الملخص

  • أفصحت Ivanti عن ثغرات متسلسلة تؤثر على Connect Secure و Policy Secure، بما في ذلك تجاوز المصادقة CVE-2023-46805 وحقن الأوامر CVE-2024-21887، بعد أن أبلغ الباحثون عن استغلال نشط.
  • وصفت Volexity و Mandiant نشاط المهاجمين ضد أجهزة VPN من Ivanti، بما في ذلك أوامر الويب (webshells)، والوصول إلى بيانات الاعتماد أو التكوين، وأساليب تهدف إلى البقاء.
  • أصدرت CISA التوجيه الطارئ 24-01 للوكالات الفيدرالية، وطالبت لاحقًا الوكالات المتأثرة بفصل المنتجات المعرضة للخطر، وتصدير الإعدادات، وإعادة ضبط الأجهزة، والترقية، واستيراد إعدادات نظيفة قبل إعادتها للخدمة.
  • حوّلت الحادثة جهاز VPN إلى سطح حوكمة: حيث أصبحت أهمية الجرد، وتوقيت التخفيف، والثقة في فحص السلامة، وعتبات إعادة البناء، وتدوير الاعتماديات، والتسجيل، وتخطيط الاستمرارية مساوية لأهمية توفر التصحيحات.
  • يدعم السجل العام نتيجة عالية الثقة بأن أجهزة الوصول عن بُعد المعرضة للخطر يجب أن تُعامل كأنظمة من المحتمل أنها مخترقة بعد الاستغلال المعروف. ولكنه لا يثبت أن كل عميل لدى Ivanti قد تم اختراقه، أو أن كل حادثة لاحقة للوصول عن بُعد نشأت من نفس سلسلة الثغرات.

السلسلة جعلت من الوصول عن بُعد أول سؤال للمساءلة

أوضح الإعلان العام لـ Ivanti حولCVE-2023-46805 و CVE-2024-21887زوجًا من الثغرات التي تؤثر على بوابات Connect Secure و Policy Secure. كانت CVE-2023-46805 تجاوزًا للمصادقة، بينما كانت CVE-2024-21887 حقنًا للأوامر. وبالاشتراك، سمحت المشكلة لمهاجم غير مصرح له بالوصول إلى مسارات تنفيذ الأوامر على الأجهزة المعرضة. بالنسبة لبوابة الوصول عن بُعد، يُعد ذلك فشلًا تحكميًا خطيرًا لأن الجهاز يقع على الحدود التي يُفترض أن يصبح فيها الخارجيون بعد المصادقة داخلين موثوقين.

ذكر تقرير Volexity حولالاستغلال النشط لثغرتي اليوم صفرأنه لاحظ الاستغلال في ديسمبر 2023 وربط النشاط بجهة يشتبه في أنها تتبع دويلة صينية ويتتبعها تحت اسم UTA0178. كما وصف تحليل Mandiant لـاستهداف يشتبه في كونه من جهة APT لثغرات Ivanti اليوم صفرأدوات ما بعد الاستغلال، وأوامر الويب، والوصول إلى الاعتماديات، ومحاولات الحفاظ على الوصول. هذه التقارير جعلت الحادثة تتجاوز مجرد تحذير البائع، وأدرجت نشاط اختراق حقيقي في السجل العام.

لذلك بدأ سؤال المساءلة قبل أن يفتح أي عميل تذكرة تغيير. من لديه أجهزة معرضة؟ من المسؤول عن كل جهاز؟ من يمكنه تطبيق التخفيفات فورًا؟ من يمكنه التحقق مما إذا كان الجهاز قد تعرض للاختراق قبل التخفيف؟ من يمكنه فصل الوصول عن بُعد دون تعطيل العمل الأساسي؟ هذه أسئلة تنظيمية وليست مجرد أسئلة تقنية.

الفارق مهم. فإذا كان هناك ثغرة حرجة في مكتبة برمجية، يمكن للمؤسسة أن تصحح الأنظمة وتراقب سلوك التطبيقات. أما إذا كان جهاز VPN قد تم استغلاله، فقد تكون البوابة نفسها نقطة الارتكاز. فهي تتحكم في الوصول، وتحمل الأسرار، ولا تسجل سوى جزء من الحقيقة. وهذا يجعل استعادة الثقة أصعب.

جعلت CISA الخطر أمر تشغيل طارئ

دعا تنبيه CISA بعنوانIvanti تصدر تخفيفات لبوابات Connect Secure و Policy Secureالمسؤولين إلى مراجعة إعلان Ivanti وتطبيق التخفيفات. ثم تصاعدت الاستجابة الفيدرالية. حيث أمرالتوجيه الطارئ 24-01الوكالات التنفيذية المدنية الفيدرالية باتخاذ إجراءات محددة لمنتجات Ivanti المتأثرة. ولاحقًا حدّثت CISA التوجيه بمتطلبات إضافية، شملت فصل المنتجات المتأثرة عن الشبكات، وتصدير الإعدادات، وإجراء إعادة ضبط المصنع، وتطبيق التحديثات، ومن ثم استيراد الإعدادات.

هذا التسلسل مهم. فهو يعامل الجهاز على أنه غير موثوق به، وليس فقط قديمًا. إعادة ضبط المصنع قبل الترقية واستيراد إعدادات نظيفة هو نهج مختلف عن "تثبيت التصحيح والمتابعة". إنه يعترف بأن الجهاز المخترق قد يحتفظ بتغييرات أو آثار للمهاجم لا تزيلها التصحيحات العادية.

وصف التحذير المشترك اللاحق من CISA،AA24-060B، استغلال بوابات Ivanti Connect Secure و Policy Secure وحذر من نشاط ما بعد الاختراق. التحذير مفيد لأنه حوّل نتائج البائعين والباحثين المبعثرة إلى نموذج استجابة عملياتي. ووجه المدافعين نحو مخاوف الكشف والصيد والاعتماديات وإعادة البناء.

بالنسبة لاستمرارية القطاع العام، خلق التوجيه معيارًا مرئيًا. لم تعد الوكالات تستطيع القول إن المسألة مجرد مشكلة بائع. كان عليها معرفة ما إذا كانت تستخدم منتجات متأثرة، وعزلها أو فصلها عند الطلب، واستعادتها بموجب عملية محددة. هذا ما تبدو عليه المساءلة عندما تدعم البنية التحتية للوصول عن بُعد العمل العام.

أصبح أداة فحص السلامة جزءًا من مشكلة الثقة

قدمت Ivanti أداة فحص السلامة ليتمكن العملاء من مسح الأجهزة بحثًا عن مؤشرات الاختراق. كان ذلك ضروريًا، لكن السجل العام يظهر لماذا تحتاج فحوصات السلامة إلى التواضع. وصف عمل Mandiant اللاحق حولالتحقيق في استغلال Ivanti والبقاءنشاطًا تضمن محاولات لتجنب الكشف وآليات البقاء. كما حذر تحذير CISA من أن جهات متطورة يمكن أن تقوض الثقة في حالة الجهاز.

خلق هذا مشكلة حوكمة صعبة. احتاج العملاء إلى إجابة سريعة على سؤال "هل تم اختراقنا؟" يمكن للأداة أن تساعد. لكن نتيجة الأداة النظيفة ليست كدليل على الجدارة بالثقة، خاصة إذا كان المهاجم قد حصل بالفعل على وصول على مستوى الجهاز. فحص السلامة الذي يتم تشغيله على نظام محتمل الاختراق أو ضده يمكن أن يغفل التحف المعدلة، أو الأدلة المحذوفة، أو وسائل البقاء الجديدة.

هذا لا يجعل الأداة عديمة الفائدة. بل يجعلها جزءًا واحدًا من حزمة الأدلة. احتاج العملاء إلى دمجها مع السجلات الخارجية، ومراجعة الإعدادات، وبيانات الاتصال عن بُعد، والصيد عن أوامر الويب، ومراجعة الحسابات، وتدوير الاعتماديات، وإرشادات البائع أو الاستجابة للحوادث. وحيث كانت الأدلة مفقودة، كان على الحذر أن يرتفع.

الدرس يتجاوز Ivanti. كل حادثة لبائع طرفي تخلق ضغطًا لإنتاج نتيجة خضراء أو حمراء بسيطة. لكن الأجهزة المخترقة تقاوم النتائج البسيطة. غالبًا ما يكون للتقييم الهادف مستويات ثقة: لم يتم العثور على أدلة مع سجلات كافية، لم يتم العثور على أدلة مع سجلات محدودة، أدلة على وصول مشبوه، تم تأكيد الاختراق، أو غير قادر على التحديد. هذه الفئات تخبر الإدارة أكثر من فحص نجاح/فشل.

توقيت التصحيح لم يلغِ نافذة التعرض للخطر

تضمن مسار إعلان Ivanti تخفيفات أولاً ثم تصحيحات لاحقًا. أشارتنبيه CISA في 31 ينايرإلى تحديثات أمنية لمنتجات متعددة. تظهر سجلات NVD لكل منCVE-2023-46805، وCVE-2024-21887، وCVE-2024-21893، وCVE-2024-22024مجموعة الثغرات التي كان على المدافعين تتبعها مع تطور الموقف.

هذا التطور هو المشكلة العملياتية. ربما طبق العميل التخفيف الأول، ثم اضطر إلى مراقبة التجاوزات أو ثغرات جديدة ذات صلة، ثم اضطر إلى تطبيق تحديثات لاحقة، ثم اضطر إلى تقرير ما إذا كان سيعيد البناء. كل خطوة تطلبت جرد أصول وسلطة تغيير. العميل الذي لديه جهاز واحد مُدار مركزيًا يمكنه التحرك بسرعة. العميل الذي لديه أجهزة كثيرة عبر وحدات العمل والمتعاقدين والشبكات القديمة واجه مشكلة مختلفة.

توقيت التصحيح أيضًا لم يستطع محو الاستغلال الذي حدث قبل الإصلاح. إذا وصل فاعل إلى الجهاز في ديسمبر 2023، فإن تخفيف يناير قد يوقف نفس المسار لكنه لا يزيل أوامر الويب، أو الاعتماديات المسروقة، أو الإعدادات المعدلة، أو الوصول اللاحق في أماكن أخرى من الشبكة. لهذا السبب كانت الحادثة تنتمي إلى الاستجابة للحوادث بقدر ما تنتمي إلى إدارة الثغرات.

الجدول الزمني للمساءلة ليس "تاريخ الإعلان إلى تاريخ التصحيح" فقط. إنه يشمل التعرض قبل الإفصاح، ووقت التخفيف، وجمع الأدلة، ومراجعة النشاط المشبوه، وإجراءات الاعتماديات والشهادات، وقرارات إعادة البناء، وتأثير الاستمرارية، وتغييرات التحكم بعد الإجراء. العميل الذي يسجل فقط تاريخ التصحيح يحتفظ بأسهل مقياس ويفقد الأدلة الأصعب.

حدد الجرد من يمكنه التحرك

التوجيه الطارئ أو إعلان البائع يكون مفيدًا فقط إذا عرفت المؤسسة ما إذا كانت تملك المنتج المتأثر. يمكن أن توجد أجهزة Ivanti Connect Secure في بيئات المقرات الرئيسية، والمكاتب الإقليمية، والشبكات المستحوذ عليها، ومسارات وصول المتعاقدين، ومحافظ الخدمات المدارة، وأنظمة الوصول عن بُعد القديمة. بعضها قد يكون مواجهًا للإنترنت حسب التصميم؛ والبعض الآخر قد يكون مكشوفًا بسبب الانجراف. لذلك كان السؤال العملياتي الأول هو الجرد.

يوضح تقرير Shadowserver حولتعرض Ivanti Connect Secureكيف يمكن للمسح الخارجي تحديد الأنظمة المعرضة أو المكشوفة على نطاق الإنترنت. الرؤية الخارجية قيمة، لكن لا ينبغي أن تكون الطريقة الرئيسية التي يكتشف بها العميل بنيته التحتية للشبكة الافتراضية الخاصة. إذا علمت وكالة حكومية أو مؤسسة بوجود جهاز من ماسح طرف ثالث، فإن سجلات الملكية ضعيفة بالفعل.

الجرد الجيد يشمل اسم المنتج، والإصدار، والتعرض للإنترنت، والمالك التجاري، والمالك التقني، ومالك المزود المُدار، ومجتمع المستخدمين، واعتماديات المصادقة، والشبكات الداخلية المتصلة، وإعدادات التسجيل، وحالة النسخ الاحتياطي، وإجراء العزل الطارئ. قد يبدو ذلك مفصلاً. بالنسبة لبوابة الوصول عن بُعد، إنها مساءلة أساسية. الجهاز ليس خادمًا سلعيًا. إنه يقرر من يمكنه الوصول إلى الداخل.

كشفت حادثة Ivanti تكلفة فجوات الجرد. فالجهاز المفقود يمكن أن يظل مكشوفًا. والجهاز غير المملوك يمكن أن يفقد نوافذ التخفيف. والجهاز المملوك محليًا يمكن أن يفتقر إلى السجلات المركزية. والجهاز المُدار بواسطة متعاقد يمكن أن يخلق نزاعًا حول من يوافق على الإغلاق. هذه إخفاقات حوكمة يمكن للمهاجمين استغلالها دون الاهتمام بمخطط المؤسسة الذي تسبب فيها.

نطاق الاعتماديات كان أوسع من كلمات مرور المستخدمين

تتعامل بوابات الوصول عن بُعد مع أكثر من أسماء المستخدمين وكلمات المرور. فقد تخزن حسابات المسؤولين المحليين، واعتماديات تكامل الدليل، والشهادات، ومواد جلسات VPN، ونسخ الإعدادات الاحتياطية، وإعدادات SAML أو RADIUS، وربط المجموعات، وقواعد الأنفاق المنقسمة، وسياسات الوصول. إذا تم اختراق جهاز، فلا يمكن للاستجابة أن تتوقف عند إصلاح برمجي.

تحتاج المؤسسة إلى خريطة للاعتماديات. أي حسابات الدليل كان يمكن للجهاز استخدامها؟ أي اعتماديات خدمة كانت مخزنة أو قابلة للوصول؟ أي شهادات كانت موجودة؟ أي مسؤولين محليين كانوا موجودين؟ أي مستخدمين مميزين قاموا بالمصادقة خلال نافذة التعرض؟ أي أنظمة لاحقة قبلت جلسات من VPN؟ بدون هذه الخريطة، يصبح تدوير الاعتماديات إما ضيقًا جدًا لحماية الثقة أو واسعًا جدًا لتنفيذه بكفاءة.

أعطى تقرير Mandiant عن سلوك ما بعد الاستغلال المدافعين سببًا للتفكير في البقاء والوصول إلى الاعتماديات كجزء من نفس الحادثة. وعززت تعليمات CISA الطارئة هذا الموقف بالدعوة إلى سلوك إعادة الضبط وإعادة البناء بدلاً من مجرد التصحيح. هذه إشارات عملية: إذا كان الجهاز مكشوفًا ولا يمكن استبعاد الاختراق، فإن ضوابط الهوية تحتاج إلى مراجعة.

هنا تواجه العديد من المؤسسات ضغط التكلفة. تدوير الاعتماديات والشهادات وأسرار التكامل هو إجراء معطل. يمكن أن يكسر الوصول عن بُعد، واتصال التطبيقات، والمراقبة، وسير عمل الشركاء. لكن ترك الأسرار القديمة في مكانها بعد احتمال اختراق الجهاز قد يحافظ على مسار المهاجم. الاستجابة المسؤولة تضع عتبات محددة مسبقًا للتدوير، حتى لا تتفاوض المؤسسة تحت الخوف والإرهاق.

حوّلت أوامر الويب البوابة إلى سطح بقاء

أصبحت حادثة Ivanti خطيرة بشكل خاص لأن الباحثين العلنيين ناقشوا أوامر الويب وأدوات ما بعد الاستغلال، وليس فقط آليات الاستغلال الأولي. أمر الويب على جهاز VPN يغير شكل الاستجابة. فقد لا يعود المهاجم بحاجة لاستغلال الثغرة الأصلية. يصبح الجهاز نفسه نقطة ارتكاز مُدارة.

تلتقط تقنيتا MITRE ATT&CKExploit Public-Facing ApplicationوExternal Remote Servicesالنمط الاستراتيجي. الجهاز مواجه للعامة، ويوفر الوصول عن بُعد. بمجرد أن يحول الفاعل هذا الجهاز إلى نقطة ارتكاز، قد يبدو النشاط اللاحق أقل كحدث ثغرة وأكثر كسلوك يشبه المصادقة أو المسؤول.

لهذا السبب فإن سجلات الأجهزة، وبيانات الاتصال الخارجية، وخطوط الأساس للإعدادات مهمة. هل بدأ الجهاز في إجراء اتصالات صادرة غير عادية؟ هل ظهرت ملفات جديدة؟ هل تغيرت مكونات الويب؟ هل حدثت جلسات مسؤول في أوقات غريبة؟ هل جاءت أحداث المصادقة من شبكات غير مألوفة؟ هل تواصل الجهاز مع أنظمة داخلية لا يلمسها عادة؟ يجب الإجابة على هذه الأسئلة بأدلة من خارج الجهاز المخترق حيثما أمكن.

السجل العام لا يعني أن كل جهاز معرض كان لديه أمر ويب. إنه يعني أن المدافعين كان عليهم معاملة هذا الاحتمال على أنه حقيقي. الاستجابة الناضجة لا تنتظر اليقين عندما يكون للبوابة تعرض واستغلال معروف. إنها تزيد المراقبة، وتضيق الوصول، وتختار قرارات ثقة متحفظة حيث تكون الأدلة غير مكتملة.

مساءلة البائع كانت حول جودة الإرشادات

شملت مسؤوليات Ivanti الإفصاح، والتخفيفات، والتصحيحات، والأدوات، والتواصل مع العملاء، والتنسيق مع الوكالات والباحثين. هذا وضع تشغيلي صعب خلال الاستغلال النشط. على البائع أن يتحرك بسرعة بينما تتغير الحقائق. لكن معيار المساءلة ليس الكمال. إنه ما إذا كان العملاء قد تلقوا إرشادات واضحة بما يكفي للتصرف بأمان.

جودة الإرشادات مهمة في عدة أبعاد. يحتاج العملاء إلى معرفة الإصدارات المتأثرة، وحالة الاستغلال، وخطوات التخفيف، وتوقيت التصحيح، وحدود الأداة، وكيفية جمع الأدلة، ومتى يفصلون، ومتى يعيدون البناء، وأي سجلات يحتفظون بها، وأي أسرار يدورونها. يحتاجون أيضًا إلى تحديثات عندما تظهر ثغرات جديدة أو مخاوف تجاوز. الغموض يدفع العملاء إما إلى رد فعل أقل من المطلوب أو الذعر.

تظهر حالة Ivanti لماذا يجب على بائعي الوصول عن بُعد إعداد أدلة استجابة قبل الأزمة. إذا تم استغلال جهاز VPN بنشاط، يجب أن يكون لدى البائع لغة عامة مسبقة لثقة الجهاز، والتسجيل الخارجي، وتصدير الإعدادات، وإعادة ضبط المصنع، وإعادة البناء، وإجراءات الاعتماديات، والتنسيق مع المزود المُدار. كلما كانت صياغة الإرشادات أصعب تحت الضغط، كلما كان يجب تحضيرها مسبقًا.

مساءلة البائع تشمل أيضًا تصميم المنتج. الإعدادات الافتراضية الآمنة، والمسارات الإدارية الأكثر أمانًا، وأدلة العبث الأقوى، والتسجيل المستقل، والترقيات الأسهل، وإجراءات إعادة البناء الأنظف، كلها تقلل ضرر العميل عند ظهور ثغرة. لا يمكن للبائع القضاء على كل عيب مستقبلي. لكن يمكنه تقليل فرصة أن يصبح كل عيب أزمة ثقة.

مساءلة العميل كانت حول الدليل العملي

تحكم العملاء في بنية النشر. هم من قرروا ما إذا كانت الأجهزة مواجهة للإنترنت، وكيف تم تقييد الوصول الإداري، وكيف تم تصدير السجلات، وكيف تم دمج الهوية، وما إذا كانت بدائل الاستمرارية موجودة، ومدى سرعة تطبيق التخفيف. يمتلك البائع أمن المنتج؛ ويمتلك العميل جزءًا كبيرًا من سطح التشغيل.

يجب أن تجيب حزمة أدلة العميل على أسئلة بسيطة. أي الأجهزة تأثرت؟ هل كانت مكشوفة؟ متى تم تطبيق التخفيفات؟ هل تم تثبيت التصحيحات؟ هل تم فصل الأجهزة حيث تطلب الأمر؟ هل تم إجراء إعادة ضبط المصنع حيث كان مناسبًا؟ ماذا أظهرت فحوصات السلامة؟ ما السجلات الخارجية التي تمت مراجعتها؟ هل تم تدوير الاعتماديات أو الشهادات؟ هل فقد المستخدمون الوصول؟ أي عمليات الأعمال اعتمدت على البوابة؟ ما الذي تغير بعد ذلك؟

بالنسبة للعملاء المنظمين أو الحكوميين، يجب أن تكون هذه الإجابات قابلة للتدقيق. لا يحتاج الجمهور إلى كل التفاصيل التقنية، لكن على هيئات الرقابة ألا تقبل سطرًا واحدًا "لقد عالجنا". الخطر يتعلق بالوصول عن بُعد إلى أنظمة عامة أو حساسة. يجب أن تتطابق الأدلة مع الرهانات.

الأمر نفسه ينطبق على المؤسسات. على مجلس الإدارة أو لجنة المخاطر أن تسأل ما إذا كانت المؤسسة تستطيع إثبات ثقة الجهاز بعد الاستغلال المعروف. إذا اعتمدت الإجابة على فحص نظيف بدون سجلات داعمة، فيجب أن تكون الثقة أقل. إذا تضمنت الإجابة سجلات خارجية، ومقارنة إعدادات، وإجراءات اعتماديات، وإعادة بناء حيث تطلب الأمر، فيجب أن تكون الثقة أعلى.

احتاج مزودو الخدمات المدارة إلى تقسيم واضح للعمل

لم يدير العديد من العملاء أجهزة Ivanti الخاصة بهم بمفردهم. يمكن أن تُدار البنية التحتية للوصول عن بُعد بواسطة مزودي أمن مدارين، أو تكنولوجيا معلومات خارجية، أو فرق إقليمية، أو متعاقدي دفاع، أو مكملي خدمات. خلال طارئ VPN مستغل، يمكن لهذه الملكية المتعددة الطبقات إما أن تسرع الاستجابة أو تخلق تأخيرًا.

يجب أن تحدد العقود من يراقب إعلانات البائعين، ومن يطبق التخفيفات الطارئة، ومن يمكنه فصل الخدمة، ومن يتواصل مع المستخدمين، ومن يجمع الأدلة، ومن يدير فحوصات السلامة، ومن يجري إعادة ضبط المصنع، ومن يستورد الإعدادات، ومن يدور الاعتماديات، ومن يكتب تقرير ما بعد الإجراء. بدون هذا التقسيم، يمكن أن تصبح كل خطوة مفاوضة.

يحتاج المزودون المدارون أيضًا إلى رؤية على مستوى المحفظة. إذا أدار مزود العديد من أجهزة العملاء، فيجب أن يكون قادرًا على تحديد كل الحالات المتأثرة بسرعة، وتحديد أولويات البيئات عالية المخاطر، وإخبار كل عميل بما حدث لجهازه. التأكيد العام بأن "نحن على علم بالمشكلة" لا يكفي عندما يكون الاستغلال النشط علنيًا.

يجب على العميل أن يطلب الأدلة، لكن على المزود ألا ينتظر أن يُطلب منه. المزود الذي يدير بوابة VPN مواجهة للإنترنت يدير حدود ثقة. إنه مدين للعملاء بحالة واضحة، وحالة معالجة محددة، ونتائج مصنفة حسب الثقة. هذا جزء من الخدمة، وليس تقريرًا اختياريًا.

جعلت الاستمرارية الفصل إجراءً ضروريًا رغم صعوبته

أظهر توجيه CISA أن فصل جهاز VPN قد يكون القرار الأمني الصحيح. ويمكن أن يكون أيضًا قرار استمرارية مؤلم. قد يفقد الموظفون عن بُعد الوصول. وقد يفقد المسؤولون مسارات الصيانة العادية. وقد لا يصل المتعاقدون إلى الأنظمة. وقد تضطر الوكالات إلى التحول إلى وصول بديل تحت الضغط.

لهذا السبب ينتمي تخطيط الاستمرارية إلى نفس سجل المخاطر مثل أمن VPN. المؤسسة التي لا تستطيع فصل جهاز معرض تكون قد سمحت لمنتج واحد بأن يصبح نقطة اختناق للاستمرارية. المؤسسة الناضجة لديها بدائل مختبرة: وصول إداري منفصل، مضيفون طوارئ حصن، مسارات وصول ثقة معدومة، إجراءات استمرارية محلية، عمليات يدوية، أو تدهور خدمة مخطط له.

سؤال الاستمرارية ليس ما إذا كان كل مستخدم يمكنه العمل بشكل طبيعي أثناء إغلاق طارئ. السؤال هو ما إذا كان العمل الحيوي يمكن أن يستمر بأمان كافٍ. الوكالات العامة والمستشفيات والمؤسسات المالية تحتاج إلى إجابة متدرجة: أي الوظائف يجب أن تستمر، وأيها يمكن أن يتوقف، وأيها يحتاج وصول طارئ، وأيها يتطلب عودة يدوية.

إذا لم تكن هذه الخطة موجودة، فإن ضغط الأعمال سيدفع الفرق لإبقاء الجهاز المعرض متصلاً، أو خلق وصول مؤقت غير آمن، أو إعادته للخدمة قبل استعادة الثقة. جعلت حادثة Ivanti هذه المقايضة مرئية. الأمن والاستمرارية لم يكونا إدارتين منفصلتين. كانا نفس القرار.

ما الأدلة التي ستغير التقييم

سيكون التقييم أقل حدة بالنسبة لمؤسسة يمكنها إظهار أن الجهاز لم يكن مواجهًا للإنترنت، أو لم يكن على إصدار متأثر، أو تم تخفيفه قبل التعرض، أو لديه سجلات خارجية كاملة، أو اجتاز فحوصات السلامة مع بيانات اتصال داعمة، وتم تحديد نطاق الاعتماديات وتدويرها حيث تطلب الأمر. سيتحسن التقييم أيضًا إذا قامت المؤسسة بإعادة ضبط المصنع أو إعادة البناء تحت عتبة موثقة واختبرت بدائل الوصول عن بُعد.

يصبح التقييم أكثر حدة عندما كانت الأجهزة مكشوفة، وتأخر التخفيف، وكانت السجلات مفقودة، وعوملت نتائج فحص السلامة كدليل مطلق، ولم تراجع الاعتماديات، وأجبرت استمرارية الوصول عن بُعد على العودة المبكرة للخدمة. يصبح أكثر حدة مرة أخرى عندما لم يتمكن المزودون المدارون من تحديد أجهزة العملاء المتأثرة بسرعة.

بالنسبة لـ Ivanti كبائع، سيتحسن التقييم مع تعلم واضح للسبب الجذري، وافتراضيات آمنة أقوى، وأدلة عبث محسنة، وعمليات إعادة بناء أسهل، وأدوات أدلة أفضل للعملاء، وإرشادات تعامل اختراق الجهاز كمشكلة استجابة للحوادث. سيزداد سوءًا إذا تكررت فئات مماثلة من عيوب الوصول عن بُعد المستغلة بدون تغييرات مرئية في المنتج والعمليات.

الأدلة العامة الحالية تدعم استنتاجًا محددًا. تم استغلال منتجات Ivanti بنشاط من خلال ثغرات خطيرة، وعالجت السلطات العامة الخطر على أنه عاجل، وكان يجب التعامل مع أجهزة الوصول عن بُعد كبنية تحتية من المحتمل أنها مخترقة. الأدلة العامة لا تدعم الادعاء باختراق موحد عبر كل العملاء. لكنها تدعم معيار مساءلة أعلى لكل نشر مكشوف.

قوائم KEV تغير ساعة الحوكمة

إدخالات كتالوج الثغرات المستغلة المعروفة (KEV) التابع لـ CISA لكل منCVE-2023-46805وCVE-2024-21887مهمة لأنها تنقل الثغرة من إدارة المخاطر العامة إلى حوكمة المخاطر المستغلة. بالنسبة للوكالات الفيدرالية المغطاة، فإن KEV له عواقب عملياتية رسمية. أما بالنسبة للآخرين، فهو لا يزال إشارة عامة على أن المشكلة تجاوزت التعرض النظري إلى إساءة الاستخدام النشطة.

يجب أن تغير هذه الإشارة سلوك الاجتماعات. لا ينبغي أن تظل الثغرة الحرجة في جهاز الوصول عن بُعد فقط في قائمة انتظار إدارة التصحيح بمجرد أن تصبح في KEV. يجب أن تشغل قيادة الحادثة، وتأكيد الأصول، وإخطار المالك التجاري، وتصعيد المزود المُدار، وإشراك فريق الهوية، ورؤية المخاطر التنفيذية. السبب بسيط: الوصول عن بُعد المستغل يمكن أن يصبح نقطة دخول إلى المؤسسة قبل أن يحدث اجتماع التصحيح.

يساعد KEV أيضًا في تقليل عذر شائع. تعالج المؤسسات أحيانًا إعلانات البائعين كبند واحد ضمن العديد، مرتبة حسب درجة CVSS ونوافذ الصيانة المخطط لها. الاستغلال المعروف يغير الأولوية. بوابة VPN التي ربما استخدمها فاعلو التهديد بالفعل لا يمكنها انتظار دورة صيانة مريحة بدون قبول مخاطر موثق. إذا كان الوصول عن بُعد مهمًا جدًا بحيث لا يمكن تعطيله، فهذا بالضبط سبب استحقاق الجهاز لاهتمام طارئ.

الكتالوج أيضًا يخلق سجلاً للرقابة. يمكن لمجالس الإدارة والمدققين وشركات التأمين والمنظمين أن يسألوا ما إذا كان لدى المؤسسة استيعاب لـ KEV، ومدى سرعة مطابقة إدخالات Ivanti مع الجرد، وما إذا كانت الملكية واضحة، ولماذا بقي أي جهاز مكشوف متصلاً. هذا يجعل سطح المساءلة دائمًا. إنه ليس فقط ما عرفه فريق الأمن. إنه ما فعلته المؤسسة بعد وجود إشارة عامة لثغرة مستغلة.

المقياس العملي هو الوقت حتى الحقيقة. كم من الوقت استغرق لمعرفة ما إذا كانت المؤسسة لديها منتجات Ivanti متأثرة؟ كم لمعرفة ما إذا كانت مكشوفة؟ كم لمعرفة من يملكها؟ كم لتقرير التخفيف، أو الفصل، أو إعادة الضبط، أو الاستبدال؟ الوقت حتى التصحيح مهم، لكن الوقت حتى الحقيقة يقرر ما إذا كانت الإدارة تحكم الموقف أم تنتظر شخصًا آخر لجعله مقروءًا.

يجب تصميم الأدلة الخارجية قبل الطوارئ

تعزز إرشادات المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) حولإدارة النظام الآمنةمبدأ ينطبق مباشرة على أجهزة VPN: يجب إدارة الأنظمة المميزة من خلال مسارات محكومة ومراقبة وقابلة للتدقيق. في حالة Ivanti، كان الجهاز نفسه هو الهدف المشتبه به. هذا يعني أن سجلات الإدارة، وتغييرات الإعدادات، وأحداث الوصول عن بُعد يجب ألا تعتمد فقط على بقاء الجهاز أمينًا.

تبدأ الأدلة الخارجية بتصدير السجلات. أحداث المصادقة، وتسجيلات الدخول الإدارية، وتغييرات الإعدادات، وأحداث النظام، وطلبات الويب حيثما توفرت، وتدفقات الشبكة يجب أن تُنسخ إلى أنظمة ذات احتفاظ مستقل. يجب أن تكون السجلات متزامنة زمنيًا ومترابطة مع سجلات الهوية، وبيانات الاتصال الطرفية، وتذاكر إدارة التغيير. إذا لم يستطع المستجيب إعادة بناء ما حدث قبل الإعلان، فإن المؤسسة تتخذ قراراتها بالفعل في ضباب.

أدلة الإعدادات لا تقل أهمية. يجب أن يكون لدى المؤسسة نسخ احتياطية معروفة النظافة مع فحوصات سلامة، وملفات متوقعة موثقة، وطريقة لمقارنة الحالة الحالية بخط الأساس. إعادة ضبط المصنع متبوعة باستيراد إعدادات نظيفة تكون نظيفة فقط إذا كان الإعداد نفسه مفهومًا. إذا لم يعرف أحد ما إذا كانت النسخة الاحتياطية تحتوي بالفعل على تغييرات غير مصرح بها، فقد تعيد عملية إعادة البناء إدخال الخطر.

الأدلة الخارجية أيضًا تغير التواصل. يمكن للعميل أن يقول للقيادة "لم نعثر على دليل على الاختراق في سجلات المصادقة والإعدادات المحفوظة خارجيًا والتي تغطي نافذة التعرض" بثقة أكبر من "نجح فحص سلامة الجهاز". قد تكون كلتا العبارتين صحيحتين، لكنهما ليستا متساويتين في القوة. الأولى تحدد نطاق الأدلة. الثانية قد تخفي حدود الأدلة.

هذا هو الفرق بين أدوات الأمن وأدلة المساءلة. يمكن للأداة أن تساعد الفريق على التصرف. الأدلة تساعد المؤسسة على تبرير الثقة. بالنسبة للبنية التحتية للوصول عن بُعد، كلاهما مطلوب لأن القرار يؤثر على الناس الذين يعتمدون على البوابة لكنهم لا يديرونها.

التصميم الآمن ينطبق على دورة حياة الجهاز

تأطير CISA لـالتصميم الآمنذو صلة لأن أجهزة الوصول عن بُعد يجب ألا تعتمد على العملاء في تجميع كل خصائص السلامة بعد النشر. يمكن للبائعين تقليل فشل العملاء عبر توفير افتراضيات أكثر أمانًا، وتحذيرات أوضح، وتسجيل أقوى، وأدلة مقاومة للعبث، وتصحيح أسهل، وسير عمل إعادة بناء أنظف. لا يزال على العملاء واجبات، لكن تصميم المنتج يمكن أن يجعل المسار الآمن أسهل من المسار الخطير.

بالنسبة لمنتج وصول عن بُعد مثل Ivanti، يجب أن تغطي توقعات التصميم الآمن دورة الحياة بأكملها. قبل النشر، يجب دفع المسؤولين نحو واجهات إدارة مقيدة، ومصادقة قوية، وتسجيل خارجي، ونسخ احتياطي موثق. خلال التشغيل الروتيني، يجب أن يجعل المنتج التعرض، وعمر الإصدار، والإعدادات الخطرة مرئية. خلال الاستجابة للطوارئ، يجب أن يقدم إرشادات دقيقة حول جمع الأدلة، وإعادة الضبط، والترقية، واستيراد الإعدادات، وإجراءات الاعتماديات. بعد الاستعادة، يجب أن يساعد العملاء على التحقق من الحالة وتقليل التكرار.

نفس رؤية دورة الحياة يجب أن تنطبق على نشر العميل. شراء جهاز VPN ليس حدث شراء لمرة واحدة. إنه يخلق اعتمادًا مستمرًا على الثقة. تحتاج المؤسسة إلى مالكين، ونوافذ تصحيح، ومسارات تصعيد، وسجلات، وبدائل استمرارية، وخطط تقاعد. إذا بقي منتج في الخدمة بعد توقف الفرق عن إدارته بنشاط، يصبح الجهاز دين حوكمة.

حادثة Ivanti مفيدة لأنها تظهر كيف يتفاعل التصميم والتشغيل. عيب البائع خلق مسار الاستغلال. ممارسات التعرض والأدلة لدى العميل شكلت النتيجة. السلطات العامة حددت الحد الأدنى من الإجراءات الطارئة. المزودون المدارون أثروا في السرعة والرؤية. لا أحد من هذه الطبقات بمفرده يفسر النتيجة الكاملة.

هذه المساءلة متعددة الطبقات غالبًا ما تكون غير مريحة، لكنها دقيقة. لا يمكن للبائع أن يقول إن العملاء يملكون كل شيء بعد النشر. لا يمكن للعميل أن يقول إن البائع يملك كل شيء بعد العثور على عيب. لا يمكن للمزود أن يقول إن العميل يملك الخطر بينما يتحكم المزود في الجهاز. تفكير التصميم الآمن يجبر كل طرف على تسمية سطح تحكمه قبل الطوارئ التالية.

على الشراء أن يحصل على أدلة الانتعاش، لا الوصول فقط

غالبًا ما تشتري الوكالات العامة والمؤسسات الكبيرة منتجات الوصول عن بُعد من أجل التوفر، وميزات الأمن، والدعم، والسعر. يشير سجل Ivanti إلى أنه يجب عليهم أيضًا شراء التزامات الأدلة والانتعاش. يجب أن يسأل العقد ماذا يحدث إذا تم استغلال الجهاز بنشاط: مدى سرعة نشر البائع للإرشادات، وكيفية تحديد أولويات طوابير الدعم، وكيفية تنسيق المزودين المدارين مع البائع، وما الأدلة التي يمكن للعملاء تلقيها.

بالنسبة للنشر المُدار، يجب أن يذهب العقد إلى أبعد من ذلك. يجب أن يحدد الاحتفاظ بالسجلات الخارجية، ووصول العميل إلى السجلات، وسلطة الفصل الطارئ، وتجاوزات الموافقة للثغرات المستغلة، وإجراءات إعادة البناء أو إعادة ضبط المصنع، ودعم تدوير الاعتماديات، وتقارير الحالة الخاصة بالعميل، ومراجعة ما بعد الحادثة. العميل الذي لا يستطيع الحصول على أدلته الخاصة من مزود لا يستطيع إغلاق حادثته بمسؤولية.

يجب على فرق الشراء أيضًا اختبار افتراضات الاستمرارية. إذا كان المنتج يوفر مسار الوصول عن بُعد الرئيسي، فيجب على المشتري أن يعرف كيف تعمل المؤسسة عندما يكون هذا المسار معطلاً. يجب أن يشمل هذا الاختبار الوصول التقني، وحمل مكتب المساعدة، والتواصل مع المستخدمين، والالتزامات القانونية، وفرز عمليات الأعمال. العقد الذي يشتري وقت التشغيل لكن ليس الإغلاق الآمن يترك العميل محاصرًا عندما يكون الإجراء الأمني الصحيح هو الفصل.

هذا مهم بشكل خاص لهيئات القطاع العام. نادرًا ما يعرف المواطنون أي جهاز يحمي شبكة الوكالة. لكنهم يعرفون عندما تفشل الخدمات، أو تتعرض السجلات، أو تتباطأ الاستجابة للطوارئ. لذلك يجب على الشراء العام أن يعامل ثقة الجهاز كجزء من استمرارية الخدمة العامة. منتج VPN رخيص أو مألوف لا يكفي إذا لم تستطع الوكالة إثبات حالته بعد الاستغلال.

متطلبات أدلة المشتري يمكن أن تحسن السوق. يستجيب البائعون والمزودون لما يطلبه العملاء. إذا طلب العملاء فقط ميزات الوصول وساعات الدعم، تبقى أدلة الانتعاش ثانوية. إذا طالبوا بثقة الجهاز، وتصدير السجلات، وأدلة إعادة البناء، ودعم ما بعد الاستغلال، تصبح هذه القدرات متطلبات تنافسية.

يجب أن تكون لغة المعالجة دقيقة

أحد أكثر الأخطاء العامة شيوعًا بعد حوادث البنية التحتية المستغلة هي لغة المعالجة الغامضة. "تم التخفيف" يمكن أن يعني أنه تم تطبيق حل بديل. "تم التصحيح" يمكن أن يعني أنه تم تحديث البرنامج. "تم إعادة الضبط" يمكن أن يعني تغيير الاعتماديات أو إعادة ضبط الجهاز للمصنع. "لا دليل على الاختراق" يمكن أن يعني أنه تمت مراجعة أدلة قوية أو أن أدلة ضعيفة لم تجد شيئًا. "تمت الاستعادة" يمكن أن تعني أن الخدمة قابلة للوصول، وليس أن الثقة كاملة.

حادثة Ivanti تتطلب لغة أكثر دقة. يمكن أن يكون الجهاز مخففًا لكن ليس مصححًا بالكامل. مصححًا لكن لم يتم التحقيق معه. تم التحقيق معه لكن بسجلات مفقودة. تم إعادة ضبطه لكن بإعدادات غير مؤكدة. أعيد بناؤه لكن بأسرار لم يتم تدويرها. تمت استعادته لكن معتمدًا على حل بديل للاستمرارية. هذه الفروق ليست حذلقة. إنها كيف يتجنب المدراء الثقة الزائفة.

لا تحتاج التصريحات العامة إلى كشف تفاصيل حساسة، لكن يجب أن تتجنب ضغط حالات مختلفة في فعل مطمئن واحد. السجلات الداخلية يجب أن تكون أكثر دقة. يجب أن تحدد حالة التعرض، وحالة التخفيف، وحالة التصحيح، وحالة فحص السلامة، وثقة مراجعة السجل، وإجراءات الاعتماديات، وحالة إعادة البناء، وموافقة العودة للخدمة، والخطر المتبقي. هذا السجل يصبح الأساس للتدقيقات المستقبلية والطوارئ المستقبلية.

الدقة أيضًا تحمي البائعين والمزودين عندما قاموا بالعمل جيدًا. المزود الذي يستطيع القول إنه فصل الأجهزة المتأثرة، وصدر الإعدادات، وأعاد ضبط الأجهزة، وطبق التحديثات، واستورد إعدادات مراجعة، ودور الاعتماديات، وحفظ السجلات يجب أن يحصل على تقدير أكثر من ذاك الذي يقول "تمت معالجة كل الأنظمة". التحديد يبني الثقة لأنه يسمي الضوابط.

الفائدة الأخيرة هي التعلم. إذا تم تسجيل كل استجابة على أنها "تم التصحيح"، لا تستطيع المؤسسة مقارنة الحوادث. إذا تطلبت إحدى الاستجابات إغلاقًا طارئًا، وأخرى تطلبت إعادة بناء، وأخرى تطلبت تدوير اعتماديات، يمكن للمؤسسة تحسين البنية حيث كان الألم أعلى. لذلك يجب أن تدفع قضية Ivanti المؤسسات لكتابة حالات حادثة أفضل، وليس فقط إغلاق تذاكر أسرع.

على الرقابة أن تقرأ الحادثة كاختبار تحكم

م مجالس الإدارة، ولجان التدقيق، والمفتشين العامين، وقادة الوكالات لا يحتاجون إلى فهم كل تفاصيل الاستغلال لطرح الأسئلة الصحيحة. يحتاجون إلى سؤال ما إذا كان جرد الوصول عن بُعد كاملاً، وما إذا كان استيعاب الثغرات المستغلة المعروفة يعمل، وما إذا كانت المؤسسة تستطيع فصل بوابة حرجة، وما إذا كانت الأدلة نجت خارج الجهاز، وما إذا كانت العودة للخدمة استندت إلى ثقة موثقة.

هذه الأسئلة تجعل الحادثة مقروءة على مستوى الحوكمة. قد يبلغ فريق تقني أن التخفيفات طبقت بسرعة. على الرقابة أن تسأل ما إذا تم اكتشاف أي جهاز متأخر. قد يبلغ مزود أن وصول العميل تمت استعادته. على الرقابة أن تسأل ما إذا كانت سجلات العميل وسجلات إعادة البناء موجودة. قد يبلغ مالك الأعمال أن الموظفين عن بُعد استمروا في العمل. على الرقابة أن تسأل ما إذا كانت هذه الاستمرارية اعتمدت على استثناءات غير آمنة.

الهدف ليس إعادة النظر في كل قرار هندسي بعد وقوعه. إنه إثبات أن الوصول عن بُعد المستغل يُدار كمخاطر مؤسسية. أجهزة VPN تقع بين الشبكات العامة والأنظمة الداخلية. فشلها يمكن أن يؤثر على حماية البيانات، واستمرارية الخدمة العامة، والاستجابة للحوادث، والثقة التعاقدية. هذا يكفي لتبرير انتباه رقابي يتجاوز مركز عمليات الأمن.

هكذا أيضًا تتجنب المؤسسات تكرار نفس الحادثة باسم منتج مختلف. قد يأتي الجهاز الطرفي المستغل التالي من بائع آخر ويستخدم CVE آخر. سيكون اختبار الحوكمة مشابهًا: معرفة الأصل، وعزله، والحفاظ على الأدلة، وتدوير الأسرار، وإعادة البناء عندما تكون الثقة غير مؤكدة، وإبقاء العمل الحيوي يعمل بأمان.

اختبار المساءلة

يجب الحكم على حادثة Ivanti من خلال سبعة ضوابط.

الأول، الجرد: هل استطاعت المؤسسة تحديد كل جهاز Connect Secure و Policy Secure، وإصداره، ومالكه، ومسار التعرض، وعلاقة المزود المُدار، ومجموعة المستخدمين المعتمدة في غضون ساعات؟

الثاني، توقيت التخفيف والتصحيح: هل طبقت تخفيفات Ivanti والتحديثات اللاحقة بسرعة، وهل تتبعت CVEs الجديدة ذات الصلة مع تطور الإعلان؟

الثالث، العزل: حيث تطلب الأمر أو كان حكيمًا، هل فصلت الأجهزة المعرضة بدلاً من ترك راحة الوصول عن بُعد قبل الثقة؟

الرابع، الأدلة: هل حافظت على السجلات الخارجية، وأدارت فحوصات السلامة، وراجعت الإعدادات، وبحثت عن أوامر الويب أو وسائل البقاء، ووثقت مستويات الثقة بدلاً من الاعتماد على نتيجة فحص واحدة؟

الخامس، استجابة الاعتماديات: هل دورت أو حددت نطاق اعتماديات المسؤولين، واعتماديات VPN، والشهادات، وأسرار التكامل عندما لم يكن من الممكن استبعاد الاختراق؟

السادس، نظام إعادة البناء: هل حددت متى كانت إعادة ضبط المصنع، أو إعادة التصوير، أو الاستبدال مطلوبة قبل إعادة الجهاز للخدمة؟

السابع، الاستمرارية: هل كان لديها مسارات وصول بديلة آمنة بحيث يمكن للعمليات العامة أو الأعمال أن تستمر دون الإسراع في إعادة بوابة غير موثوقة للاتصال؟

الاستنتاج النهائي واضح. أصبحت Ivanti Connect Secure سطح مساءلة للقطاع العام لأن فشل منتج الوصول عن بُعد لامس توجيهات حكومية، واستغلالاً نشطًا، وثقة الأجهزة، واستمرارية الأعمال. المهاجم يملك الاختراق. Ivanti تملك أمن المنتج، والإفصاح، والأدوات، والإرشادات. العملاء والمزودون المدارون يملكون النشر، والأدلة، وإعادة البناء، والاعتماديات، وقرارات الاستمرارية. الاستجابة المسؤولة ليست "تم التصحيح". إنها "نحن نعرف ما الذي تعرض، وماذا حدث، وما الأدلة التي نجت، وأي الأسرار تغيرت، وأي الأجهزة أعيد بناؤها، ولماذا يمكن الوثوق بمسار الوصول المستعاد".