عندما تتصدر التنبيهات والعناوين الرئيسية التحذيرات من وجود ثغرة أمنية حرجة في البرامج المستخدمة على نطاق واسع، فإن الاستجابة داخل مجتمع الأمن السيبراني يجب أن تكون حاسمة وواضحة.
كان هذا هو السيناريو الذي حدث بالضبط في وقت سابق من هذا العام في 19 فبرايرعندما أصدرت ConnectWise استشارة أمنية لجميع الإصدارات التي تقل عن 23.9.8 من منتج ScreenConnect المحلي، وهو برنامج شائع يستخدم لإدارة الأنظمة عن بُعد. أشار الاستشارة إلى ثغرتين أمنيتين (CVE-2024-1709 وCVE-2024-1708) وحث المستخدمين على تصحيحها على الفور.
في العادة، لا يشكل هذا الأمر سبباً للانزعاج. ولكن مع حصول إحدى الثغرات على درجة 10 في نظام CVSS، وهو أعلى مستوى من الخطورة، وتصنيفها من قبل ConnectWise على أنها “حرجة”، فقد تركت الأخبار حواس فريق Huntress ترتعش.
في خضم الإلحاح وعدم اليقين، فريق هانتريس وقفت في طليعة الاستجابة و انطلقت إلى العمل في نفس اليوموفيما يلي نظرة خلف الكواليس على الاستجابة السريعة والتنسيق الدقيق والالتزام بحماية المجتمع التي حددت تلك الاستجابة.
الدور الحاسم للفرق السيبرانية: وضع الخبرة موضع التنفيذ
في أوقات الضعف الحرج والتحرك الحاسم، من الأهمية بمكان أن تطبق فرق الأمن السيبراني خبراتها الجماعية بسرعة للمساعدة في تسريع الاستجابة والإصلاح. في غضون ساعات من نشرة ConnectWise، اجتمع فريق Huntress لإعادة إنتاج وتطوير إثبات مفهوم من شأنه أن يسلح الثغرة الأمنية لتجاوز المصادقة، وصياغة مصطلح “SlashAndGrab” لهذا الاستغلال البسيط على ما يبدو والذي جعل المستخدمين عرضة للتهديدات بشكل ملحوظ.
يتعين على فرق الأمن السيبراني التي تدق ناقوس الخطر أن تعمل بحذر ودقة، مع التأكيد على خطورة الأمر مع توفير خطوات واضحة وقابلة للتنفيذ. في وقت الاكتشاف، لاحظ الفريق أن أكثر من 8800 خادم ConnectWise لا يزال عرضة للخطر. وقد استلزم هذا إنشاء “لقاح” مؤقت، إلى جانب تعليمات واضحة حول كيفية تعامل المستخدمين مع الأمر. لم نكن نريد أن يصبح المستخدمون فريسة سهلة لهذه الثغرة التي تتفاقم في أنظمتهم.
دليل للتعامل مع الأزمات
قال مايك تايسون ذات يوم: “كل شخص لديه خطة حتى يتلقى لكمة في وجهه”. وعندما تساعد المجتمع في مواجهة الحوادث الكبرى، فسوف تتلقى عدة لكمات. ولهذا السبب يجب على الفرق الاعتماد على الخبرة ووضع كتيبات العمل وتعزيز ثقافة التواصل من أجل بناء الخطة.
الخطوة 1. فهم ما تتعامل معه.
تتطلب المواقف مثل ثغرة ConnectWise أدوارًا واضحة وتواصلًا واضحًا، مع فهم كل فريق للتهديد والدور الذي يلعبه والمعلومات الصحيحة التي يجب مشاركتها. وفي حين لم يتم تقديم الكثير من التفاصيل مع الاستشارة الأولية، فقد بدأ فريق Huntress من الباحثين عن التهديدات ومحللي مراكز العمليات الأمنية على الفور في محاولة لمعرفة أكبر قدر ممكن عن هذه الثغرات.
على طول الطريق، بدأنا في توثيق المعلومات عالية المستوى والحرجة لإعداد فرق التسويق والدعم في جهودهم. وفي غضون ساعات، تمكنا من فهم الثغرة وبناء إثبات المفهوم (PoC). وهذا دليل على مدى بساطة هذه الثغرة ومدى سهولة استغلالها من قبل المهاجم.
الخطوة 2: دق ناقوس الخطر
من المهم إطلاق ناقوس الخطر بطريقة تحث على اتخاذ الإجراءات وبناء الدفاعات بسرعة. في أعقاب الاستشارة مباشرة، تواصل الفريق مع كل شريك في Huntress كان لديه إصدار ضعيف من ScreenConnect وأكد على الحاجة إلى التصحيح على الفور. لقد أرسلنا أكثر من 1600 تقرير حادث إلى الشركاء، مع تضمين خطوات تالية واضحة، لأننا كنا نعلم أن التواصل السريع والتخفيف من حدة المشكلة كانا مفتاحًا لإغلاق نافذة الفرصة للمهاجمين.
هناك طبقة أخرى من التعقيد: بمجرد أن تمكن فريق Huntress من إعادة إنشاء الثغرة بسهولة، كنا نعلم أننا لا نريد تقديم تفاصيل عامة حول الثغرة حتى يتوفر الوقت الكافي للصناعة لإصلاحها. سيكون من الخطير للغاية أن تكون هذه المعلومات متاحة بسهولة للجهات الفاعلة المهددة ولم نرغب في منحهم ما يعادل البندقية المحملة بالذخيرة.
بالطبع، لم يستغرق الأمر وقتًا طويلاً قبل أن يتم الكشف عن السر. تمت مشاركة تفاصيل الاستغلال من قبل أطراف متعددة، وأصبحت متاحة على نطاق واسع للعامة والمتسللين على حد سواء. لقد حولنا انتباهنا بسرعة إلى مساعدة المجتمع، وإصدار تحليل مفصل، وتوفير إرشادات الكشف والتأكيد على الحاجة إلى التصحيح الفوري. بمجرد توفر دليل المفهوم للجمهور، يزيد التواصل الواسع النطاق من احتمالية تلقي المتأثرين للإشعارات. إن فائدة تمكين المدافعين من إثبات المفهوم والدفاعات القابلة للتطبيق تقلل من المخاطر أكثر من محاولة إخفاءها.
الخطوة 3: اتخاذ إجراءات جريئة
بدلاً من الجلوس مكتوفي الأيدي وانتظار أن تسوء الأمور (حقا، حقًا لقد قمنا بعمل شيء حيال ذلك، حيث قمنا بإصدار إصلاح سريع للقاح للمضيفين الذين يقومون بتشغيل الإصدار المعرض للخطر. يمكن أن يعمل الإصلاح السريع على إحباط الجهات الخبيثة مؤقتًا مع السماح للمستخدمين بالوقت لإصلاحها وتحديثها بشكل مناسب. في غضون ساعات قليلة، تم إصدار إصلاحنا السريع والإضافات توجيه الكشف وقد تم توفير هذه التوصيات ومشاركتها علنًا بواسطة فريقنا، مع تفاصيل خطوة بخطوة للشركاء والمنظمات المتضررة.
مع تزايد المعلومات الواردة، أضفنا محتوى ومعلومات جديدة حول كل شيء سلاش آند جرابفي حالة الشك، كن استباقيًا. إن قدرة الفريق على تولي الأمور بنفسه والتواصل بسرعة يمكن أن تحدث فرقًا في كيفية استجابة المجتمع.
فرق سيبرانية أكثر حدة = استجابة أقوى
يقتبس رئيسنا التنفيذي، كايل هانسلوفان“لقد كان الأمر سيئًا للغاية”. لكن لم يكن من الضروري أن يزداد الأمر سوءًا. من خلال الاستجابة المنسقة التي تتضمن دليلًا قويًا للتعامل مع أحداث الأزمة، يمكن أن تصبح فرق الأمن السيبراني جزءًا من الحل وحماية المجتمع بشكل أسرع وأكثر فعالية.
