ملخص
- سجل Ivanti Connect Secure وPolicy Secure لعام 2024 مهم لأن الأجهزة المتأثرة لم تكن تطبيقات تجارية عادية. بل كانت بوابات وصول عن بُعد قد ينقل فشلها الاختراق الخارجي مباشرة نحو الأنظمة الداخلية.
- توجيه CISA الطارئ، ونشرات Ivanti، وسجلات ثغرات NVD، والأبحاث المستقلة من Mandiant وVolexity، كلها تشير إلى نفس قضية المساءلة: كان التخفيف والتصحيح ضروريين، لكن العملاء احتاجوا أيضًا إلى أدلة حول ما إذا كانت الأجهزة قد اخترقت بالفعل.
- أصبحت أداة فحص النزاهة إشارة مهمة، لكنها ليست إجابة سحرية. يمكن لفحص النزاهة دعم الفرز؛ فهو لا يحل وحده محل مراجعة السجلات، أو تدوير الشهادات، أو قرارات إعادة البناء، أو جدول زمني موثق للتعرض.
- المسؤولية مشتركة ولكنها غير متماثلة. تحكمت Ivanti في إصلاحات المنتج، ووضوح النشرات، ولغة التخفيف، وتوجيهات الأدوات. وتحكم العملاء في مخزون التعرض، والإجراءات الطارئة، وقرارات إعادة البناء، والإشعار النهائي. وغالبًا ما تحكم مزودو الخدمات المُدارة في أعمال الإصلاح العملي للمؤسسات التي تفتقر إلى خبرة الأجهزة الخاصة بها.
- النموذج المستقبلي الأقوى سيعالج بوابات الوصول الآمن كحدود ثقة من درجة الحوادث: جرد مسبق، مراقبة خارجية، عزل سريع، إعادة بناء عندما تكون الثقة ضعيفة، وإبلاغ القيادة مع عرض المجهول المعروف بدلاً من دفنه.
البوابة كانت موضوع المخاطرة
تقع بوابات الوصول عن بُعد في موقف غريب داخل بنية الأمن. فهي موجودة لتقليل المخاطر من خلال إعطاء المستخدمين المصرح لهم وصولًا محكومًا إلى الأنظمة الداخلية. كما أنها تركز الثقة. إذا تم اختراق البوابة، فقد لا يحتاج المهاجم إلى التصيد لكل موظف أو استغلال كل تطبيق على حدة. يمكن أن يصبح الجهاز نقطة دخول، أو نقطة مراقبة، أو نقطة تمرير. لهذا السبب فإن سجل Ivanti لعام 2024 هو أكثر من مجرد قصة CVE.
أمر توجيه CISA الطارئرقم 24-01الوكالات المدنية الفيدرالية الأمريكية باتخاذ إجراءات محددة على منتجات Ivanti Connect Secure وIvanti Policy Secure. لا تكمن أهميته فقط في أن CISA استخدمت توجيهًا طارئًا، بل في أن التوجيه عالج الأجهزة الضعيفة كحدود ثقة تشغيلية يجب التحقق من نزاهتها، وليس مجرد تصحيحها في الوقت المناسب. إن تنبيه CISA السابق،Ivanti Releases Security Update for Connect Secure and Policy Secure Gateways، أظهر الإلحاح العام عند ظهور الثغرات.
سجل البائع قدم المركز الخاص بالمنتج. تناولت نشرة Ivanti للثغراتCVE-2023-46805 وCVE-2024-21887تجاوز المصادقة وحقن الأوامر في بوابات Connect Secure وPolicy Secure. أصبح توجيه أداة فحص النزاهة من IvantiKB44820جزءًا من الاستجابة التشغيلية. توفر سجلات NVD للثغراتCVE-2023-46805وCVE-2024-21887وCVE-2024-21893وCVE-2024-22024البيانات الوصفية العامة للثغرات حول مجموعة مخاوف الأجهزة الطرفية.
سجل الأبحاث المستقلة جعل المشكلة نفسها مرئية من منظور الاستجابة للحوادث. نشر فريق Mandiant من Google CloudSuspected APT targets Ivanti zero-day vulnerabilities، وأبلغت Volexity عناستغلال نشط لثغرتين من نوع zero-day في Ivanti Connect Secure VPN. لا ينبغي توسيع هذه التقارير لتكون دليلاً على كل عميل. إنها دليل على أن المهاجمين الحقيقيين رأوا قيمة في نفس موقع البوابة الذي وثق به المدافعون.
هذه هي نقطة المساءلة الأساسية. بوابة الوصول عن بُعد ليست مجرد برنامج. إنها حدود بين العالم الخارجي والأنظمة الداخلية. عندما يكون جهاز الحدود موضع شك، يجب على المؤسسة الإجابة على سؤال مختلف عن "هل قمنا بتثبيت التحديث؟" يجب عليها الإجابة على "هل يمكننا الوثوق بهذه الحدود مرة أخرى، وما الأدلة التي تدعم هذه الثقة؟"
التخفيف الطارئ أصبح حدثًا حوكميًا
أكثر الإجراءات العامة وضوحًا كان توجيه CISA الطارئ. التوجيهات الطارئة ليست منشورات مدونة روتينية. إنها أدوات حوكمة للوكالات الفيدرالية المدنية، وهي تترجم مخاطر الاستغلال التقني إلى إجراءات تشغيلية مطلوبة. حتى بالنسبة للمؤسسات خارج النطاق الرسمي للتوجيه، فإن التوجيه هو معيار للمساءلة لأنه يُظهر ما اعتقدت سلطة الأمن السيبراني الوطنية أن المخاطرة تستوجبه.
هيكل التوجيه مهم. لم يقل ببساطة "صحيح عندما يتوفر التصحيح." بل تطلب خطوات تخفيف، وفحوصات للأجهزة، وفصلًا تحت ظروف معينة. يعكس هذا الموقف فرقًا رئيسيًا بين إدارة الثغرات العادية وإدارة الحدود المخترقة. إذا كان جهاز الحافة الضعيف قد يكون مخترقًا بالفعل، فإن تركه متصلاً بالإنترنت أثناء انتظار تصحيح لاحق قد يحافظ على ميزة المهاجم. إذا لم تستطع المؤسسة إثبات النزاهة، فقد يكون الفصل أو إعادة البناء هو المسار الأكثر أمانًا.
هذا النوع من القرار غير مريح لأنه يتصادم مع استمرارية الأعمال. تدعم منتجات Connect Secure وPolicy Secure العمل عن بُعد، ووصول البائعين، والنشاط الإداري، وإمكانية الوصول إلى التطبيقات الداخلية. إيقاف تشغيلها يمكن أن يعطل العمليات. لكن حقيقة أن الجهاز مفيد هي بالضبط سبب أهمية الاستغلال. البوابة التي هي مهمة تشغيليًا بما يكفي لتبقى متصلة هي أيضًا مهمة بما يكفي لتفتيشها بقوة عندما يظهر سجل استغلال موثوق.
أصدرت CISA ووكالات شريكة لاحقًاAA24-060B، التي وسعت الاستجابة من إلحاح التصحيح إلى البحث عن التهديدات والتخفيف. هذه هي خطوة المساءلة الثانية. أولاً، تحديد الحدود الضعيفة. ثانيًا، تقليل التعرض الفوري. ثالثًا، البحث عن الاختراق. رابعًا، تحديد ما إذا كان يمكن استعادة الثقة أو ما إذا كانت إعادة البناء مطلوبة. المؤسسات التي تخطت الخطوتين الوسطيتين ربما عالجت حادث حدودي كتحديث برمجي عادي.
يجب أن يُظهر سجل الحوكمة من اتخذ تلك القرارات. من كان لديه سلطة فصل البوابة؟ من قبل الاضطراب التجاري؟ من شهد بأن أداة فحص النزاهة تم تشغيلها؟ من قرر ما إذا كانت النتيجة الإيجابية أو غير الحاسمة تعني إعادة البناء؟ من أبلغ المديرين التنفيذيين عن عدم اليقين المتبقي؟ إذا كان الجهاز يخدم وكالة عامة، من قام بتقييم ما إذا كانت خدمات المواطنين أو البيانات المنظمة أو العمليات الحيوية قد تعرضت؟ هذه الأسئلة لا تهدف إلى إلقاء اللوم بشكل انعكاسي. إنها تحدد مسار التحكم الذي يجب أن يعمل تحت الضغط.
ينطبق نفس المنطق خارج الحكومة. المستشفى أو الجامعة أو الشركة المصنعة أو مكتب المحاماة قد لا يكون ملزمًا بتوجيه CISA، لكن كل منها لا يزال يعتمد على البوابة كحدود ثقة. التوجيه يعطي مجالس الإدارة ومسؤولي أمن المعلومات لغة للإلحاح. إذا كان على وكالة فيدرالية الفصل أو التفتيش، فعلى الأقل يجب على المؤسسة الخاصة أن تسأل لماذا كان موقف المخاطر لديها مختلفًا جوهريًا.
فحوصات النزاهة دعمت الثقة لكنها لم تخلقها وحدها
أصبحت أداة فحص النزاهة من Ivanti قطعة أثرية مركزية لأنها عالجت السؤال الذي كان العملاء يهتمون به أكثر: هل تم العبث بالجهاز؟ يمكن لأداة كهذه أن تكون قيمة. إنها تعطي المدافعين طريقة قابلة للتكرار لاختبار تغييرات غير مصرح بها معينة ولفرز الأجهزة التي قد تحتاج إلى إجراء أقوى. لكن المساءلة تتطلب لغة دقيقة. أداة النزاهة ليست تحقيقًا جنائيًا كاملاً، والنتيجة النظيفة ليست دائمًا دليلًا عالميًا على عدم الاختراق.
التمييز مهم لأن أجهزة الحافة المستغلة يمكن أن تحمل عدة أنواع من المخاطر. قد يكون هناك ملفات معدلة. قد يكون هناك webshells. قد تكون هناك شهادات أو مواد جلسة تم كشفها قبل الفحص. قد تكون هناك سجلات مفقودة أو معاد كتابتها. قد تكون هناك اتصالات صادرة أو حركة جانبية حدثت قبل فحص الجهاز. يمكن للأداة المساعدة في تحديد بعض الأدلة. لا يمكنها إعادة كتابة الجدول الزمني.
لهذا السبب يجب أن يقترن سجل العميل بمخرجات الأداة مع السياق. متى تم تشغيل الأداة؟ هل تم تشغيلها قبل أو بعد تطبيق التخفيفات؟ هل كان الجهاز متصلاً بالإنترنت أثناء انتظار المؤسسة؟ هل تم الحفاظ على السجلات؟ هل تم تدوير الشهادات المميزة؟ هل تم إعادة بناء الجهاز من وسائط موثوقة؟ هل تم فحص الأنظمة التابعة لعلامات النشاط التالي؟ نتيجة الأداة النظيفة بدون تلك الإجابات المحيطة قد تخلق راحة زائفة.
دليل NIST لمعالجة حوادث الكمبيوترSP 800-61 Rev. 2ذو صلة هنا لأنه يعالج استجابة الحوادث كتحضير، واكتشاف، وتحليل، واحتواء، واستئصال، واسترداد، ودروس مستفادة. حالة Ivanti هي تذكير بأن منطق معالجة الحوادث ينطبق حتى عندما يبدأ المشغل كنشرة منتج. بمجرد أن يصبح الاستغلال نشطًا، لم تعد المؤسسة تقوم فقط بالتصحيح. إنها تحلل ما إذا كانت الحدود قد تم اختراقها.
دليل NCSC في المملكة المتحدة حولتخفيف هجمات البرامج الضارة وبرامج الفديةمفيد أيضًا كسياق تحكم عام لأنه يؤكد على التحضير والنسخ الاحتياطي والاسترداد والاحتواء. البوابة المخترقة قد لا تكون بحد ذاتها برنامج فدية، لكن البوابة يمكن أن تكون جزءًا من مسار الوصول الذي يمكّن لاحقًا من برامج الفدية أو التجسس أو سرقة الشهادات أو تسرب البيانات. يجب أن يبدأ التفكير في الاسترداد بينما لا يزال الاستجابة للثغرات جارية.
المؤسسات الأقوى على الأرجح عالجت أداة فحص النزاهة كنقطة بيانات واحدة داخل شجرة قرار. إذا أشارت الأداة إلى اختراق، قاموا بتصعيد الأمر. إذا كانت النتيجة غير حاسمة، قاموا بإعادة البناء أو العزل. إذا كانت النتيجة نظيفة لكن التعرض كان طويلاً، ما زالوا يراجعون السجلات ويديرون الشهادات. إذا كانت السجلات غير كافية، سجلوا ذلك كعدم يقين متبقي. هذا ما يبدو عليه الإصلاح القائم على الأدلة.
واجبات البائع تجاوزت النشرة الأولى
تحكمت Ivanti في المنتج والنشرات والتخفيفات والتصحيحات وتوجيهات النزاهة. هذا لا يجعل Ivanti مسؤولة عن كل قرار نشر للعميل. لكنه يعني أن الشركة تحكمت في عدة حقائق عالية التأثير لم يتمكن العملاء من إنتاجها بأنفسهم. أي الإصدارات كانت متأثرة؟ أي التخفيفات كانت صالحة؟ ما الذي تفحصه أداة فحص النزاهة بالفعل؟ متى كانت التصحيحات متاحة؟ ماذا يجب على العميل فعله عندما تضع الأداة علامة على اختراق أو لا يمكنها إثبات النزاهة؟
معيار المساءلة لبائع الوصول الآمن يجب أن يكون أعلى من النشر العام العادي. يجب أن يفترض بائع البوابة أن العملاء سيواجهون ضغطًا تقنيًا وتنفيذيًا في وقت واحد. يجب أن تشرح النشرة مسار الضرر بلغة واضحة: الجهاز يقع على الحدود، الاستغلال قد يتجاوز المصادقة أو ينفذ أوامر، وقرارات المعالجة قد تحتاج إلى تضمين الفصل أو إعادة البناء. يحتاج العميل إلى معرفة ليس فقط ما يجب تثبيته، ولكن متى يجب معاملة الثقة في الجهاز على أنها مكسورة.
سجلات CVE اللاحقة ذات صلة لأنها تظهر كيف يمكن لحالة طارئة واحدة أن تصبح سلسلة. بمجرد أن يتعامل العملاء بالفعل مع CVE-2023-46805 وCVE-2024-21887، فإن ظهور ثغرات إضافية مثل CVE-2024-21893 وCVE-2024-22024 يغير التخطيط. يصبح سرد التصحيح لمرة واحدة غير كافٍ. يحتاج العملاء إلى برنامج تعرض ونزاهة مستمر لفئة الجهاز. وتيرة تحديث البائع ووضوحه ودعم الكشف تشكل ما إذا كان ذلك البرنامج عمليًا.
عمل CISA حولالآمن بالتصميميؤطر التوقع الأوسع. يجب ألا يفترض موردو التكنولوجيا أن العملاء يمكنهم التعويض إلى أجل غير مسمى عن هشاشة المنتج. بالنسبة لمنتجات الحافة، يتضمن التصميم الآمن تقليل التعرض غير الضروري، وتقوية مسارات الإدارة، وجعل السجلات مفيدة، وإنتاج نشرات قابلة للقراءة آليًا، ودعم الترقيات الآمنة، ومساعدة العملاء على إعادة بناء الثقة بعد الاستغلال. هذا واجب منتج، وليس خدمة.
في نفس الوقت، لا يمكن للعملاء الاستعانة بمصادر خارجية لكل المساءلة إلى Ivanti. نشرة مثالية لا تصحح جهازًا. أداة نزاهة قوية لا تشغل نفسها. توجيه طارئ واضح لا يحافظ على جرد الأصول المحلي. البائع يخلق مسار الإصلاح؛ على العميل أن يسلكه ويحافظ على الأدلة. يصبح اللوم مفيدًا فقط عندما يرتبط بالتحكم.
مزودو الخدمات المُدارة كانوا طبقة التحكم الصامتة
العديد من المؤسسات لا تدير أجهزة الوصول الآمن مباشرة. إنها تعتمد على مزودي الخدمات المُدارة أو مدمجي الأمن أو مزودي تكنولوجيا المعلومات الإقليميين أو فرق الشبكات الخارجية. هذا يجعل سجل Ivanti مهمًا بشكل خاص للمؤسسات الصغيرة والهيئات العامة. الطرف الذي يتحمل الضرر القانوني والتشغيلي قد لا يكون الطرف الذي لديه كلمة مرور المسؤول.
الجهاز المُدار بواسطة مزود خدمة مُدارة يغير سلسلة الأدلة. يحتاج العميل إلى معرفة ما إذا كان الجهاز متأثرًا، وما إذا كان مكشوفًا، وما إذا تم تطبيق التخفيف، وما إذا تم تشغيل أداة فحص النزاهة، وما إذا تم العثور على قطع أثرية مشبوهة، وما إذا تمت التوصية بإعادة البناء أو تدوير الشهادات. إذا قال مزود الخدمة المُدارة ببساطة "تمت المعالجة"، فقد لا يكون لدى العميل أساس دفاعي لقرار المخاطر الخاص به.
لذلك يجب أن يحدد عقد العميل أدلة الأمن الطارئة قبل الطارئ. يجب أن يحدد من يتلقى نشرات البائع، ومن يوافق على الفصل، ومن يدفع مقابل الاستجابة خارج ساعات العمل، وما هي الأدلة التي سيتم تسليمها، ومدى سرعة الحفاظ على السجلات، ومتى يتم إبلاغ العميل بأن الاختراق لا يمكن استبعاده. يمكن أن تبدو تلك البنود مملة. خلال حالة طارئة على غرار Ivanti، تقرر ما إذا كان العميل سيرى الحقيقة في الوقت المناسب.
مزودو الخدمات المُدارة يحتاجون أيضًا إلى انضباط داخلي. إذا كانوا يديرون عشرات أو مئات البوابات، يمكن أن يخلق التوجيه الطارئ قائمة انتظار. أي العملاء أولاً؟ أي الأجهزة مواجهة للإنترنت؟ أي منها يخدم البنية التحتية الحيوية أو الخدمات العامة؟ أيها لديه تسجيل ضعيف؟ أيها لا يمكن تصحيحه بدون توقف؟ تصبح أولويات مزود الخدمة المُدارة جزءًا من مخاطر العميل. يجب أن يكون مزود الخدمة المُدارة الناضج قادرًا على شرح تلك الأولويات وإظهار الأدلة لكل عميل، وليس فقط الإبلاغ عن التقدم الإجمالي.
هنا تدخل استمرارية المؤسسات الصغيرة والمتوسطة في القصة. مؤسسة صغيرة قد تعتمد على بوابة واحدة للوصول عن بُعد، ومزود خدمة مُدارة واحد للأمن، ومدير تنفيذي واحد للموافقة على التوقف. إذا تم فصل البوابة، تتأثر الأعمال. إذا بقيت مكشوفة، قد يتم اختراق الأعمال. دور مزود الخدمة المُدارة هو تحويل هذه المعضلة إلى قرار مدعوم بالأدلة بسرعة كافية حتى لا يختار العميل في الظلام.
استمرارية القطاع العام جعلت التوجيه أكثر من مجرد تمرين ورقي فيدرالي
البعد القطاع العام مهم لأن أجهزة الوصول عن بُعد غالبًا ما تكون وراء خدمات لا يمكن للناس اختيار تجنبها. الوكالات الحكومية والمدارس والمستشفيات والمحاكم والمرافق قد تستخدم البوابات لدعم الموظفين والمقاولين والصيانة. عندما تكون تلك البوابات موضع شك، يجب أن يشمل تخطيط الاستمرارية استعادة التكنولوجيا وعواقب الخدمة العامة.
توجيه CISA الطارئ رسميًا حول الوكالات المدنية الفيدرالية، لكن منطقه ينتقل. وكالة حكومية أو مستشفى يعتمد على بنية بوابة مماثلة عليه أن يقرر ما إذا كان يمكنه الحفاظ على الخدمة أثناء تفتيش أو فصل جهاز الحدود. إذا تمت إزالة الوصول عن بُعد، هل لا يزال بإمكان الموظفين معالجة المطالبات أو علاج المرضى أو تنسيق الخدمات اللوجستية أو الاستجابة لحالات الطوارئ؟ إذا بقي الوصول، ما الأدلة التي تدعم القرار بأن البوابة موثوقة بما يكفي؟
هذا الخطر المزدوج غالبًا ما لا يتم الإبلاغ عنه بشكل كافٍ. كتابات الأمن السيبراني يمكن أن تركز على الثغرة وتتجاهل استمرارية الخدمة. كتابات العمليات يمكن أن تركز على التوقف وتتجاهل الاستغلال. سجل Ivanti يجبر كلاهما في نفس الإطار. بوابة الوصول الآمن مفيدة لأنها تبقي العمل مستمرًا. إنها خطيرة عندما يتم اختراقها لأنها قد تبقي وصول المهاجم مستمرًا أيضًا. القرار المسؤول يوازن بين كلا الواقعين بالأدلة.
بالنسبة للهيئات العامة، يجب توثيق المجهول المتبقي بعناية غير عادية. إذا كانت البوابة تحمي البيانات أو الأنظمة أو قنوات الخدمة المتصلة بالمواطنين، يجب على المؤسسة أن تعرف ما إذا تم العثور على اختراق، أو ما إذا تم استبعاده، أو ما إذا كانت الأدلة غير كافية. لا ينبغي استخدام "لا دليل على الاختراق" عندما لا يكون لدى أحد السجلات أو أجرى الفحوصات. العبارة الأفضل أقل راحة لكنها أكثر صدقًا: "لم نعثر على مؤشرات في المصادر المتاحة، لكن قيود الأدلة لا تزال قائمة."
تلك اللغة مهمة لأن الثقة العامة تتضرر من اليقين الزائف. الوكالات والمؤسسات المنظمة لا تحتاج إلى نشر كل قطعة أثرية تقنية. تحتاج إلى تجنب التقليل من عدم اليقين الذي يؤثر على الأشخاص خارج المؤسسة. حادث بوابة يمكن أن يمس البيانات الشخصية، أو الوصول إلى الخدمات، أو أنظمة المشتريات، أو حسابات الموظفين، أو شبكات الشركاء. الأشخاص الذين يحملون تلك المخاطر يستحقون سجل قرار يعترف بما هو معروف وما هو غير معروف.
التحكم المستقبلي هو الاستعداد لإعادة البناء
أحد الدروس من حلقة Ivanti هو أن بعض أجهزة الحافة يجب إعادة بنائها بدلاً من مجرد تنظيفها عندما تكون الثقة ضعيفة. الاستعداد لإعادة البناء هو تحكم. يعني أن المؤسسة يمكنها إعادة نشر بوابة من وسائط موثوقة، واستعادة التكوين بأمان، وتدوير الأسرار، والتحقق من الوصول، والحفاظ على الأدلة دون تحويل طارئ إلكتروني إلى أسابيع من الارتجال. إذا كانت إعادة البناء مستحيلة لأن لا أحد يعرف التكوين أو لا توجد نسخة احتياطية، فقد أصبحت البوابة نقطة واحدة من الهشاشة المؤسسية.
خطوط الأساس للتكوين الآمن من CISAمتاحة هناذات صلة ليس لأنها تملي خطة إعادة بناء خاصة بـ Ivanti، ولكن لأنها تعبر عن فكرة أن التكوين الآمن يجب أن يكون قابلاً للتكرار. تكوين بوابة لا يمكن إعادة إنشائه هو مسؤولية. تكوين يمكن إعادة بنائه ومراجعته ومقارنته يعطي المدافعين مسارًا أنظف عندما تكون النزاهة غير مؤكدة.
الاستعداد لإعادة البناء يغير أيضًا توقعات البائع. يجب على البائعين دعم التكوينات القابلة للتصدير والمراجعة والاستعادة دون تشجيع العملاء على الحفاظ على الحالة المخترقة. يجب عليهم توثيق الأسرار التي يجب تدويرها بعد الاشتباه في الاختراق. يجب عليهم جعل السجلات والقطع الأثرية للنزاهة متاحة قبل أن يمسح العملاء الجهاز. يجب عليهم التحذير عندما لا يعالج التصحيح الثبات المحتمل. هذه ليست حالات حافة. إنها نتائج محتملة عندما يكون منتج حدودي مكشوف مستهدفًا من قبل مهاجمين قادرين.
يمكن للعملاء اختبار الاستعداد لإعادة البناء من خلال التمارين. خذ بوابة غير إنتاجية أو نموذج معملي. قم بمحاكاة نشرة هامة على غرار Ivanti. هل يستطيع الفريق العثور على الجهاز؟ هل يمكنه تطبيق التخفيف؟ هل يمكنه تشغيل فحص النزاهة؟ هل يمكنه الحفاظ على السجلات؟ هل يمكنه إعادة البناء من وسائط موثوقة؟ هل يمكنه استعادة الوصول دون نسخ قطع أثرية مشبوهة؟ هل يمكنه إحاطة القيادة؟ سيكشف التمرين ما إذا كانت المؤسسة لديها بوابة أمنية أم صندوق غامض هش.
هذا أيضًا حيث يجب أن يتغير المشتريات. يجب على المشترين أن يسألوا البائعين كيف يدعمون إعادة البناء من درجة الحوادث. يجب أن يسألوا مزودي الخدمات المُدارة كيف سيتم تسليم الأدلة. يجب أن يسألوا ما إذا كان المنتج ينتج سجلات تدقيق مفيدة، وما إذا كانت حالة الإصدار قابلة للتأكيد خارجيًا، وما إذا كانت النشرات الطارئة قابلة للقراءة آليًا، وما إذا كان استبدال الجهاز المخترق ممكنًا تشغيليًا. هذه الأسئلة تبدو أقل إثارة من ميزات المنتج. في حادث من طراز Ivanti، تصبح هي المنتج.
كان على تحديد الأولويات أن يصبح محليًا، وليس عالميًا فقط
إشارات تحديد الأولويات العالمية كانت ضرورية في حالة Ivanti، لكنها لم تكن كافية. كتالوج الثغرات المستغلة المعروفة من CISAمتاح هنامفيد لأنه يحول أدلة الاستغلال إلى إلحاح في المعالجة. يساعد الوكالات والشركات على تجنب معاملة كل ثغرة على قدم المساواة. لكن إشارة KEV لا تزال بحاجة إلى مقابلة الحقائق المحلية. ثغرة مدرجة على جهاز هو عام وغير مصحح ومسجل بشكل ضعيف ليست نفس المشكلة التشغيلية لنفس CVE على جهاز معزول ومخفف ومعاد بناؤه بالكامل. على العكس، لا يمكن للمؤسسة تقليل المخاطر لمجرد أن الجهاز غير ملائم للتصحيح.
يجب أن يبدأ تحديد الأولويات المحلي بالتعرض. أي بوابات Ivanti يمكن الوصول إليها من الإنترنت؟ أي منها يدعم المستخدمين الإداريين المميزين؟ أي منها يربط البائعين أو المقاولين بالبيئات الحساسة؟ أي منها يخدم عمليات الخدمة العامة؟ أي منها أنتج بالفعل نتائج فحص نزاهة مشبوهة؟ هنا تصبح المساءلة تشغيلية. فريق أمن لا يمكنه الإجابة على هذه الأسئلة قد لا يزال قادرًا على اقتباس النشرة، لكنه لا يمكنه إدارة الاستجابة.
العامل التالي هو جودة الأدلة. بوابة ذات سجلات قوية وملكية واضحة وتخفيف سريع وإعادة بناء نظيفة لها مخاطر متبقية مختلفة عن بوابة بدون سجلات محتفظ بها وتصحيح متأخر. كلاهما قد يبلغ في النهاية عن "تمت المعالجة." فقط أحدهما يمكنه دعم هذا الادعاء بأدلة كافية لإرضاء مجلس الإدارة أو المنظم أو شركة التأمين أو العميل المتأثر. النقاش العام حول Ivanti أحيانًا اختصر المشكلة إلى حالة التصحيح، لكن النقاش الداخلي الأقوى كان يجب أن يصنف الأجهزة حسب التعرض بالإضافة إلى ضعف الأدلة.
العامل الثالث هو الاعتماد. بوابة تدعم مختبرًا صغيرًا غير حاسم قد يكون أسهل في الفصل من بوابة تدعم مسؤولي المستشفى أو الموظفين الفيدراليين أو مهندسي الإنتاج. لكن لا ينبغي للاعتماد أن يخفض الإلحاح تلقائيًا. يجب أن يرفع مستوى الحوكمة. إذا كان الجهاز مهمًا جدًا بحيث لا يمكن فصله بشكل عادي، فهو مهم بما يكفي لتفتيشه بدقة ووجود خطة طوارئ معتمدة مسبقًا. الأهمية ليست عذرًا للتأخير؛ إنها سبب لجعل القرار مرئيًا.
تحديد الأولويات كان عليه أيضًا أن يأخذ في الاعتبار سلوك الخصم. Mandiant وVolexity لم تصفا فئة ثغرات مجردة. لقد وصفتا أنماط استغلال نشطة. عندما يكون الاستغلال نشطًا، يجب على المدافعين افتراض أن المهاجمين يقرؤون نشرات البائعين ويتتبعون نوافذ التخفيف ويبحثون عن المؤسسات البطيئة أو غير المؤكدة. هذا يضغط وقت القرار. المؤسسة التي تقضي أيامًا في التوفيق بين جداول بيانات الأجهزة تعطي المهاجمين الميزة التي كان من المفترض أن يزيلها الجرد الجيد.
لهذا السبب يجب أن يغير التوجيه العام وسجل الأبحاث الميزانية المستقبلية. جرد الحافة، ومراقبة سطح الهجوم الخارجي، والاحتفاظ بالسجلات، وأتمتة إعادة البناء قد تبدو وظائف داعمة حتى اليوم الذي يتم فيه استغلال منتج بوابة. ثم تصبح الفرق بين قرار سريع مدعوم بالأدلة وجدال طويل حول ما تمتلكه الشركة حتى. يجب مقارنة تكلفة تلك الضوابط مع تكلفة عدم القدرة على الإجابة على السؤال الأول في حالة طارئة: أين البوابات؟
واجبات الإشعار بدأت قبل أن تكون كل حقيقة مؤكدة
سؤال صعب آخر هو متى يجب إبلاغ العملاء أو المستخدمين أو الشركاء أو أصحاب المصلحة العامين بوجود خطر بوابة. ليس كل جهاز Ivanti ضعيف أثار واجب إشعار عام. ليس كل مؤسسة كان لديها اختراق مؤكد. لكن بوابة الوصول الآمن قريبة بما يكفي من الأنظمة الحساسة بحيث يجب أن تبدأ بعض مسارات الإشعار قبل أن تكون كل نتيجة جنائية نهائية. قد تشمل الأطراف ذات الصلة المديرين التنفيذيين، وأصحاب الأنظمة، وفرق الهوية، ومستشاري الاستجابة للحوادث، وشركات التأمين الإلكتروني، والمنظمين، والعملاء الذين يمر وصولهم عبر البوابة، والبائعين الذين يستخدمون مسار الوصول.
الإشعار الأول داخلي وتشغيلي. إذا كانت البوابة يحتمل أن تكون مخترقة، يحتاج مسؤولو الهوية إلى المعرفة لأن الشهادات والجلسات وسياسات الوصول قد تحتاج إلى مراجعة. تحتاج فرق الشبكات إلى المعرفة لأن التقسيم وحركة المرور الصادرة قد تحتاج إلى تفتيش. تحتاج الفرق القانونية إلى المعرفة لأن الوصول إلى البيانات لا يمكن استبعاده حتى تتم مراجعة الأدلة. تحتاج فرق الاتصالات إلى إعداد لغة لا تبالغ في اليقين. يحتاج أصحاب الأعمال إلى المعرفة إذا كان الفصل سيؤثر على الخدمة.
الإشعار الثاني موجه للموردين. إذا كان مزود الخدمة المُدارة يدير البوابة، يحتاج العميل إلى خطة عمل مكتوبة. إذا كان البائع يستخدم البوابة، قد يحتاج البائع إلى إيقاف الوصول أو التحقق من حساباته الخاصة. إذا كانت البوابة تتصل بموفر سحابة أو هوية، قد تصبح سجلات تلك الأنظمة جزءًا من تقييم الاختراق. الانتظار حتى ينهي فريق الجهاز عمله قد يسمح للأدلة ذات الصلة في الأنظمة المجاورة بالانتهاء.
الإشعار الثالث قد يكون خارجيًا. وكالة عامة أو مقدم رعاية صحية أو شركة منظمة قد لا تعرف فورًا ما إذا تم الوصول إلى البيانات الشخصية. لكنها لا تزال تستطيع الحفاظ على مسار الإشعار من خلال توثيق متى تم اكتشاف الثغرة، وما هي الأنظمة المتصلة، وما هي السجلات التي يتم مراجعتها، وما هي الأدلة المفقودة. إذا أظهر التحليل اللاحق وصولًا إلى البيانات، سيكون لدى المؤسسة جدول زمني أنظف. إذا لم يجد التحليل اللاحق مؤشرات، يمكن للمؤسسة شرح نطاق مراجعتها.
هذا الانضباط يمنع نتيجتين سيئتين. الأولى هي الطمأنة المبكرة. لا ينبغي للشركة أن تقول إنه لا يوجد اختراق عندما تعني فقط أنها لم تنظر بعمق كاف. الثانية هي الإنذار الغامض. لا ينبغي للشركة أن توحي بسرقة البيانات لمجرد أن الجهاز كان ضعيفًا. الموقف المسؤول يقع بين هذين الخطأين: الحقائق المعروفة، والإجراءات المتخذة، والأدلة قيد المراجعة، وعدم اليقين المتبقي.
سجل Ivanti هو مثال عام مفيد لأنه أجبر المؤسسات على إجراء هذه التمييزات في الوقت الفعلي. بعضها كان يستطيع القول إنه لم يكن مكشوفًا. بعضها كان يستطيع القول إنه خفف وأجرى فحوصات النزاهة. بعضها كان عليه الفصل. بعضها ربما كان عليه إعادة البناء. بعضها ربما لم يستطع إثبات أدلة كافية في أي من الاتجاهين. لا ينبغي تسوية هذا التباين. إنه بالضبط ما يجب أن يحافظ عليه سجل المخاطر الجاد.
المقياس الصحيح هو الوقت اللازم لحدود موثوقة
أكثر مقياس أداء فائدة بعد حدث على غرار Ivanti ليس وقت الاجتماع الأول أو وقت تنزيل التصحيح. إنه الوقت اللازم لحدود موثوقة. يبدأ هذا المقياس عندما يصبح الاستغلال الموثوق أو معلومات الثغرات الطارئة متاحة. وينتهي عندما تستطيع المؤسسة دعم ادعاء بأن البوابة إما غير متأثرة، أو مخففة بأمان، أو معاد بناؤها من حالة موثوقة، أو تمت إزالتها من الخدمة. يشمل المقياس الأدلة، وليس فقط النشاط.
الوقت اللازم لحدود موثوقة له عدة ساعات فرعية. الوقت اللازم للجرد: ما مدى سرعة تحديد المؤسسة لجميع بوابات Ivanti؟ الوقت اللازم لقرار التعرض: ما مدى سرعة معرفتها أيها كانت مواجهة للإنترنت أو عالية المخاطر؟ الوقت اللازم للتخفيف: ما مدى سرعة تطبيق تخفيفات البائع أو الفصل أو قيود الوصول؟ الوقت اللازم لتقييم النزاهة: ما مدى سرعة مراجعة الفحوصات والسجلات؟ الوقت اللازم لقرار إعادة البناء: ما مدى سرعة تحديد المؤسسة ما إذا كان التصحيح كافياً؟ الوقت اللازم للتواصل مع أصحاب المصلحة: ما مدى سرعة حصول صانعي القرار والأطراف المعتمدة على معلومات دقيقة؟
كل ساعة فرعية لها مالك مختلف. إدارة الأصول قد تمتلك الجرد. أمن الشبكات قد يمتلك التعرض. البنية التحتية قد تمتلك التخفيف. استجابة الحوادث قد تمتلك تقييم النزاهة. استمرارية الأعمال قد تمتلك تأثير الخدمة. الفرق القانونية والاتصالات قد تمتلك تحديثات أصحاب المصلحة. الدرس هو أنه لا يمكن ترك حوادث البوابة لمسؤول جهاز واحد. الجهاز يقع عبر العديد من أسطح التحكم.
هذا المقياس أيضًا يجعل دعم البائع قابلاً للقياس. يمكن للبائع تقصير الوقت اللازم لحدود موثوقة من خلال نشر بيانات واضحة عن الإصدارات المتأثرة، وإصلاحات مستقرة، وأدوات نزاهة موثوقة، ومؤشرات قابلة للتنفيذ، وتوجيهات إعادة البناء، وشروحات المخاطر بلغة واضحة. يمكن للبائع إطالة الوقت من خلال نشر توجيهات مجزأة، أو تغيير التعليمات دون وضوح، أو ترك العملاء يستنتجون ما إذا كان الفحص النظيف كافياً. يختبر العميل جودة الدعم تلك كوقت.
بالنسبة لمزودي الخدمات المُدارة، يجب أن يصبح الوقت اللازم لحدود موثوقة توقعًا لمستوى الخدمة. يجب أن يحدد العقد مدى سرعة قيام مزود الخدمة المُدارة بتحديد أجهزة العميل المتأثرة، وتطبيق التخفيفات، وتشغيل الفحوصات، وتسليم الأدلة المكتوبة، وتصعيد الاختراق المشتبه به. إذا لم يستطع مزود الخدمة المُدارة تلبية هذا المعيار، يجب أن يعرف العميل قبل الطوارئ. نموذج الخدمة الذي لا يمكنه إنتاج أدلة تحت الضغط لا يدير الحدود حقًا.
المقياس صعب، لكنه عادل. لا يتطلب أمنًا مثاليًا أو يقينًا فوريًا. يتطلب مسارًا مرئيًا من الثغرة العامة إلى الثقة المستعادة. سجل Ivanti لعام 2024 يظهر أنه عندما يكون موضوع المخاطرة بوابة وصول آمن، فإن الثقة المستعادة هي التسليم الفعلي.
يجب أن تكون حزمة التدقيق صغيرة ولكن يصعب تزويرها
أفضل حزمة أدلة بعد طوارئ بوابة Ivanti لا تحتاج إلى أن تكون تقريرًا جنائيًا من ألف صفحة. تحتاج إلى أن تكون صغيرة ومنظمة ويصعب تزويرها. حزمة مفيدة ستدرج كل جهاز ومالكه وتعرضه العام وإصداره المتأثر ووقت التخفيف ووقت التصحيح ونتيجة فحص النزاهة وحالة إعادة البناء وقرار تدوير الشهادات ومصادر السجلات التي تمت مراجعتها والأنظمة النهائية التي تم فحصها والمجهول المتبقي. كما ستذكر الشخص أو المزود الذي قام بكل إجراء. هذه الوثيقة مملة بالتصميم. قيمتها هي أنها تحول طوارئ فوضوية إلى سجل يمكن مراجعته لاحقًا.
يجب أن تحافظ الحزمة على النتائج السلبية بعناية. "لم يتم العثور على webshell في المسارات التي تمت مراجعتها" أفضل من "لا اختراق". "لم يتم العثور على أحداث مصادقة مشبوهة في السجلات المحتفظ بها من 10 يناير فصاعدًا" أفضل من "لا دليل". العبارة الأكثر دقة تخبر القيادة بما تم فحصه بالفعل وأين تقع حدود المعرفة. الدقة تحمي القراء من الذعر والثقة الزائدة.
يجب أن تحافظ أيضًا على المسارات المهجورة. إذا لم يمكن فحص جهاز لأنه كان غير متصل، أو لأن مزود الخدمة المُدارة يفتقر إلى الشهادات، أو لأن السجلات تم تدويرها، أو لأن الأداة فشلت، فإن تلك الحقيقة تنتمي إلى الحزمة. العديد من سجلات ما بعد الحادث تمحو الفحوصات الفاشلة وتظهر فقط الإجراءات الناجحة. هذا يجعل المؤسسة تبدو أكثر ترتيبًا وأقل أمانًا. الفحص الفاشل غالبًا ما يكون بداية الدرس الحقيقي: ملكية مفقودة، تسجيل ضعيف، وصول مورد ضعيف، أو جهاز لم يعرف أحد كيف يعيد بنائه.
أخيرًا، يجب أن تربط الحزمة الإجراءات التقنية بقرارات الأعمال. إذا تم فصل الوصول عن بُعد، ما الخدمات التي تأثرت وكيف تم توفير البدائل؟ إذا بقي الجهاز متصلاً تحت التخفيف، من وافق على المخاطرة المتبقية؟ إذا تم تأجيل إعادة البناء، لماذا؟ إذا لم يتم إشعار خارجي، ما الحقائق التي دعمت ذلك القرار وما الحقائق التي كانت لا تزال قيد المراجعة؟ البوابة هي كائن تقني واعتماد تجاري. يجب أن يظهر سجل التدقيق كلا النصفين.
هذا النوع من الحزمة لن يلغي حوادث Ivanti المستقبلية. سيجعلها أقل غموضًا. ستتمكن المؤسسة من معرفة ما إذا كانت بطيئة لأن توجيه البائع كان غير واضح، أو لأن الجرد كان مفقودًا، أو لأن استجابة مزود الخدمة المُدارة تأخرت، أو لأن القيادة تجنبت التوقف، أو لأن المستجيبين يفتقرون إلى البيانات الجنائية. كل تشخيص يشير إلى إصلاح مختلف. بدون الحزمة، تنهار كل تلك الأسباب في عبارة غامضة بعد الإجراء: صحيح بشكل أسرع في المرة القادمة. هذه العبارة صحيحة ولا تزال ضحلة للغاية. الأدلة هي ما يحول الإلحاح إلى تعلم مؤسسي، والتعلم هو ما يجعل فشل الحدود التالي أقصر. يجب أن تطلب المراجعة التالية تلك الأدلة أولاً، قبل قبول لوحة القيادة الخضراء.
يجب أن يصبح فحص النزاهة عادة لدى العميل
سجل Ivanti يظهر أيضًا لماذا لا ينبغي معاملة فحص النزاهة كمهمة طارئة لمرة واحدة. أجهزة الوصول الآمن تقع عند حدود مميزة بين المستخدمين الخارجيين والموارد الداخلية. يجب أن يعرف العملاء كيفية تشغيل أدوات النزاهة الخاصة بالبائع، والحفاظ على النتائج، وتصعيد الحالات الشاذة، وتكرار الفحوصات بعد التخفيف أو إعادة البناء. بوابة تمرر حركة المرور لكنها لا تستطيع إثبات النزاهة تظل مشكلة ثقة. يجب ممارسة العادة قبل النشرة التالية، وليس اكتشافها خلالها.
المجهول المتبقي والسؤال المسؤول
لا يمكن للسجل العام الإجابة على كل سؤال خاص بالعميل. لا يظهر أي الشبكات الخاصة تم اختراقها، أو أي الأجهزة أعيد بناؤها، أو أي مزودي الخدمات المُدارة تأخروا، أو أي السجلات كانت مفقودة، أو أي الأنظمة النهائية تم لمسها بعد استغلال البوابة. لكنه يظهر أن فئة المنتج حملت مخاطر كافية لتوجيهات طارئة، وأبحاث تهديدات، وتحديثات بائع، وأدوات نزاهة، ونشرات عامة متكررة.
لذلك فإن السؤال المسؤول عملي. هل أعطت Ivanti العملاء المعلومات والأدوات اللازمة لتحديد وتخفيف وتصحيح وتفتيش واستعادة الثقة؟ هل كان لدى العملاء الجرد والسلطة والانضباط للتصرف بناءً على تلك المعلومات؟ هل قدم مزودو الخدمات المُدارة أدلة للعملاء الذين كانوا يسيطرون على بواباتهم؟ هل رأت القيادة عدم اليقين المتبقي، أم فقط نسبة تصحيح مطمئنة؟ هل عالجت الهيئات العامة نزاهة البوابة كجزء من استمرارية الخدمة؟
عندما تكون الإجابة بنعم، يمكن لبوابة الوصول الآمن استعادة دورها كحدود موثوقة. عندما تكون الإجابة لا، تظل البوابة علامة استفهام في المكان الذي تحتاج فيه الشبكة إلى اليقين أكثر. يجب أن يُذكر سجل Ivanti لعام 2024 بهذا الدرس. ملصق المنتج قال وصول آمن. الحادث سأل عما إذا كان يمكن جعل الوصول، بمجرد كشفه، جديرًا بالثقة مرة أخرى بأدلة قوية بما يكفي للأشخاص الذين يعتمدون على الجانب الآخر من البواحة بأمان.
حدود أدلة إضافية
بالنسبة لجعل Ivanti بوابات الوصول الآمن مشكلة حدود ثقة محيطية، فإن حدود الأدلة الإضافية هي الحفاظ على فصل الحقائق المؤكدة والاستدلال المدعوم بالأدلة والمعلومات غير المعروفة. هذا الفصل مهم لأن حدثًا يتعلق بحدود ثقة محيطية لـ ivanti connect secure يمكن وصفه كمشكلة تقنية، أو مشكلة تعاقدية، أو مشكلة اتصالات اعتمادًا على من يتحدث. لذلك يجب أن يعود تحليل المساءلة إلى السيطرة العملية: من يمكنه تغيير التكوين، أو تحديد التعرض، أو تسريع الكشف، أو تفويض الإشعار، أو إثبات أن الإصلاح قد وصل إلى المستخدمين المتأثرين.
هذه العدسة تضيف اختبارًا دقيقًا للسبب الجذري والحدث المحفز. المحفز يشرح لماذا أصبح الحدث مرئيًا في لحظة معينة؛ السبب الجذري يتطلب أدلة حول خيارات التصميم والتحكم والحوكمة والتحقق التي كانت موجودة قبل تلك اللحظة. الظروف المساهمة مثل الاعتماد والتفويض ونوافذ التغيير والعقود والسجلات والحوافز يجب تقييمها دون معاملة بيان الشركة كحقيقة كاملة أو تحويل احتمال إلى استنتاج ثابت.
ينطبق نفس الانضباط على فشل الكشف وفشل الاستجابة وفشل الاسترداد. يجب أن يظهر السجل العام متى شوهدت الإشارة، ومن كان لديه سلطة التصرف، وما قيل للعملاء أو المنظمين، وما هي الأدلة الإضافية التي قد تجعل الاستنتاج أقوى أو أضعف. بينما تظل هذه العناصر جزئية، فإن الاستنتاج المسؤول ليس اتهامًا إضافيًا؛ إنه خريطة أكثر دقة للمسؤولية وعدم اليقين وضوابط الهوية والوصول التي يجب أن يتحقق منها تدقيق لاحق.

