر
من المحتمل أن تظهر أيام الصفر في أي مكان في مجموعة التكنولوجيا الخاصة بالمؤسسة، وهو ما يعد امتدادًا معقدًا للمؤسسات الأكبر حجمًا. تحتاج فرق الأمان إلى التفكير في الأماكن التي يمكن العثور على ثغرات يوم الصفر فيها في برامج الجهات الخارجية وفي البرامج التي تم تطويرها داخليًا.
يقول نيك راجو، المدير التنفيذي للتكنولوجيا الميداني في شركة “لقد قمنا بالتحديث”. أمن الملح، وهي شركة أمنية API. “الآن، لدينا جميع أنواع الأماكن والتعرضات المختلفة التي لم نكن نملكها من قبل. [We] لدينا فرق تطوير متعددة تستخدم سحابات متعددة وأدوات وتقنيات متعددة في أماكن متعددة.
أين يكون خطر ثغرات يوم الصفر أكبر؟ عادةً ما يبحث ممثلو التهديدات الذين يبحثون عن ثغرات يوم الصفر عن فرص في البرامج الموزعة جيدًا والتي يصعب تحديثها، وفقًا لإيفان نوفيكوف، المؤسس والرئيس التنفيذي لشركة Wallarm، شركة لواجهة برمجة التطبيقات وأمن التطبيقات.
“الأجزاء التي تحتاج المؤسسات إلى النظر إليها أولاً هي الأشياء الموجودة على سطح الهجوم. “عندما تنظر إلى الأيام الصفرية التي ينتهي بها الأمر إلى الحصول على إمكانية تطبيق واسعة النطاق، فهي أشياء… في متصفحاتك، وفي مكدس الشبكات لديك، وفي قارئات البريد الإلكتروني، وفي الرسائل النصية القصيرة الخاصة بك،” ديفيد بروملي، الرئيس التنفيذي لشركة أمن البرمجيات، ForAllSecure، وأستاذ في جامعة كارنيجي ميلون، يقول InformationWeek.
على سبيل المثال، ظهر عدد من أخطاء يوم الصفر في المتصفحات في الشهر الأول من عام 2024.CVE-2024-0519) في Google Chrome، يسمح بإدخال التعليمات البرمجية. المهاجمين استغلال الثغرة الأمنية بشكل فعال، والتي قامت Google بتصحيحها عند هذه النقطة. خطأ اليوم صفر (CVE-2024-23222) في محرك متصفح Apple WebKit لمتصفح Safari كما تم استغلالها وتصحيحها. يمكن للمهاجمين الاستفادة من هذه الثغرة الأمنية لتنفيذ التعليمات البرمجية على الأنظمة المتأثرة.
الضرر المحتمل
عادةً لا تمثل ثغرة اليوم الصفر مشكلة إذا تم اكتشافها وتصحيحها قبل استغلالها. وبمجرد استغلالها، يصبح السؤال هو ما الذي يمكن أن تفعله الجهات التهديدية بالوصول إلى النظام الذي حصلت عليه؟
“أنت تفكر في نقاط الضعف في يوم الصفر، [they are] يقول آندي إليس، الشريك التشغيلي في شركة مشاريع YL، شركة رأس المال الاستثماري التي تركز على الأمن السيبراني.
يمكن أن تسمح الحركة الجانبية للجهات الفاعلة في مجال التهديد بتصعيد الامتيازات، وإدخال تعليمات برمجية ضارة، وتصفية البيانات. قد تستفيد الجهات الفاعلة في مجال التهديد أيضًا من يوم الصفر لتنفيذ هجمات برامج الفدية.
تصنيفات نظام تسجيل نقاط الضعف الشائعة (CVSS). يتم تخصيص نقاط الضعف للإشارة إلى خطورتها، 0 هو الأقل خطورة و 10.0 هو الأكثر خطورة. وعلى الرغم من أن هذه التصنيفات ليست مقياسًا للمخاطر، إلا أنها يمكن أن تساعد كبار مسؤولي أمن المعلومات وفرقهم على تحديد أولويات إدارة الثغرات الأمنية. هل يمكن أن تنتظر الثغرة الأمنية، أم أنها بحاجة إلى معالجتها على الفور؟
تخفيف المخاطر
تتمتع فرق الأمان بمزيد من التحكم في ثغرات يوم الصفر التي تنشأ في البرامج التي تم تطويرها داخليًا. إذا عثروا على نقاط الضعف هذه قبل استغلالها، فإنهم يتحكمون في العلاج. تعد الأيام الصفرية في برامج الطرف الثالث أكثر تعقيدًا.
“لا يمكننا، بشكل أساسي، حيث أن المستخدمين يقللون من مخاطر أيام الصفر [being] يقول نوفيكوف: “لقد تم العثور عليها، ولكن ما يمكننا فعله هو تقليل مخاطر تعرضنا للاستغلال أو التعرض للخطر بسبب أيام الصفر”.
تتمثل إحدى الخطوات الأولى لتقليل مخاطر ثغرات اليوم صفر في فهم سطح الهجوم وتقليصه قدر الإمكان. “كيف نتأكد من أننا نفهم حقًا ما هي مساحة سطح الهجوم لدينا؟ وبعد ذلك، كيف يمكننا تقليل ذلك إلى الحد الأدنى الممكن، بوضوح، حتى نتمكن من إدارة أعمالنا؟ يسأل فريد ريكا، الشريك الاستشاري في شركة المحاسبة والاستشارات بي بي إم.
إن تقليص سطح الهجوم يمكن أن يكون أسهل من الفعل. يتطلب إدارة قوية للأصول. “المؤسسات التي تمر بهذه العملية القوية لإدارة الأصول تجد عمومًا أشياء لم تكن تعلم أنها تمتلكها أو أنها لا تحتاج إليها أو لا تحتاج إليها [in] الامتثال أو نهاية العمر الافتراضي،” تشارك ريكا.
ومن خلال الفهم الشامل لسطح الهجوم الخاص بالمؤسسة، يمكن لمسؤولي أمن المعلومات وفرقهم تحديد المسارات التي يمكن أن يتخذها المهاجمون المحتملون وتحديد ما إذا كان من الممكن القضاء على هذه المسارات.
تعد السرعة أمرًا جوهريًا عندما يتعلق الأمر بالاستجابة الفورية. كلما أدرك فريق الأمان بشكل أسرع أن يوم الصفر الجديد لديه القدرة على التأثير على مؤسستهم، كلما تمكن من القفز إلى العمل بشكل أسرع. يقول ريكا: “أعتقد أنه من المهم الآن أن يكون لدينا برنامج قوي لاستخبارات التهديدات”. “لذا، بمجرد ظهور الأيام الصفرية، تظهر أيضًا معلومات عنها، وكيفية إيقافها، وكيفية منعها.”
بالإضافة إلى معلومات التهديدات، يمكن أن تلعب المراقبة الاستباقية دورًا في اكتشاف الأيام الصفرية قبل أن تتاح للجهات الفاعلة في مجال التهديد فرصة كبيرة للتحرك بشكل جانبي وإحداث المزيد من الضرر.
“هل تم تدريب فرقك؟ هل يبحثون عن سلوك شاذ؟” تسأل ريكا. “لأن ذلك يمكن أن يكون مؤشرًا حقيقيًا لشيء جديد أو شيء غير معروف أو شيء غير متوقع.”
الرد على يوم الصفر
يعد تخفيف المخاطر أمرًا مهمًا، لكنه لا يمكنه القضاء على احتمالية استغلال ثغرة يوم الصفر. يجب أن تكون المنظمات مستعدة لهذا السيناريو لاحتواء نطاق الانفجار للهجوم.
لدى البائعين دور يلعبونه عند استغلال ثغرة اليوم الصفري في برامجهم. يقول نوفيكوف: “إذا قمت بتوقيع عقد مع بائع كبير وكنت تمثل مؤسسة، فيجب عليك تضمين نوع من اتفاقيات مستوى الخدمة لإدارة الأيام الصفرية والثغرات الأمنية”.
على الرغم من أن العديد من الموردين يعملون بشكل استباقي مع العملاء في حالة عدم وجود أيام، حيث يقومون بتوفير تصحيحات الأمان والتحديثات، إلا أن هذا المستوى من الدعم غير مضمون. يقول إليس: “ما يجب أن تتوقعه هو لا شيء، لأنه في بعض الأحيان سوف تحصل على ذلك”.
بغض النظر عن مدى مشاركة البائع في الاستجابة الفورية، ستظل فرق الأمان بحاجة إلى قيادة جهود الاستجابة في مؤسساتهم. يجب أن يكونوا قادرين على الإجابة على سلسلة من الأسئلة والتصرف وفقًا لذلك.
“ماذا حدث بالتحديد؟ كيف أرد عليه؟ هل يمكنني حظره وهل يمكنني احتوائه؟ كيف يمكنني التقاط الأدلة؟ من الذي يجب علي إخطاره بذلك؟ كيف أصلحه؟ كيف أتأكد من أن هذا لن يحدث مرة أخرى؟” يقول راجو.
يجب أن تكون فرق الأمن قادرة على عزل المهاجم وإزالته من النظام. لكنهم بحاجة أيضًا إلى التأكد من عدم تمكن المهاجم من العودة لجولة ثانية من الاستغلال. هل تحتاج أسرار المؤسسة إلى التناوب؟ هل تحتاج بيانات الاعتماد الإدارية إلى التحديث؟
يقول بروملي: “عندما تنظر إلى أفضل السلالات، فستجد أن لديهم في الأساس قائمة مرجعية ومنهجية”. “إن ذلك يزيل هذا الشعور بالذعر من رد الفعل على يوم الصفر.”
يمكن لخطة الاستجابة للحوادث التي تم التدريب عليها جيدًا أن تساعد المؤسسات على تجنب بعض المخاطر المحتملة للرد على هجوم اليوم صفر. قد يكون رد الفعل التلقائي هو إغلاق البيئة على الفور وبشكل كامل. في بعض الحالات، هذا ضروري. وفي حالات أخرى، لا يكون الأمر كذلك، ويمكن أن يسبب المزيد من الاضطراب. يقول إليس: “في بعض الأحيان، يكون تدمير بيئتك هو النهج الصحيح، ولكن يجب عليك القيام بذلك بوعي وليس عن طريق الصدفة”.
تحتاج فرق الأمان أيضًا إلى الاستعداد لاحتمال ألا تكون معالجة الثغرة الأمنية عملية سلسة. يقول ريكا: “في حالة الاندفاع للتصحيح أو الاندفاع للإصلاح، هناك بالتأكيد خطر من أنك قد تسبب بالفعل المزيد من الضرر”. “تمتلك المؤسسات، في كثير من الأحيان، بيئات مخصصة للغاية، وأنظمة تشغيل مخصصة، وتطبيقات ويب مدمجة داخليًا. كل هذه الأشياء قد تتفاعل أو لا تتفاعل بشكل مختلف مع الإصلاح.
يمكن أن يكون لثغرات يوم الصفر تأثير مضاعف في جميع أنحاء سلسلة التوريد. إن استغلال كيان واحد يمكن أن يفتح الباب أمام العديد من الكيانات الأخرى. ومع العلم بأن هذا احتمال وارد، فإن الاستجابة السريعة لا تتعلق فقط بالمسؤوليات الداخلية.
“يجب أن يكون لديك نظام اتصال في نفس الوقت يخبر عملائك ما إذا كنت قد تأثرت أم لا، وماذا تفعل حيال ذلك، وكيف تدعمهم، وربما ما هي الخطوات التي قد يحتاجون إليها يشرح إليس: “يقومون بحماية أنفسهم في بيئتهم”.
