4 دروس يمكن لقادة الأمن أن يتعلموها
[Editor’s Note: This article has been updated with clarifying statements from Ivanti.]
كانت بداية إيفانتي صعبة لهذا العام. في يناير وفبراير، كشفت شركة برمجيات تكنولوجيا المعلومات عن سلسلة من ثغرات VPN التي تؤثر على بوابات Ivanti Connect Secure وIvanti Policy Secure. في شهر فبراير، حذرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) من وجود جهات تهديد استغلال نقاط الضعف هذه بشكل نشط.
ومع استمرار الاستغلال، أصبحت CISA واحدة من المنظمات المتضررة. الوكالة الفيدرالية أسقطت اثنين من أنظمتها ذكرت صحيفة The Record أن الشركة تأثرت باستغلال نقاط الضعف في Ivanti.
“منذ شهر تقريبًا، حددت CISA نشاطًا يشير إلى استغلال نقاط الضعف في منتجات Ivanti التي تستخدمها الوكالة. وكان التأثير مقتصراً على نظامين، قمنا بإيقافهما على الفور. “نحن مستمرون في ترقية أنظمتنا وتحديثها، ولا يوجد أي تأثير تشغيلي في الوقت الحالي”، قال متحدث باسم CISA في بيان أرسل عبر البريد الإلكتروني.
ما هي الدروس التي يمكن أن يتعلمها مدراء تكنولوجيا المعلومات، ومديرو أمن المعلومات، وغيرهم من قادة أمن المؤسسات من نقاط الضعف هذه، واستجابة Ivanti، واستغلال الأخطاء؟
فهم نقاط ضعف VPN
“من 10 يناير إلى 8 فبراير، تم الكشف عن خمس نقاط ضعف؛ “إن طبيعة هذه الثغرات الأمنية تسمح لجهة فاعلة غير مصادق عليها بتنفيذ أوامر عشوائية بامتيازات مرتفعة،” كما قال نيك حياة، مدير استخبارات التهديدات في شركة الكشف والاستجابة المُدارة (MDR). بلاك بوينت سايبر“، يقول InformationWeek في مقابلة عبر البريد الإلكتروني.
ال خمس نقاط الضعف التي أثرت على بوابات Ivanti Connect Secure وIvanti Policy Secure هي CVE-2023-46805 (CVSS 8.2)، وCVE-2024-21887 (CVSS 9.1)، وCVE-2024-21888 (CVSS 8.8)، وCVE-2024-21893 (CVSS 8.2). )، وCVE-2024-22024 (CVSS 8.3).
وقد أدى هذا المحصول من عيوب VPN في منتجات Ivanti إلى انتقادات لاستجابة الشركة للحوادث السيبرانية. ومن المحتمل أن تحتاج الشركة إلى العمل على استعادة ثقة العملاء بعد استغلال هذه الأخطاء. في هذه الأثناء، ربما يفكر قادة المؤسسات في اختيارهم لحل VPN.
“هناك حلول أخرى تفعل نفس الشيء بالضبط والتي لم تظهر على CISA KEV [Known Exploited Vulnerabilities Catalog] بنفس القدر، “يقول جاكوب بينز، مدير التكنولوجيا في شركة VulnCheck، شركة استخبارات الضعف. “ولكن في نفس الوقت الذي يدور فيه الآخرون [to] أما بالنسبة للحلول الأخرى، فسيتم استهداف هذه الحلول… وسنرى في المستقبل نوع نقاط الضعف التي ستسقط من الأنظمة الشائعة الجديدة.
يمكن أن تكون نقاط الضعف في Ivanti جديرة بالتفكير فيها، حتى لو كانت المؤسسة لا تستخدم منتجات VPN الخاصة بها. سوف يبحث ممثلو التهديد عن نقاط الضعف المماثلة في شبكات VPN الأخرى. “من المحتمل جدًا أن نشهد هجمات مشابهة جدًا لهذه الهجمات تنتقل من منتج إلى آخر،” جيسون كينت، المتسلل المقيم في شركة برمجيات الأمن السيبراني الأمن التسلسلي“، يقول InformationWeek. “أتصور أن هناك مديرين لأمن المنتجات يقومون فقط بنسخ التعليمات البرمجية الخاصة بهم في الوقت الحالي، محاولين معرفة المكان الذي قد تختبئ فيه هذه الأنواع من نقاط الضعف.”
التعرف على أهمية الاستجابة للحوادث
ويجب على الشركات التي تستخدم الأجهزة المتأثرة أن تفترض حلاً وسطًا، وفقًا لما ذكره استشارات الأمن السيبراني الصادرة عن CISA. يقول حياة: “لا يوجد جدل هنا حقًا – نظرًا لتوافر برمجيات استغلال الثغرات والاستغلال الشامل الذي تم التحقق منه، يجب أن تكون المؤسسات التي يحتمل أن تتأثر بالحوادث في وضع الاستجابة الكاملة للحوادث”.
أصدرت Ivanti التخفيف ثم التصحيحات. “توصي Ivanti الآن بأن يقوم جميع العملاء بإزالة إجراءات التخفيف، أو إعادة ضبط المصنع، أو نشر إصدار جديد لجهاز افتراضي وتطبيق التصحيح،” وفقًا لما جاء في توجيهات الشركة.
في تحذيرها بشأن الأمن السيبراني الصادر في 29 فبراير، حذرت CISA من أن الجهات الفاعلة في مجال التهديد “… قادرة على خداع أداة التحقق من النزاهة الداخلية والخارجية (ICT) الخاصة بشركة Ivanti، مما أدى إلى الفشل في اكتشاف التسوية.” تشير Ivanti في توجيهاتها إلى أنها أضافت وظائف جديدة إلى تكنولوجيا المعلومات والاتصالات الخارجية الخاصة بها، مع خطط لإضافة ذلك إلى تكنولوجيا المعلومات والاتصالات الداخلية في المستقبل:
“تواصل كل من Ivanti وMandiant وCISA ومنظمات التأليف JCSA الأخرى التوصية بأن يقوم المدافعون بتطبيق إرشادات التصحيح المتاحة المقدمة من Ivanti إذا لم يفعلوا ذلك بالفعل، وتشغيل أداة التحقق من النزاهة (ICT) المحدثة من Ivanti، والتي تم إصدارها في 27 فبراير، المساعدة في اكتشاف نواقل الهجوم المعروفة، إلى جانب المراقبة المستمرة”، وفقًا لمتحدث باسم شركة Ivanti. “ليست شركة Ivanti وشركاؤنا على علم بأي حالات لاستمرار ممثل التهديد الناجح بعد تنفيذ التحديثات الأمنية وإعادة ضبط المصنع التي أوصت بها شركة Ivanti.”
عندما تصبح مثل هذه الثغرات الأمنية عرضة للاستغلال، فمن الضروري لفرق أمان المؤسسة مواكبة إجراءات التخفيف والتصحيحات الخاصة بالموردين أثناء بدء استجاباتهم الداخلية للعلاقات الدولية.
يقول حياة: “مع مثل هذه الثغرات الأمنية، إذا لم تقم بتصحيحها (وفي بعض الأحيان حتى إذا قمت بذلك!)، فيجب عليك افتراض الاختراق وإجراء عمليات الاستجابة للتحقق من صحة خلاف ذلك”.
إن التسوية الأخيرة التي توصلت إليها CISA هي بمثابة تذكير بأنه لا توجد منظمة محصنة. وقال المتحدث باسم CISA في بيان الوكالة: “هذا تذكير بأن أي منظمة يمكن أن تتأثر بالثغرة السيبرانية وأن وجود خطة للاستجابة للحوادث يعد عنصرًا ضروريًا للمرونة”.
توقع التداعيات المحتملة
كيف يمكن أن تبدو هذه التداعيات المحتملة؟ يقول حياة: “من الناحية الواقعية، ربما لن يتم معرفة العدد الإجمالي للمؤسسات المتضررة أبدًا، وذلك ببساطة لأنه من المحتمل أن تكون هناك شركات لا تعرف حتى أنها معرضة للخطر”.
يمكن أن تسمح نقاط الضعف هذه للجهات الفاعلة في مجال التهديد بالحصول على امتيازات مرتفعة في شبكة المؤسسة وتنفيذ الأوامر. “يبدو لي أن هذه طريقة رائعة لنشر برامج الفدية [a] يقول كينت: “الشبكة”.
بالإضافة إلى التصحيح واتباع توصيات Ivanti، يمكن لفرق أمان المؤسسة البحث عن أدلة على نشاط جهة التهديد في شبكاتهم. “ابدأ في البحث عن أشياء مثل الحسابات الجديدة التي تم إنشاؤها في هذا الجدول الزمني مباشرةً،” يوصي كينت. “تأكد… لم يقم أحد بإنشاء كلمة مرور إدارية في هذا الوقت لم يتم فحصها.”
بالإضافة إلى ذلك، يجب أن تكون فرق الأمن في حالة تأهب للتحرك الجانبي. يؤكد كينت على أهمية القدرة على التعرف على القيم المتطرفة.
“أتحدث كثيرًا عن القيم المتطرفة في مجال الأمن، وعندما لا يتحدث جهاز الكمبيوتر الخاص بي مع جهاز الكمبيوتر الخاص بك ثم فجأة يفعل ذلك، فهذا أمر غريب وغريب”، كما يوضح. “هذه هي أنواع الأشياء التي يجب أن يبحث عنها الأشخاص في بيئات شبكاتهم.”
فكر في عواقب عدم الاتصال بالإنترنت
هل مؤسستك مستعدة لأخذ جهاز مهم دون الاتصال بالإنترنت في حالة وجود ثغرة أمنية أو اختراق محتمل؟ يعد التوقف عن العمل مكلفًا، حيث يكلف مئات أو حتى آلاف الدولارات في الدقيقة اعتمادًا على نوع العمل وصناعته. يمكن أن يتوقف العمل عن بعد إذا كان الموظفون غير قادرين على استخدام VPN الخاص بالمؤسسة.
يقول حياة: “إذا وقع حادث أمني في مصنع أو منشأة إنتاج، فقد تكون تلك الخسائر غير عادية”. “إذا كان الأمر يتعلق بنظام واحد فقط للموظف، فربما تفقد يومًا من الإنتاجية.”
في حالة ثغرات Ivanti، وجهت CISA وكالات السلطة التنفيذية المدنية الفيدرالية إلى افصل الأجهزة المتأثرة. كان لا بد من إعادة بناء الأجهزة وإعادة تشكيلها. قامت CISA بإيقاف تشغيل اثنين من أنظمتها الخاصة بعد حدوث التسوية.
أوضح Ivanti توصيات CISA لمعالجة نقاط الضعف: “لم تصدر CISA أبدًا تعليمات إلى المنظمات بإخراج أنظمة Ivanti من الإنتاج بشكل دائم. تم إساءة تفسير التوجيه الأصلي الصادر عن CISA إلى الوكالات الفيدرالية من قبل وسائل الإعلام التي ذكرت فقط الخطوة الأولى من التعليمات. قامت CISA بإجراء تحديثات على توجيهاتها لتصحيح هذا الأمر، ثم قامت بالتحديث مرة أخرى في 9 فبراير لتوضيح تمامًا أنه يمكنك تشغيل المنتج بعد التصحيح،” وفقًا لتقرير الشركة. مدونة.
مع اللامركزية في الشبكات، يتوقع كينت أنه من الممكن أن تؤدي المزيد من نقاط الضعف إلى تقديم النصيحة بإيقاف الأجهزة المتأثرة عن العمل حتى يتوفر الإصلاح.
يقول: “لا يوجد ما يكفي من تقييم المخاطر الذي يتناول السؤال التالي: ماذا لو اضطررت إلى تحويل ذلك الشيء الذي اشتريناه للتو؟”. من الممكن أن يكون هناك حل ثانوي لشبكة VPN، على سبيل المثال، ولكن هل المنظمات مستعدة لتفعيل هذا الحل في حالة وقوع حادث؟
يرى كينت أنه يجب على المؤسسات دمج هذا السيناريو في تخطيط الاستجابة للحوادث. ويقول: “يجب أن يكون هذا تمرينًا سطحيًا يضعه كل كبير مسؤولي أمن المعلومات في ملف التمارين المكتبية الخاص به”.
سوف تستمر الجهات الفاعلة في مجال التهديد في البحث عن طرق لاستغلال نقاط الضعف في الأنظمة الطرفية ومنتجات شركة Ivanti والعديد من الشركات الأخرى. يقول بينز: “إن الأمر برمته هو أن المؤسسات تحتاج إلى البدء في الاحتفاظ بمخزون جيد من الأنظمة والبرامج التي تعرضها للعالم أجمع وتقليل ذلك قدر الإمكان”.