كم الوقت الذي يستغرقه مدير النظام لاغلاق ثغرة امنية تم الكشف عنها ؟
ماذا يعني مصطلح الكشف عن الثغرات؟
عند الوصول الى ثغرة معينة في نظام شركة ما، فان الشركة تباشر في عملية تصحيح هذا الضعف الامني في النظام، وبعدها يتم التعميم على العملاء علنا على وجود ثغرة في النظام ويجب عمل ترقية او تنصيب برمجية معالجة للثغرة. عادة ما يتم ترقيم الثغرة وفقا لنظام مرجعي يسمة Common Vulnerabilities and Exposures (CVE)
يتمتع مسؤولو النظام بوقت أقل لتصحيح الثغرات الأمنية التي يتم الكشف عنها مما كان يُعتقد سابقًا ، حيث يُظهر تقرير جديد قيام الهكرز بالبحث عن الانظمة المصابة في غضون 15 دقيقة من الكشف العلني عن ثغرة ما.
وفقًا لتقرير الاستجابة للحوادث للوحدة 42 في بالو ألتو لعام 2022 ، يراقب الهكرز باستمرار لوحات إعلانات بائعي البرامج بحثًا عن إعلانات نقاط الضعف الجديدة (الثغرات) التي يمكنهم الاستفادة منها للوصول إلى شبكة الشركة أو لتنفيذ التعليمات البرمجية عن بُعد في الانظمة التي لم تقم بعمل معالجة لتلك الثغرات بعد.
ومع ذلك ، فإن السرعة التي يبدأ بها المهاجمون في البحث عن نقاط الضعف تضع مسؤولي النظام في مرمى النيران بينما يتسابقون لإصلاح الأخطاء قبل أن يتم استغلالها.
"وجد تقرير تهديدات إدارة الثغرات لعام 2022 أن المهاجمين يبدأون عادةً في البحث عن الثغرات الأمنية في غضون 15 دقيقة من الإعلان عنها" .
نظرًا لأن فحص النظام ليس متطلبًا بشكل خاص ، يمكن حتى للمهاجمين ذوي المهارات المنخفضة فحص الإنترنت بحثًا عن الانظمة الضعيفة وبيع نتائجهم في أسواق الويب المظلمة حيث يعرف المتسللون الأكثر قدرة كيفية استغلالها، وغالبًا ما يتم اختراق الأنظمة التي لم تتح لها فرصة التصحيح مطلقًا.
كمثال، تم الكشف عن ثغرة أمنية خطيرة لتنفيذ الأوامر عن بُعد بدون امتلاك صلاحيات على النظام والتي تؤثرعلى منتجات F5 BIG-IP و التي تم ترقيمها تحت المسمى CVE-2022-1388
تم الكشف عن الخلل في 4 مايو 2022 ، وبحلول عشر ساعات على الأعلان علنا عن الثغرة، تم تسجيل حوالي 2552 محاولة مسح للانظمة واستغلالها.
هذا سباق بين المدافعين عن الانظمة و الهكرز ، وتتضاءل هوامش التأخير من كلا الجانبين مع مرور كل عام.
أكثر العيوب التي تم استغلالها في عام 2022
استنادًا إلى البيانات التي تم جمعها بواسطة بالو التو، فإن أكثر نقاط الضعف استغلالًا للوصول إلى الشبكة في الربع الاول من عام 2022 هي سلسلة استغلال "ProxyShell" ، والتي تمثل 55٪ من إجمالي حوادث الاستغلال المسجلة.
ProxyShell هو هجوم يتم استغلاله من خلال ربط ثلاث ثغرات أمنية تم تسميتها وهي CVE-2021-34473 و CVE-2021-34523 و CVE-2021-31207. يليها ثغرة Log4Shell في المركز الثاني بنسبة 14٪
العيوب الأكثر استغلالًا في النصف الأول من عام 2022
كما يتضح من هذه الإحصائيات ، فإن نصيب الأسد في حجم الاستغلال يتم التقاطه من خلال عيوب شبه قديمة وليس أحدثها.
يحدث هذا لأسباب مختلفة ، بما في ذلك حجم الانظمة المصابة وتعقيد استغلال الثغرة وخطورة تاثير الثغرة على النظام.
يتم استهداف الأنظمة الأكثر قيمة والأكثر حماية والتي يسارع مشرفوها في تطبيق تحديثات الأمان بلحظة الاعلان عن الثغرة 0day أو الهجمات التي يتم كشفها فور الكشف عن الثغرة.
في 37٪ من الحالات ، كان التصيد الاحتيالي هو الوسيلة المفضلة لتحقيق الوصول الأولي الى الانظمة. تخمين كلمات المرور أو استخدام بيانات الاعتماد المخترقة هو كيفية اختراق الهكرز للشبكات في 15٪ من الحالات.
كيف حقق المهاجمون الوصول الأولي في النصف الأول من عام 2022
أخيرًا ، استخدام حيل الهندسة الاجتماعية ضد الموظفين المتميزين أو رشوة المطلعين المارقين للمساعدة في الوصول إلى الشبكة يتوافق مع 10٪ من الحوادث.
سباق مع الزمن
مع وجود مسؤولي النظام ومسؤولي الشبكات والمتخصصين في مجال الأمن بالفعل تحت ضغط كبير أثناء محاولتهم مواكبة أحدث التهديدات الأمنية ومشكلات نظام التشغيل ، فإن السرعة التي يستهدف بها المهاجمون أجهزتهم تضيف ضغطًا إضافيًا.
لذلك ، من المهم للغاية إبقاء الأجهزة بعيدة عن الإنترنت إن أمكن ، وكشفها فقط من خلال شبكات VPN أو بوابات الأمان الأخرى. من خلال تقييد الوصول إلى الخوادم ، لا يقلل المسؤولون من مخاطر عمليات الاستغلال فحسب ، بل يوفرون وقتًا إضافيًا لتطبيق التحديثات الأمنية قبل أن يتم استهداف الثغرات الأمنية داخليًا.
لسوء الحظ ، يجب كشف بعض الخوادم علنًا ، مما يتطلب من المسؤولين تشديد الأمان قدر الإمكان من خلال قوائم الوصول ، وكشف المنافذ والخدمات الضرورية فقط ، وتطبيق التحديثات في أسرع وقت ممكن.
بينما قد يؤدي تطبيق التحديث المهم بسرعة إلى وقت تعطل في النظام ، إلا أن هذا أفضل بكثير من تداعيات هجوم إلكتروني كامل.