الملخص
- كشفت Ivanti عن ثغرات مترابطة تؤثر على Connect Secure وPolicy Secure، بما في ذلك CVE-2023-46805 لتجاوز المصادقة وCVE-2024-21887 لحقن الأوامر، بعد أن أبلغ الباحثون عن استغلال نشط.
- وصفت Volexity وMandiant نشاط المهاجم ضد أجهزة Ivanti VPN، بما في ذلك القذائف الويب والوصول إلى بيانات الاعتماد أو التكوين وأساليب الاستمرار الموجهة.
- أصدرت CISA توجيه الطوارئ 24-01 للوكالات الفيدرالية، وطالبت لاحقًا الوكالات المتأثرة بفصل المنتجات المعرضة للخطر، وتصدير التكوين، وإعادة ضبط الأجهزة، وتطبيق التحديثات، واستيراد تكوين نظيف قبل إعادتها للخدمة.
- حول الحادث جهاز VPN إلى سطح حوكمة: المخزون، توقيت التخفيف، ثقة فحص السلامة، عتبات إعادة البناء، تدوير بيانات الاعتماد، التسجيل، وتخطيط الاستمرارية أصبحت مهمة بقدر توفر التصحيح.
- يدعم السجل العلني استنتاجًا عالي الثقة بأن أجهزة الوصول عن بعد المكشوفة يجب التعامل معها كأنظمة قد تكون مخترقة بعد استغلال معروف. لكنه لا يثبت أن كل عميل لـ Ivanti تم اختراقه أو أن كل حادث وصول عن بعد لاحق نشأ من نفس سلسلة الثغرات.
السلسلة جعلت الوصول عن بعد أول سؤال مساءلة
وصف إعلان Ivanti العام لـCVE-2023-46805 وCVE-2024-21887زوجًا من الثغرات يؤثر على بوابات Connect Secure وPolicy Secure. كان CVE-2023-46805 تجاوزًا للمصادقة. وكان CVE-2024-21887 حقن أوامر. سمحت الثغرات معًا لمهاجم غير مصادق بالوصول إلى مسارات تنفيذ الأوامر على الأجهزة المعرضة للخطر. بالنسبة لبوابة وصول عن بعد، هذا فشل تحكم شديد لأن الجهاز يقع بالضبط عند الحدود التي من المفترض أن يصبح فيها الغرباء مستخدمين داخليين مصادقين.
قال تقرير Volexity عنالاستغلال النشط لثغرتي اليوم صفرإنها رصدت استغلالًا في ديسمبر 2023 وربطت النشاط بجهة فاعلة مشتبه بها مدعومة من دولة صينية تتعقبها باسم UTA0178. وصف تحليل Mandiant لـاستهداف APT المشتبه به لثغرات Ivanti اليوم صفرأدوات ما بعد الاستغلال، وقذائف الويب، والوصول إلى بيانات الاعتماد، ومحاولات الحفاظ على الوصول. جعلت هذه التقارير الحادث أكثر من مجرد إعلان بائع. لقد وضعت نشاط اختراق حقيقي في السجل العام.
وبالتالي، بدأ سؤال المساءلة قبل أن يفتح أي عميل تذكرة تغيير. من لديه أجهزة مكشوفة؟ من لديه مالك لكل جهاز؟ من يمكنه تطبيق إجراءات التخفيف فورًا؟ من يمكنه التحقق مما إذا كان الجهاز قد تم اختراقه قبل التخفيف؟ من يمكنه قطع الوصول عن بعد دون تعطيل العمل الحيوي؟ هذه أسئلة تنظيمية، وليست تقنية فقط.
الفرق مهم. إذا كان لدى مكتبة برمجيات ثغرة حرجة، يمكن للمؤسسة تحديث الأنظمة ومراقبة سلوك التطبيق. إذا تم اختراق جهاز VPN، فقد يكون البوابة نفسها هي موطئ القدم. يمكنها التحكم في الوصول، وحمل الأسرار، وتسجيل جزء فقط من الحقيقة. هذا يجعل استعادة الثقة أكثر صعوبة.
جعلت CISA من الخطر أمر تشغيل طارئ
إشعار CISA،تصدر Ivanti إجراءات تخفيف لبوابات Connect Secure وPolicy Secure، أخبر المسؤولين بمراجعة إعلان Ivanti وتطبيق الإجراءات التخفيفية. ثم تصاعد الرد الفيدرالي. أمرالتوجيه الطارئ 24-01وكالات السلطة التنفيذية المدنية الفيدرالية باتخاذ إجراءات محددة لمنتجات Ivanti المتأثرة. قامت CISA لاحقًا بتحديث التوجيه بمتطلبات إضافية، بما في ذلك فصل المنتجات المتأثرة عن الشبكات، وتصدير التكوين، وإجراء إعادة ضبط المصنع، وتطبيق التحديثات، ثم استيراد التكوين فقط.
هذا التسلسل مهم. إنه يعالج الجهاز كاحتمال غير موثوق، وليس مجرد قديم. إعادة ضبط المصنع قبل الترقية واستيراد التكوين النظيف هي وضعية مختلفة عن "تثبيت التصحيح واستئناف". إنها تعترف بأن الجهاز المخترق قد يحتفظ بتغييرات أو آثار للمهاجم لا يزيلها التصحيح العادي.
الإشعار المشترك اللاحق لـ CISA،AA24-060B، وصف استغلال بوابات Ivanti Connect Secure وPolicy Secure وحذر من نشاط ما بعد الاختراق. الإشعار مفيد لأنه حول نتائج البائعين والباحثين المتناثرة إلى نموذج استجابة تشغيلي. وجه المدافعين نحو مخاوف الكشف والصيد وبيانات الاعتماد وإعادة البناء.
للاستمرارية في القطاع العام، خلق التوجيه معيارًا مرئيًا. لم تستطع الوكالات القول إن الأمر كان مجرد مشكلة بائع. كان عليهم معرفة ما إذا كانوا يستخدمون منتجات متأثرة، وعزلهم أو فصلهم عند الحاجة، واستعادتهم وفقًا لعملية محددة. هذا ما تبدو عليه المساءلة عندما تدعم البنية التحتية للوصول عن بعد العمل العام.
أصبح فحص السلامة جزءًا من مشكلة الثقة
قدمت Ivanti أداة فحص السلامة (Integrity Checker Tool) ليتمكن العملاء من مسح الأجهزة بحثًا عن مؤشرات الاختراق. كان ذلك ضروريًا، لكن السجل العام يظهر سبب حاجة فحوصات السلامة إلى التواضع. وصف عمل Mandiant اللاحق حولالتحقيق في استغلال Ivanti والاستمرارنشاطًا تضمن محاولات لتجنب الكشف وآليات الاستمرار. حذر إشعار CISA أيضًا من أن الجهات الفاعلة المتطورة يمكن أن تقوض الثقة في حالة الجهاز.
هذا خلق مشكلة حوكمة صعبة. احتاج العملاء إلى إجابة سريعة لسؤال "هل نحن مخترقون؟" يمكن للأداة المساعدة. لكن نتيجة الأداة النظيفة لم تكن دليلاً على الموثوقية، خاصة إذا كان المهاجم قد حصل بالفعل على وصول على مستوى الجهاز. إن أداة فحص السلامة التي تعمل على نظام قد يكون مخترقًا يمكن أن تفوت التعديلات الاصطناعية أو الأدلة المحذوفة أو الاستمرار الجديد.
هذا لا يجعل الأداة عديمة الفائدة. يجعلها جزءًا واحدًا من حزمة أدلة. احتاج العملاء إلى دمجها مع سجلات خارجية، ومراجعة التكوين، وقياس الشبكة، وصيد القذائف الويب، ومراجعة الحسابات، وتدوير بيانات الاعتماد، وتوجيهات البائع أو الاستجابة للحوادث. حيث كانت الأدلة مفقودة، كان يجب أن يرتفع الحذر.
الدرس يمتد إلى ما بعد Ivanti. كل حادث بائع طرفي يخلق ضغطًا لإنتاج نتيجة بسيطة خضراء أو حمراء. لكن الأجهزة المخترقة تقاوم النتائج البسيطة. غالبًا ما يحتوي التقييم الهادف على مستويات ثقة: لا دليل موجود بسجلات كافية، لا دليل موجود بسجلات محدودة، دليل على وصول مشبوه، اختراق مؤكد، أو غير قادر على التحديد. هذه الفئات تخبر الإدارة أكثر من مسح نجاح/فشل.
توقيت التصحيح لم يمحِ نافذة التعرض
شمل مسار إعلان Ivanti إجراءات تخفيف أولاً وتصحيحات لاحقًا. إشعار CISA في31 ينايرأشار إلى تحديثات أمنية لمنتجات متعددة. سجلات NVD لـCVE-2023-46805وCVE-2024-21887وCVE-2024-21893وCVE-2024-22024تظهر مجموعة الثغرات التي كان على المدافعين تتبعها مع تطور الوضع.
هذا التطور هو المشكلة التشغيلية. قد يكون العميل قد طبق الإجراء التخفيفي الأول، ثم اضطر إلى مراقبة تجاوزات أو ثغرات جديدة ذات صلة، ثم اضطر لتطبيق تحديثات لاحقة، ثم اضطر لتحديد ما إذا كان سيعيد البناء. كل خطوة تتطلب جردًا للأصول وسلطة تغيير. يمكن لعميل لديه جهاز واحد مركزي الإدارة التحرك بسرعة. العميل الذي لديه أجهزة متعددة عبر وحدات أعمال ومقاولين وشبكات قديمة واجه مشكلة مختلفة.
توقيت التصحيح أيضًا لم يمحِ الاستغلال الذي حدث قبل الإصلاح. إذا تمكن الجهاز الفاعل من الوصول إلى الجهاز في ديسمبر 2023، فإن إجراء التخفيف في يناير قد يوقف نفس المسار لكنه لا يزيل القذائف الويب أو بيانات الاعتماد المسروقة أو التكوين المعدل أو الوصول اللاحق في مكان آخر في الشبكة. ولهذا السبب ينتمي الحادث إلى الاستجابة للحوادث بقدر ما ينتمي إلى إدارة الثغرات.
وبالتالي، فإن الجدول الزمني للمساءلة ليس "تاريخ الإعلان إلى تاريخ التصحيح" فقط. إنه يشمل التعرض قبل الإفصاح، ووقت التخفيف، وجمع الأدلة، ومراجعة النشاط المشبوه، وإجراءات بيانات الاعتماد والشهادات، وقرارات إعادة البناء، وتأثير الاستمرارية، وتغييرات الرقابة بعد العمل. العميل الذي يسجل فقط تاريخ التصحيح يحتفظ بأسهل مقياس ويفقد الأدلة الأصعب.
المخزون حدد من يمكنه التصرف
التوجيه الطارئ أو إعلان البائع يكون مفيدًا فقط إذا كانت المنظمة تعرف ما إذا كانت تمتلك المنتج المتأثر. يمكن أن توجد أجهزة Ivanti Connect Secure في بيئات المقر الرئيسي، والمكاتب الإقليمية، والشبكات المستحوذ عليها، ومسارات وصول المقاولين، ومحافظ الخدمات المدارة، وأنظمة الوصول عن بعد القديمة. قد يكون بعضها متصلاً بالإنترنت بطبيعته؛ والبعض الآخر قد يكون مكشوفًا بسبب الانجراف. السؤال التشغيلي الأول كان إذن المخزون.
تقرير Shadowserver عنتعرض Ivanti Connect Secureيوضح كيف يمكن للمسح الخارجي تحديد الأنظمة المعرضة للخطر أو المكشوفة على نطاق الإنترنت. الرؤية الخارجية قيمة، لكن لا ينبغي أن تكون الطريقة الأساسية التي يكتشف بها العميل بنية VPN الخاصة به. إذا علمت وكالة حكومية أو مؤسسة عن جهاز من ماسح طرف ثالث، فإن سجلات الملكية ضعيفة بالفعل.
المخزون الجيد يشمل اسم المنتج، الإصدار، التعرض للإنترنت، المالك التجاري، المالك التقني، مالك مزود الخدمة المدارة، عدد المستخدمين، تبعيات المصادقة، الشبكات الداخلية المتصلة، تكوين التسجيل، حالة النسخ الاحتياطي، وإجراءات العزل الطارئة. قد يبدو هذا مفصلاً. بالنسبة لبوابة وصول عن بعد، إنها مساءلة أساسية. الجهاز ليس خادمًا سلعيًا. إنه يقرر من يمكنه الوصول إلى الداخل.
كشف حادث Ivanti عن تكلفة فجوات المخزون. يمكن لجهاز مفقود أن يظل مكشوفًا. يمكن لجهاز بدون مالك أن يفوت نوافذ التخفيف. يمكن لجهاز مملوك محليًا أن يفتقر إلى سجلات مركزية. يمكن لجهاز يديره مقاول أن يخلق نزاعًا حول من يوافق على الإغلاق. هذه إخفاقات حوكمة يمكن للمهاجمين استغلالها دون الاهتمام بمن تسبب في حدوثها في هيكل المؤسسة.
نطاق بيانات الاعتماد كان أكبر من كلمات مرور المستخدمين
تتعامل بوابات الوصول عن بعد مع أكثر من أسماء المستخدمين وكلمات المرور. قد تخزن حسابات مسؤول محلية وبيانات اعتماد تكامل الدليل وشهادات ومواد جلسة VPN ونسخ احتياطية للتكوين وإعدادات SAML أو RADIUS وتعيينات المجموعة وقواعد التقسيم وسياسات الوصول. إذا تم اختراق الجهاز، لا يمكن أن يتوقف الاستجابة عند إصلاح برمجي.
تحتاج المؤسسة إلى خريطة لبيانات الاعتماد. ما هي حسابات الدليل التي يمكن للجهاز استخدامها؟ ما هي بيانات اعتماد الخدمة المخزنة أو التي يمكن الوصول إليها؟ ما هي الشهادات الموجودة؟ من هم المسؤولون المحليون الموجودون؟ أي مستخدمين متميزين قاموا بالمصادقة أثناء نافذة التعرض؟ ما هي الأنظمة النهائية التي قبلت جلسات من VPN؟ بدون تلك الخريطة، يصبح تدوير بيانات الاعتماد إما ضيقًا جدًا لحماية الثقة أو واسعًا جدًا لتنفيذه بكفاءة.
أعطى تقرير Mandiant عن سلوك ما بعد الاختراق المدافعين سببًا للتفكير في الاستمرار والوصول إلى بيانات الاعتماد كجزء من نفس الحادث. عززت تعليمات CISA الطارئة هذا الموقف من خلال الدعوة إلى إعادة الضبط وإعادة البناء بدلاً من التصحيح فقط. هذه إشارات عملية: إذا كان الجهاز مكشوفًا ولا يمكن استبعاد الاختراق، فيجب مراجعة ضوابط الهوية.
هنا تواجه العديد من المؤسسات ضغوط التكلفة. تدوير بيانات الاعتماد والشهادات وأسرار التكامل معطل. يمكن أن يكسر الوصول عن بعد واتصال التطبيقات والمراقبة وسير عمل الشركاء. لكن ترك الأسرار القديمة في مكانها بعد احتمال اختراق الجهاز قد يحافظ على مسار المهاجم. الاستجابة المسؤولة تحدد عتبات محددة مسبقًا للتدوير، حتى لا تتفاوض المؤسسة تحت الخوف والإرهاق.
حولت القذائف الويب البوابة إلى سطح استمرار
أصبح حادث Ivanti خطيرًا بشكل خاص لأن الباحثين العموميين ناقشوا القذائف الويب وأدوات ما بعد الاستغلال، وليس فقط آليات الاستغلال الأولية. قذيفة ويب على جهاز VPN تغير شكل الاستجابة. قد لا يحتاج المهاجم بعد الآن لاستغلال الثغرة الأصلية. يصبح الجهاز نفسه موطئ قدم مدارًا.
تقنيات MITRE ATT&CK لـاستغلال تطبيق مواجه للعاموالخدمات الخارجية عن بعدتلتقط النمط الاستراتيجي. الجهاز مواجه للعام، ويوفر الوصول عن بعد. بمجرد أن يحول الجهاز الفاعل هذا الجهاز إلى موطئ قدم، قد يبدو النشاط اللاحق أقل كحدث ثغرة وأكثر كسلوك مصادق أو شبيه بالمسؤول.
لهذا السبب تهم سجلات الجهاز والقياس الخارجي وخطوط الأساس للتكوين. هل بدأ الجهاز في إجراء اتصالات صادرة غير عادية؟ هل ظهرت ملفات جديدة؟ هل تغيرت مكونات الويب؟ هل حدثت جلسات مسؤول في أوقات غريبة؟ هل جاءت أحداث المصادقة من شبكات غير مألوفة؟ هل تواصل الجهاز مع أنظمة داخلية لا يلمسها عادة؟ هذه الأسئلة يجب الإجابة عليها بأدلة خارج الجهاز المخترق قدر الإمكان.
السجل العام لا يعني أن كل جهاز معرض للخطر يحتوي على قذيفة ويب. يعني أنه كان على المدافعين معالجة هذا الاحتمال كواقع. الاستجابة الناضجة لا تنتظر اليقين عندما تكون البوابة مكشوفة ومعروفة بالاستغلال. تزيد من المراقبة، وتضيق الوصول، وتختار قرارات ثقة متحفظة عندما تكون الأدلة غير كاملة.
مساءلة البائع كانت حول جودة التوجيه
مسؤوليات Ivanti شملت الإفصاح وإجراءات التخفيف والتصحيحات والأدوات والتواصل مع العملاء والتنسيق مع الوكالات والباحثين. هذا وضع تشغيلي صعب أثناء الاستغلال النشط. يجب على البائع التحرك بسرعة بينما تتغير الحقائق. لكن معيار المساءلة ليس الكمال. إنه ما إذا تلقى العملاء توجيهًا واضحًا بما يكفي للتصرف بأمان.
جودة التوجيه مهمة في عدة أبعاد. يحتاج العملاء إلى معرفة الإصدارات المتأثرة وحالة الاستغلال وخطوات التخفيف وتوقيت التصحيح وحدود الأداة وكيفية جمع الأدلة ومتى يفصلون ومتى يعيدون البناء وأي سجلات يحافظون عليها وأي أسرار يدورون. كما يحتاجون إلى تحديثات عند ظهور ثغرات جديدة أو مخاوف تجاوز. الغموض يدفع العملاء إما نحو رد فعل أقل أو ذعر.
تظهر قضية Ivanti لماذا يجب على بائعي الوصول عن بعد إعداد كتيبات الاستجابة قبل الأزمة. إذا تم استغلال جهاز VPN بنشاط، يجب أن يكون لدى البائع لغة عامة لثقة الجهاز والتسجيل الخارجي وتصدير التكوين وإعادة ضبط المصنع وإعادة البناء وإجراءات بيانات الاعتماد والتنسيق مع مقدم الخدمة المدارة. كلما كانت صعوبة صياغة التوجيه تحت الضغط أكبر، كلما يجب إعداده مسبقًا.
مساءلة البائع تشمل أيضًا تصميم المنتج. الإعدادات الافتراضية الآمنة ومسارات الإدارة الأكثر أمانًا وأدلة العبث الأقوى والتسجيل المستقل والترقيات الأسهل وإجراءات إعادة البناء النظيفة تقلل جميعها من الضرر الذي يلحق بالعميل عند ظهور ثغرة. لا يمكن للبائع إزالة كل عيب مستقبلي. يمكنه تقليل فرصة أن يصبح كل عيب أزمة ثقة.
مساءلة العميل كانت حول الإثبات التشغيلي
سيطر العملاء على هندسة النشر. هم من قرروا ما إذا كانت الأجهزة مواجهة للإنترنت، وكيف تم تقييد الوصول الإداري، وكيف تم تصدير السجلات، وكيف تم دمج الهوية، وما إذا كانت بدائل الاستمرارية موجودة، ومدى سرعة تطبيق التخفيف. البائع يمتلك أمان المنتج؛ العميل يمتلك الكثير من سطح التشغيل.
يجب أن تجيب حزمة أدلة العميل على أسئلة بسيطة. ما الأجهزة المتأثرة؟ هل كانت مكشوفة؟ متى تم تطبيق التخفيفات؟ هل تم تثبيت التصحيحات؟ هل تم فصل الأجهزة عند الحاجة؟ هل تم إجراء إعادة ضبط المصنع حيث كان مناسبًا؟ ماذا أظهرت فحوصات السلامة؟ ما السجلات الخارجية التي تم مراجعتها؟ هل تم تدوير بيانات الاعتماد أو الشهادات؟ هل فقد المستخدمون الوصول؟ أي عمليات الأعمال اعتمدت على البوابة؟ ما الذي تغير بعد ذلك؟
بالنسبة للعملاء الخاضعين للتنظيم أو القطاع العام، يجب أن تكون هذه الإجابات قابلة للتدقيق. لا يحتاج الجمهور إلى كل التفاصيل التقنية، لكن هيئات الرقابة لا ينبغي أن تقبل سطرًا واحدًا "لقد عالجنا". المخاطرة تنطوي على الوصول عن بعد إلى أنظمة عامة أو حساسة. الأدلة يجب أن تتطابق مع الرهانات.
الشيء نفسه ينطبق على المؤسسات. يجب أن تسأل لجنة الإدارة أو المخاطر ما إذا كانت المنظمة يمكنها إثبات ثقة الجهاز بعد استغلال معروف. إذا اعتمدت الإجابة على فحص نظيف بدون سجلات داعمة، يجب أن تكون الثقة أقل. إذا تضمنت الإجابة سجلات خارجية ومقارنة تكوين وإجراءات بيانات الاعتماد وإعادة بناء حيثما لزم، يجب أن تكون الثقة أعلى.
مقدمو الخدمات المدارة بحاجة إلى تقسيم واضح للعمل
لم يدير العديد من العملاء أجهزة Ivanti الخاصة بهم بمفردهم. يمكن تشغيل البنية التحتية للوصول عن بعد بواسطة مزودي الأمن المدارة أو تكنولوجيا المعلومات المستعان بها أو الفرق الإقليمية أو مقاولي الدفاع أو متكامل الخدمات. أثناء طوارئ VPN المستغلة، يمكن لهذه الملكية متعددة الطبقات إما تسريع الاستجابة أو خلق تأخير.
يجب أن تحدد العقود من يراقب إعلانات البائعين، ومن يطبق إجراءات التخفيف الطارئة، ومن يمكنه فصل الخدمة، ومن يتواصل مع المستخدمين، ومن يجمع الأدلة، ومن يدير فحوصات السلامة، ومن يقوم بإعادة ضبط المصنع، ومن يستورد التكوين، ومن يدور بيانات الاعتماد، ومن يكتب تقرير ما بعد العمل. بدون هذا التقسيم، يمكن أن تصبح كل خطوة تفاوضًا.
مقدمو الخدمات المدارة يحتاجون أيضًا إلى رؤية على مستوى المحفظة. إذا كان مزود الخدمة يدير أجهزة عملاء متعددة، يجب أن يكون قادرًا على تحديد جميع الحالات المتأثرة بسرعة، وتحديد أولويات البيئات عالية المخاطر، وإخبار كل عميل بما حدث لجهازه الخاص. التأكيد العام بأن "نحن على علم بالمشكلة" ليس كافيًا عندما يكون الاستغلال النشط علنيًا.
يجب أن يطلب العميل الأدلة، لكن لا ينبغي للمزود الانتظار حتى يُطلب منه. المزود الذي يدير بوابة VPN مواجهة للإنترنت يدير حدود ثقة. إنه مدين للعميل بحالة واضحة وحالة معالجة محددة ونتائج بمستوى ثقة. هذا جزء من الخدمة، وليس تقريرًا اختياريًا.
الاستمرارية جعلت الفصل قرارًا صعبًا ولكنه ضروري
أظهر توجيه CISA أن فصل جهاز VPN قد يكون القرار الأمني الصحيح. يمكن أن يكون أيضًا قرارًا مؤلمًا للاستمرارية. قد يفقد الموظفون عن بعد الوصول. قد يفقد المسؤولون مسارات الصيانة العادية. قد لا يتمكن المقاولون من الوصول إلى الأنظمة. قد تضطر الوكالات إلى التحول إلى وصول بديل تحت الضغط.
لهذا السبب ينتمي تخطيط الاستمرارية إلى نفس سجل المخاطر مثل أمان VPN. المؤسسة التي لا تستطيع فصل جهاز معرض للخطر قد جعلت منتجًا واحدًا نقطة اختناق للاستمرارية. المؤسسة الناضجة لديها بدائل مختبرة: وصول إداري منفصل، مضيفات طوارئ، مسارات وصول الثقة الصفرية، إجراءات استمرارية محلية، عمليات يدوية، أو تدهور خدمة مخطط له.
سؤال الاستمرارية ليس ما إذا كان يمكن لكل مستخدم العمل بشكل طبيعي أثناء إغلاق الطوارئ. السؤال هو ما إذا كان يمكن للعمل الحيوي الاستمرار بأمان كافٍ. الوكالات العامة والمستشفيات والمرافق والمؤسسات المالية تحتاج إلى إجابة متدرجة: أي الوظائف يجب أن تستمر، أيها يمكن أن يتوقف، أيها يحتاج إلى وصول طارئ، وأيها يتطلب بديلاً يدويًا.
إذا لم تكن تلك الخطة موجودة، فإن ضغط العمل سيدفع الفرق لإبقاء الجهاز المعرض للخطر متصلاً، أو إنشاء وصول مؤقت غير آمن، أو إعادته إلى الخدمة قبل استعادة الثقة. حادث Ivanti جعل هذه المقايضة مرئية. الأمن والاستمرارية لم يكونا إدارتين منفصلتين. كانا نفس القرار.
ما الأدلة التي من شأنها تغيير التقييم
سيكون التقييم أقل حدة بالنسبة لمؤسسة يمكنها إظهار أن الجهاز لم يكن مواجهًا للإنترنت، أو لم يكن على إصدار متأثر، أو تم تخفيفه قبل التعرض، أو كان لديه سجلات خارجية كاملة، أو اجتاز فحوصات السلامة مع قياس داعم، وتم تدوير بيانات الاعتماد وتحديد نطاقها حسب الحاجة. سيتحسن أيضًا إذا أجرت المؤسسة إعادة ضبط المصنع أو إعادة البناء تحت عتبة موثقة واختبرت بدائل الوصول عن بعد.
يصبح التقييم أكثر حدة عندما تكون الأجهزة مكشوفة، أو تأخر التخفيف، أو فقدت السجلات، أو تم التعامل مع نتائج فحص السلامة كدليل مطلق، أو لم تتم مراجعة بيانات الاعتماد، أو أجبرت استمرارية الوصول عن بعد على العودة المبكرة للخدمة. يصبح أكثر حدة مرة أخرى عندما لا يستطيع مزودو الخدمات المدارة تحديد أجهزة العملاء المتأثرة بسرعة.
بالنسبة لـ Ivanti كبائع، سيتحسن التقييم مع تعلم السبب الجذري الواضح، وإعدادات افتراضية أكثر أمانًا، وأدلة عبث محسنة، وعمليات إعادة بناء أسهل، وأدوات أدلة أفضل للعملاء، وتوجيه يعالج اختراق الجهاز كمشكلة استجابة للحوادث. سيسوء إذا تكررت فئات مماثلة من عيوب الوصول عن بعد المستغلة دون تغييرات مرئية في المنتج والعملية.
الأدلة العلنية الحالية تدعم استنتاجًا محدودًا. تم استغلال منتجات Ivanti بنشاط من خلال ثغرات خطيرة، وعاملت السلطات العامة الخطر على أنه عاجل، وكان يجب التعامل مع أجهزة الوصول عن بعد كبنية تحتية يحتمل أن تكون مخترقة. الأدلة العلنية لا تدعم الادعاء بالاختراق الموحد عبر جميع العملاء. إنها تدعم معيار مساءلة أعلى لكل نشر مكشوف.
تغيير قوائم KEV ساعة الحوكمة
إدخالات كتالوج الثغرات المستغلة المعروفة (KEV) لـ CISA لـCVE-2023-46805وCVE-2024-21887مهمة لأنها تنقل الثغرة من إدارة المخاطر العامة إلى حوكمة مخاطر الثغرات المستغلة. بالنسبة للوكالات الفيدرالية المشمولة، لـ KEV عواقب تشغيلية رسمية. بالنسبة للجميع الآخرين، لا تزال إشارة عامة بأن المشكلة قد انتقلت من التعرض النظري إلى الإساءة النشطة.
يجب أن تغير تلك الإشارة سلوك الاجتماع. الثغرة الحرجة في جهاز وصول عن بعد لا ينبغي أن تبقى فقط في قائمة انتظار إدارة التصحيحات بمجرد أن تكون في KEV. يجب أن تؤدي إلى قيادة الحوادث، وتأكيد الأصول، وإخطار مالك العمل، وتصعيد مزود الخدمة المدارة، وإشراك فريق الهوية، ورؤية المخاطر التنفيذية. السبب بسيط: الوصول عن بعد المستغل يمكن أن يصبح نقطة دخول إلى المؤسسة قبل اجتماع التصحيح.
كما يساعد KEV في تقليل عذر شائع. تتعامل المؤسسات أحيانًا مع إعلانات البائعين كعنصر واحد من بين العديد، مرتبة حسب درجة CVSS وخطط الصيانة المجدولة. الاستغلال المعروف يغير الأولوية. بوابة VPN التي ربما استخدمتها جهات تهديد بالفعل لا يمكن أن تنتظر دورة صيانة مريحة دون قبول مخاطرة موثق. إذا كان الوصول عن بعد مهمًا جدًا بحيث لا يمكن تعطيله، فهذا بالضبط سبب استحقاق الجهاز لاهتمام طارئ.
الكتالوج أيضًا ينشئ سجلاً للرقابة. يمكن لمجالس الإدارة والمراجعين وشركات التأمين والجهات التنظيمية أن تسأل ما إذا كان لدى المؤسسة استقبال KEV، ومدى سرعة مطابقة إدخالات Ivanti مع المخزون، وما إذا كانت الملكية واضحة، ولماذا بقي أي جهاز مكشوف متصلاً. هذا يجعل سطح المساءلة دائمًا. ليس فقط ما يعرفه فريق الأمن. إنه ما فعلته المؤسسة بعد وجود إشارة ثغرة مستغلة علنية.
المقياس العملي هو وقت الوصول إلى الحقيقة (time-to-truth). كم استغرق الأمر لمعرفة ما إذا كانت المؤسسة تمتلك منتجات Ivanti متأثرة؟ كم لمعرفة ما إذا كانت مكشوفة؟ كم لمعرفة من يملكها؟ كم لاتخاذ قرار التخفيف أو الفصل أو إعادة الضبط أو الاستبدال؟ وقت التصحيح مهم، لكن وقت الحقيقة يقرر ما إذا كانت الإدارة تحكم الموقف أو تنتظر حتى يجعله شخص آخر مقروءًا.
يجب تصميم الأدلة الخارجية قبل الطارئ
توجيه NCSC في المملكة المتحدة حولإدارة النظام الآمنةيعزز مبدأ ينطبق مباشرة على أجهزة VPN: يجب إدارة الأنظمة المتميزة من خلال مسارات خاضعة للرقابة والمراقبة والتدقيق. في حالة Ivanti، كان الجهاز نفسه هو الهدف المشتبه به. هذا يعني أن السجلات الإدارية وتغييرات التكوين وأحداث الوصول عن بعد لا ينبغي أن تعتمد فقط على بقاء الجهاز صادقًا.
تبدأ الأدلة الخارجية بتصدير السجلات. يجب نسخ أحداث المصادقة وتسجيلات الدخول الإدارية وتغييرات التكوين وأحداث النظام وطلبات الويب حيثما كان ذلك متاحًا وتدفقات الشبكة إلى أنظمة ذات احتفاظ مستقل. يجب مزامنة السجلات زمنيًا وربطها بسجلات الهوية وقياس النقاط الطرفية وتذاكر إدارة التغيير. إذا لم يستطع المستجيب إعادة بناء ما حدث قبل الإعلان، فإن المؤسسة تتخذ بالفعل قرارات في ضباب.
أدلة التكوين مهمة بنفس القدر. يجب أن يكون لدى المؤسسة نسخ احتياطية معروفة الجيدة مع فحوصات سلامة وملفات متوقعة موثقة وطريقة لمقارنة الحالة الحالية بخط الأساس. إعادة ضبط المصنع متبوعة باستيراد تكوين نظيف تكون نظيفة فقط إذا كان التكوين نفسه مفهومًا. إذا لم يكن أحد يعرف ما إذا كان النسخ الاحتياطي يحتوي بالفعل على تغييرات غير مصرح بها، فقد تعيد عملية إعادة البناء إدخال المخاطرة.
الأدلة الخارجية تغير أيضًا التواصل. يمكن للعميل أن يقول للقيادة "لم نجد دليلاً على الاختراق في سجلات المصادقة والتكوين المحتفظ بها خارجيًا التي تغطي نافذة التعرض" بثقة أكبر من "اجتاز فحص سلامة الجهاز". قد يكون كلا البيانين صحيحين، لكنهما ليسا بنفس القوة. الأول يحدد نطاق الأدلة. الثاني قد يخفي حدود الأدلة.
هذا هو الفرق بين أدوات الأمن وأدلة المساءلة. الأداة يمكن أن تساعد الفريق على التصرف. الأدلة تساعد المؤسسة على تبرير الثقة. بالنسبة للبنية التحتية للوصول عن بعد، كلاهما مطلوب لأن القرار يؤثر على الأشخاص الذين يعتمدون على البوابة ولكن لا يديرونها.
الأمان حسب التصميم ينطبق على دورة حياة الجهاز
إطار CISAالأمان حسب التصميمذو صلة لأن أجهزة الوصول عن بعد لا ينبغي أن تعتمد على العملاء في تجميع كل خاصية أمان بعد النشر. يمكن للبائعين تقليل فشل العملاء من خلال تقديم إعدادات افتراضية أكثر أمانًا وتحذيرات أوضح وتسجيل أقوى وأدلة مقاومة للعبث وتصحيح أسهل وسير عمل إعادة بناء أنظف. لا يزال لدى العملاء واجبات، لكن تصميم المنتج يمكن أن يجعل المسار الآمن أسهل من المسار الخطير.
لمنتج وصول عن بعد مثل Ivanti، يجب أن تغطي توقعات الأمان حسب التصميم دورة الحياة بأكملها. قبل النشر، يجب دفع المسؤولين نحو واجهات إدارة مقيدة ومصادقة قوية وتسجيل خارجي ونسخ احتياطي موثق. أثناء التشغيل الروتيني، يجب أن يجعل المنتج التعرض وعمر الإصدار والإعدادات الخطرة مرئية. أثناء الاستجابة الطارئة، يجب أن يقدم إرشادات دقيقة حول جمع الأدلة وإعادة الضبط والترقية واستيراد التكوين وإجراءات بيانات الاعتماد. بعد الاستعادة، يجب أن يساعد العملاء في التحقق من الحالة وتقليل التكرار.
يجب تطبيق نفس رؤية دورة الحياة على نشر العملاء. شراء جهاز VPN ليس حدث شراء لمرة واحدة. إنه يخلق اعتماد ثقة مستمر. تحتاج المؤسسة إلى مالكين ونوافذ تصحيح ومسارات تصعيد وسجلات وبدائل استمرارية وخطط تقاعد. إذا بقي المنتج في الخدمة بعد أن تتوقف الفرق عن إدارته بنشاط، يصبح الجهاز دين حوكمة.
حادث Ivanti مفيد لأنه يظهر كيف يتفاعل التصميم والتشغيل. خلق عيب بائع مسار الاستغلال. شكلت ممارسات تعرض العميل والأدلة العواقب. وضعت السلطات العامة إجراءات طارئة دنيا. أثر مزودو الخدمات المدارة على السرعة والرؤية. لا تشرح أي من هذه الطبقات وحدها النتيجة الكاملة.
هذه المساءلة متعددة الطبقات غالبًا ما تكون غير مريحة، لكنها دقيقة. لا يمكن للبائع القول إن العملاء يمتلكون كل شيء بعد النشر. لا يمكن للعميل القول إن البائع يمتلك كل شيء بعد العثور على عيب. لا يمكن للمزود القول إن العميل يمتلك المخاطرة بينما يتحكم المزود في الجهاز. التفكير بالأمان حسب التصميم يجبر كل طرف على تسمية سطح التحكم الخاص به قبل الطارئ التالي.
يجب أن تشتري المشتريات أدلة الاسترداد، وليس الوصول فقط
غالبًا ما تشتري الوكالات العامة والمؤسسات الكبيرة منتجات الوصول عن بعد للتوافر وميزات الأمان والدعم والسعر. يشير سجل Ivanti إلى أنها يجب أن تشتري أيضًا أدلة الاسترداد والتزامات الاسترداد. يجب أن يسأل العقد ماذا يحدث إذا تم استغلال الجهاز بنشاط: مدى سرعة نشر البائع للإرشادات، وكيف يتم تحديد أولويات قوائم انتظار الدعم، وكيف ينسق مزودو الخدمات المدارة مع البائع، وما الأدلة التي يمكن للعملاء تلقيها.
بالنسبة للنشر المُدار، يجب أن يذهب العقد إلى أبعد من ذلك. يجب أن يحدد الاحتفاظ بالسجلات الخارجية، ووصول العميل إلى السجلات، وسلطة الفصل الطارئ، وتجاوزات الموافقة للثغرات المستغلة، وإجراءات إعادة البناء أو إعادة ضبط المصنع، ودعم تدوير بيانات الاعتماد، وإعداد التقارير الخاصة بالعميل، ومراجعة ما بعد الحادث. العميل الذي لا يستطيع الحصول على أدلته الخاصة من مزود لا يمكنه إغلاق حادثه بمسؤولية.
يجب على فرق المشتريات أيضًا اختبار افتراضات الاستمرارية. إذا كان المنتج يوفر مسار الوصول عن بعد الرئيسي، يجب أن يعرف المشتري كيف تعمل المؤسسة عندما يكون هذا المسار معطلاً. يجب أن يشمل ذلك الاختبار الوصول الفني وحمل مكتب المساعدة واتصالات المستخدم والالتزامات القانونية وفرز عمليات الأعمال. العقد الذي يشتري وقت التشغيل ولكن ليس الإغلاق الآمن يترك العميل محاصرًا عندما يكون التحكم الأمني الصحيح هو الفصل.
هذا مهم بشكل خاص لهيئات القطاع العام. نادرًا ما يعرف المواطنون أي جهاز يحمي شبكة الوكالة. إنهم يعرفون متى تفشل الخدمات أو تتعرض السجلات أو تبطئ الاستجابة الطارئة. لذلك يجب أن تتعامل المشتريات العامة مع ثقة الجهاز كجزء من استمرارية الخدمة العامة. منتج VPN رخيص أو مألوف ليس كافيًا إذا لم تستطع الوكالة إثبات حالته بعد الاستغلال.
متطلبات الأدلة من المشتري يمكنها تحسين السوق. يستجيب البائعون ومزودو الخدمات لما يطلبه العملاء. إذا طلب العملاء فقط ميزات الوصول وساعات الدعم، تبقى أدلة الاسترداد ثانوية. إذا طالبوا بثقة الجهاز وتصدير السجلات وكتيبات إعادة البناء ودعم ما بعد الاستغلال، فإن هذه القدرات تصبح متطلبات تنافسية.
لغة المعالجة يجب أن تكون دقيقة
أحد أكثر الأخطاء العلنية شيوعًا بعد حوادث البنية التحتية المستغلة هو لغة المعالجة الغامضة. "تم التخفيف" يمكن أن يعني تطبيق حل بديل. "تم التصحيح" يمكن أن يعني تحديث البرنامج. "إعادة الضبط" يمكن أن يعني تغيير بيانات الاعتماد أو إعادة ضبط المصنع للجهاز. "لا دليل على الاختراق" يمكن أن يعني مراجعة أدلة قوية أو عدم العثور على شيء بأدلة ضعيفة. "الاستعادة" يمكن أن تعني أن الخدمة قابلة للوصول، وليس أن الثقة كاملة.
حادث Ivanti يتطلب لغة أكثر دقة. يمكن تخفيف الجهاز ولكن لم يتم تصحيحه بالكامل. تم تصحيحه ولكن لم يتم التحقيق فيه. تم التحقيق فيه ولكن بسجلات مفقودة. إعادة ضبط ولكن بتكوين غير مؤكد. إعادة بناء ولكن بأسرار غير مدورة. استعادة ولكن تعتمد على حل استمرارية مؤقت. هذه التمييزات ليست تحذلقًا. إنها كيف يتجنب المديرون الثقة الزائفة.
البيانات العامة لا تحتاج إلى كشف تفاصيل حساسة، لكن يجب أن تتجنب ضغط حالات مختلفة في فعل واحد مطمئن. يجب أن تكون السجلات الداخلية أكثر دقة. يجب أن تشير إلى حالة التعرض وحالة التخفيف وحالة التصحيح وحالة فحص السلامة وثقة مراجعة السجل وإجراءات بيانات الاعتماد وحالة إعادة البناء وموافقة العودة للخدمة والمخاطر المتبقية. يصبح هذا السجل أساسًا لعمليات التدقيق المستقبلية والطوارئ المستقبلية.
الدقة تحمي أيضًا البائعين ومزودي الخدمات عندما قاموا بالعمل بشكل جيد. المزود الذي يمكنه القول إنه فصل الأجهزة المتأثرة وصدر التكوين وأعاد ضبط الأجهزة وطبق التحديثات واستورد التكوين المراجع ودور بيانات الاعتماد وحفظ السجلات يجب أن يحصل على ائتمان أكثر من الذي يقول "تمت معالجة جميع الأنظمة". الخصوصية تبني الثقة لأنها تسمي الضوابط.
الفائدة النهائية هي التعلم. إذا تم تسجيل كل استجابة على أنها "تم التصحيح"، لا يمكن للمؤسسة مقارنة الحوادث. إذا تطلبت إحدى الاستجابات إغلاقًا طارئًا وأخرى إعادة بناء وثالثة تدوير بيانات الاعتماد، يمكن للمؤسسة تحسين الهندسة المعمارية حيث كان الألم أعلى. لذلك يجب أن تدفع قضية Ivanti المؤسسات لكتابة حالات حادث أفضل، وليس فقط إغلاق التذاكر بشكل أسرع.
يجب على الرقابة قراءة الحادث كاختبار تحكم
لا تحتاج مجالس الإدارة ولجان المراجعة والمفتشون العموميون وقادة الوكالات إلى فهم كل تفاصيل الاستغلال لطرح الأسئلة الصحيحة. يحتاجون إلى السؤال ما إذا كان جرد الوصول عن بعد كاملاً، وما إذا كان استقبال الثغرات المستغلة المعروفة يعمل، وما إذا كانت المؤسسة قادرة على فصل بوابة حرجة، وما إذا نجت الأدلة خارج الجهاز، وما إذا كانت العودة للخدمة مبنية على ثقة موثقة.
هذه الأسئلة تجعل الحادث مقروءًا على مستوى الحوكمة. قد يبلغ الفريق الفني أن التخفيفات تم تطبيقها بسرعة. يجب أن تسأل الرقابة ما إذا تم اكتشاف أي جهاز متأخر. قد يبلغ مزود الخدمة أنه تم استعادة وصول العميل. يجب أن تسأل الرقابة ما إذا كانت سجلات العميل وسجلات إعادة البناء موجودة. قد يبلغ مالك العمل أن الموظفين عن بعد استمروا في العمل. يجب أن تسأل الرقابة ما إذا كانت هذه الاستمرارية تعتمد على استثناءات غير آمنة.
النقطة ليست إعادة النظر في كل قرار هندسي بعد وقوعه. إنها إثبات أن الوصول عن بعد المستغل يُدار كمخاطر مؤسسية. أجهزة VPN تجلس بين الشبكات العامة والأنظمة الداخلية. فشلها يمكن أن يؤثر على حماية البيانات واستمرارية الخدمة العامة والاستجابة للحوادث والثقة التعاقدية. هذا يكفي لتبرير اهتمام الرقابة خارج مركز العمليات الأمنية.
هكذا تتجنب المؤسسات أيضًا تكرار نفس الحادث باسم منتج مختلف. الجهاز الطرفي التالي المستغل قد يأتي من بائع آخر واستخدام CVE آخر. سيكون اختبار الحوكمة مشابهًا: معرفة الأصل، وعزله، والحفاظ على الأدلة، وتدوير الأسرار، وإعادة البناء عندما تكون الثقة غير مؤكدة، والحفاظ على العمل الحيوي بأمان.
اختبار المساءلة
يجب الحكم على حادث Ivanti من خلال سبعة ضوابط.
أولاً، المخزون: هل تستطيع المؤسسة تحديد كل جهاز Connect Secure وPolicy Secure والإصدار والمالك ومسار التعرض وعلاقة مزود الخدمة المدارة ومجموعة المستخدمين المعتمدين في غضون ساعات؟
ثانيًا، توقيت التخفيف والتصحيح: هل طبقت إجراءات التخفيف من Ivanti والتحديثات اللاحقة بسرعة، وهل تتبعت CVEs الجديدة ذات الصلة مع تطور الإعلان؟
ثالثًا، العزل: حيثما كان مطلوبًا أو حكيمًا، هل فصلت الأجهزة المعرضة للخطر بدلاً من ترك راحة الوصول عن بعد قبل الثقة؟
رابعًا، الأدلة: هل حافظت على سجلات خارجية، وأجرت فحوصات سلامة، وراجعت التكوين، وبحثت عن قذائف ويب أو استمرار، ووثقت مستويات الثقة بدلاً من الاعتماد على نتيجة مسح واحدة؟
خامسًا، الاستجابة لبيانات الاعتماد: هل قامت بتدوير أو تحديد نطاق بيانات اعتماد المسؤول وبيانات اعتماد VPN والشهادات وأسرار التكامل عندما لا يمكن استبعاد الاختراق؟
سادسًا، انضباط إعادة البناء: هل حددت متى تكون إعادة ضبط المصنع أو إعادة التصوير أو الاستبدال مطلوبة قبل إعادة الجهاز للخدمة؟
سابعًا، الاستمرارية: هل كان لديها مسارات وصول بديلة آمنة حتى تستمر العمليات العامة أو التجارية دون التسرع في إعادة بوابة غير موثوقة عبر الإنترنت؟
النتيجة النهائية واضحة. أصبح Ivanti Connect Secure سطح مساءلة للقطاع العام لأن فشل منتج الوصول عن بعد لمس التوجيهات الحكومية والاستغلال النشط وثقة الجهاز والاستمرارية. المهاجم يمتلك الاختراق. Ivanti تملك أمان المنتج والإفصاح والأدوات والتوجيه. العملاء ومزودو الخدمات المدارة يمتلكون قرارات النشر والأدلة وإعادة البناء وبيانات الاعتماد والاستمرارية. الرد المسؤول ليس "تم التصحيح". إنه "نحن نعرف ما كان مكشوفًا، وماذا حدث، وما الأدلة التي نجت، وما الأسرار التي تغيرت، وما الأجهزة التي أعيد بناؤها، ولماذا يمكن الوثوق بمسار الوصول المستعاد."
حد أدلة إضافي
بالنسبة إلى Ivanti Connect Secure التي جعلت أجهزة VPN سطح مساءلة للقطاع العام، فإن حد الأدلة الإضافي هو إبقاء الحقائق المؤكدة والاستدلال المدعوم بالأدلة والمعلومات غير المعروفة منفصلة. هذا الفصل مهم لأن حدثًا يتعلق بـ ivanti connect secure made vpn appliances a public sector accountability surface يمكن وصفه كمشكلة تقنية أو مشكلة تعاقدية أو مشكلة اتصال حسب أي جهة فاعلة تتحدث. لذلك يجب أن يعود تحليل المساءلة إلى التحكم العملي: من يستطيع تغيير التكوين، وتحديد التعرض، وتسريع الكشف، وتفويض الإخطار، أو إثبات أن الإصلاح قد وصل إلى المستخدمين المتأثرين.
تضيف هذه العدسة اختبارًا دقيقًا للسبب الجذري والحدث المحفز. يشرح المحفز لماذا أصبح الحدث مرئيًا في لحظة معينة؛ يتطلب السبب الجذري أدلة حول التصميم والتحكم والحوكمة وخيارات التحقق التي كانت موجودة قبل تلك اللحظة. يجب تقييم الظروف المساهمة مثل التبعية والتفويض ونوافذ التغيير والعقود والسجلات والحوافز دون معاملة بيان الشركة على أنه الحقيقة الكاملة أو تحويل الاحتمال إلى استنتاج محدد.
ينطبق نفس الانضباط على فشل الكشف وفشل الاستجابة وفشل الاسترداد. يجب أن يظهر السجل العام متى رأت الإشارة، ومن لديه سلطة التصرف، وما قيل للعملاء أو الجهات التنظيمية، وما الأدلة الإضافية التي من شأنها تقوية أو إضعاف الاستنتاج. بينما تظل هذه العناصر جزئية، فإن الاستنتاج المسؤول ليس اتهامًا إضافيًا؛ إنه خريطة أكثر دقة للمسؤولية وعدم اليقين وضوابط الهوية والوصول التي يجب أن يتحقق منها التدقيق اللاحق.

