ملخص
- أعلنت جت برينز عن CVE-2023-42793 في سبتمبر 2023؛ وأبلغت CISA ومايكروسوفت لاحقًا عن نشاط استغلالي، بما في ذلك استخدام جهات تهديدية لخوادم TeamCity كنقاط دخول لاختراقات لاحقة.
- السؤال المركزي للمساءلة هو: من كان لديه السيطرة العملية على تعرض TeamCity، وسرعة التصحيح، وهوية خادم البناء، وتخزين الأسرار، وتوقيع النواتج، ومخاطر العملاء اللاحقة، وإعادة البناء بعد الاستغلال؟
- الجذر العملي للحالة ليس تسمية واحدة مثل اختراق أو انقطاع أو ثغرة أو فشل البائع. يركز السجل على ثغرة تجاوز المصادقة، وخوادم CI/CD المعرضة للإنترنت، واعتماد التصحيحات، وتخزين بيانات اعتماد البناء، والثقة في الشيفرة المصدرية والنواتج، واستغلال جهات التهديد، والأدلة اللازمة لإثبات سلامة البناء بعد الاختراق.
- واجهت فرق البرمجيات والبائعون والعملاء من المؤسسات ومستهلكو المصادر المفتوحة والحسابات السحابية وفرق الأمان احتمال أن يصبح خادم بناء مخترق مسار توصيل موثوق للهجمات اللاحقة.
- يدعم السجل نتيجة مساءلة عالية الثقة حول واجبات السيطرة وفجوات الأدلة. ولا يدعم افتراض حقائق تظل خاصة، مثل كل إدخال سجل أو كل تأثير على العميل أو كل قرار داخلي أو كل خسارة لاحقة.
سجل الأدلة وكيفية استخدامها
تتعامل هذه المقالة مع السجل العام كأدلة متعددة الطبقات بدلاً من سرد رئيسي واحد. تُستخدم إشعارات الشركة لما قالت جت برينز، s. r. o. إنها وجدته أو غيرته أو نصحت به. وتُستخدم مواد الحكومة والهيئات التنظيمية والثغرات وأبحاث الأمن لتأطير واجبات السيطرة حول الحادث. ولا تُستخدم التقارير الثانوية إلا عندما تحتفظ بتصريحات عامة أو تسلسل زمني أو سياق الأطراف المتأثرة غير المتوفر بطريقة أخرى في مستند أساسي مستقر.
| # | السجل العام | الاستخدام في هذا التحليل |
|---|---|---|
| 1 | مدونة جت برينز تيم سيتي حول CVE-2023-42793 | إشعار البائع الأساسي المستخدم لسياق الثغرة والإصدارات المصححة والتخفيف. |
| 2 | صفحة إصلاحات الأمان لجت برينز | فهرس إصلاحات أمنية يستخدم لسياق أمان المنتج. |
| 3 | مدخل CVE-2023-42793 في NVD | بيانات ومراجع الثغرة العامة. |
| 4 | كتالوج CISA KEV لـ CVE-2023-42793 | سياق حالة الاستغلال المؤكد. |
| 5 | تنبيه CISA بشأن تحديثات جت برينز الأمنية | سياق تنبيه حكومي. |
| 6 | تقرير مايكروسوفت حول استغلال Diamond Sleet و Onyx Sleet لـ TeamCity | سياق استخبارات التهديدات وسلوك ما بعد الاستغلال. |
| 7 | استجابة Rapid7 للتهديدات الناشئة | تحليل مدافع عن تجاوز المصادقة الحرج. |
| 8 | تحليل SonarSource لثغرة TeamCity | سياق التحليل التقني. |
| 9 | تحليل Horizon3.ai لثغرة TeamCity | سياق الاستغلال التقني. |
| 10 | نموذج CISA للإقرار بتطوير البرمجيات الآمنة | سياق ضمان سلسلة توريد البرمجيات. |
| 11 | إطار NIST لتطوير البرمجيات الآمنة | سياق التطوير الآمن وسلامة البناء. |
| 12 | إطار SLSA | سياق مستويات سلسلة التوريد للبرمجيات. |
| 13 | بطاقة OpenSSF | سياق تقييم سلسلة توريد البرمجيات. |
| 14 | ضوابط CIS الأمنية الحرجة | سياق التحكم في الوصول والسجلات والمخزون والثغرات. |
| 15 | إطار NIST للأمن السيبراني | مفردات إدارة المخاطر. |
| 16 | تقنية MITRE ATT&CK لأدوات نشر البرمجيات | سياق تقنية إساءة استخدام أدوات النشر. |
الحادث يتعلق فعليًا بالسيطرة
جعلت جت برينز تيم سيتي خوادم البناء سطحًا للمساءلة في سلسلة توريد البرمجيات لأن الحدث سلط الضوء على السيطرة العملية أكثر مما فعل العنوان الرئيسي. يبدأ السجل العام بـمدونة جت برينز تيم سيتي حول CVE-2023-42793وتدعمهصفحة إصلاحات الأمان لجت برينزومدخل CVE-2023-42793 في NVD. هذه السجلات مهمة لأنها تحدد الفرق بين قصة أمنية غامضة ومجموعة من الواجبات التشغيلية: العثور على الأنظمة المتأثرة، وتحديد البيانات أو مواد الثقة التي كان من الممكن الوصول إليها، وإخطار الأشخاص الذين يجب أن يتصرفوا، وإثبات أن مسار المخاطرة القديم قد أُغلق.
الخطوة التحليلية المهمة هي فصل الزناد عن المساءلة. الزناد هو استغلال ثغرة تجاوز المصادقة CVE-2023-42793 في جت برينز تيم سيتي وخطر سلسلة التوريد في عام 2023. المساءلة أوسع. تشمل خيارات التصميم قبل الحدث، والمراقبة التي كان ينبغي أن تكتشف النشاط غير الطبيعي، والسلطة الطارئة لاحتوائه، والأدلة التي تميز الاختراق المؤكد عن التعرض المحتمل، والتواصل الذي يسمح للأطراف التابعة باتخاذ قراراتها الخاصة. يمكن للبائع أن يكون دقيقًا بشأن الزناد التقني الضيق ويظل يترك العملاء دون أدلة كافية لإدارة جانبهم من المخاطرة.
بالنسبة لجت برينز، s. r. o.، فإن القضية العامة تكمن إذن في سطح السيطرة: تعرض CI/CD، تجاوز المصادقة، أسرار البناء، الثقة في النواتج، تبني التصحيح، استغلال الجهات التهديدية، وأدلة إعادة البناء. هذه ليست تفاصيل علاقات عامة. إنها الآلية التي ينمو بها الضرر أو يتقلص. يمكن لتسلل قصير أن ينتج مخاطرة هوية طويلة الأجل. يمكن لثغرة قديمة أن تصبح فشل استمرارية حي. يمكن لحساب بائع أن يصبح مشكلة حساب عميل. يمكن لتذكرة دعم منصة أن تحمل مواد أكثر حساسية من الخدمة الإنتاجية نفسها. تستخدم المقالة هذه العدسة طوال الوقت.
الجدول الزمني جزء من الأدلة
الجدول الزمني مهم لأن العملاء لا يمكنهم التصرف إلا بعد أن يعرفوا ما يكفي للتصرف. في هذه الحالة، يبدأ التسلسل الزمني العام بالزناد الموصوف أعلاه، ثم ينتقل عبر الاحتواء، وتوجيه العملاء، والتقارير اللاحقة، والتحليل اللاحق. تختبر اللحظة المبكرة الكشف والتصعيد. تختبر اللحظة الوسطى ما إذا كانت الضوابط المؤقتة قد أصبحت إصلاحًا دائمًا. تختبر اللحظة اللاحقة ما إذا كانت المنظمة قد تعلمت ما يكفي لمنع مسار مماثل بدلاً من مجرد إغلاق الحادث بعد أن يتلاشى الاهتمام.
يجب أن يجيب الجدول الزمني الجيد للحادث على عدة أسئلة. متى بدأ النشاط غير الطبيعي؟ متى رآه المدافع لأول مرة؟ متى فهم المدافع أهميته؟ متى احتوت المنظمة المسار؟ متى عرفت أي العملاء أو السجلات أو الخدمات أو بيانات الاعتماد أو الأنظمة يمكن أن تكون متأثرة؟ متى تلقى الأشخاص خارج المنظمة معلومات كافية لحماية أنفسهم؟ نادرًا ما تجيب الإشعارات العامة على كل هذه الأسئلة، لكن الأسئلة لا تزال هي إطار المساءلة الصحيح.
الفجوة بين الحدث الداخلي والإشعار العام ليست تلقائيًا إهمالاً. يحتاج المستجيبون للحوادث إلى وقت للتحقق من الحقائق. يمكن أن ينشر الإشعار المبكر نصائح غير صحيحة. لكن يجب أن تكون الفجوة قابلة للتفسير. إذا كان العملاء يتحكمون في كلمات المرور أو الرموز أو نقاط النهاية أو ملفات الدعم أو الحسابات المصرفية أو المسؤولين أو المستخدمين اللاحقين، فإن التأخير ينقل المخاطرة إليهم أيضًا. المعيار المسؤول ليس الكمال الفوري. إنه اتصال سريع ومتدرج يميز الحقائق المؤكدة والمخاطرة المعقولة والإجراءات الموصى بها وعدم اليقين الذي لم يُحل.
لم يكن كائن البيانات أو الثقة عرضيًا
لم يكن الكائن المعرض أو المهدد في هذه الحالة عرضيًا بالنسبة للأعمال. يركز السجل على ثغرة تجاوز المصادقة، وخوادم CI/CD المعرضة للإنترنت، واعتماد التصحيحات، وتخزين بيانات اعتماد البناء، والثقة في الشيفرة المصدرية والنواتج، واستغلال جهات التهديد، والأدلة اللازمة لإثبات سلامة البناء بعد الاختراق. وهذا يعني أن الحادث لمس كائن ثقة كانت المنظمة موجودة لإدارته أو دعت العملاء للاعتماد عليه. عندما يكون هذا الكائن هو بيانات اعتماد أو شهادة توقيع أو مرفق دعم أو مجموعة بيانات وصفية للعملاء أو خادم بناء أو جدار حماية أو برنامج Hypervisor أو سجل هوية خدمة عامة، لا يمكن للمنظمة أن تعامله كتفصيل عادي لنظام مكتبي.
لكائنات الثقة ملف مساءلة خاص. إنها تسمح للأنظمة الأخرى باتخاذ القرارات. شهادة توقيع الشيفرة تخبر نقطة النهاية ما إذا كانت البرمجيات شرعية. بيانات اعتماد الدعم تخبر المنصة ما إذا كان الشخص يمكنه رؤية سجلات العملاء. خادم البناء يخبر المستخدمين اللاحقين أن الناتج جاء من العملية المتوقعة. جدار الحماية أو بوابة الوصول عن بُعد تخبر الشبكة بالجلسات المسموح لها بالدخول. سجل بيانات وصفية للعميل يخبر المحتال بمن يستهدف. غالبًا ما يأتي الضرر لاحقًا، عندما يعيد شخص ما استخدام كائن الثقة في سياق مختلف.
لهذا السبب يحتاج تحليل النطاق إلى تغطية الوظيفة، وليس فقط أسماء الجداول أو أسماء الخوادم. السؤال عما إذا كان جدول قاعدة بيانات قد نُسخ ضيق جدًا إذا كانت الحقول المنسوخة تحدد المسؤولين. السؤال عما إذا كان مستوى بيانات الإنتاج قد اختُرق ضيق جدًا إذا كشفت سجلات الشركة عن كيفية مهاجمة مستوى البيانات هذا لاحقًا. السؤال عما إذا كانت الخدمة لا تزال متصلة ضيق جدًا إذا ظلت بيانات الاعتماد أو الشهادات أو المرفقات قابلة للاستخدام بعد الحدث.
مسؤولية المزود تتبع أعلى أدوات السيطرة
تحكم المزود في هذه القصة في البيئة التي بدأ فيها الحدث العام، لكن هذا البيان ليس كافيًا. السؤال الأكثر دقة هو ما هي أدوات السيطرة عالية التأثير التي كانت على جانب المزود. في العديد من الحوادث، تشمل هذه الأدوات الهندسة المعمارية، والوصول المميز، وتقسيم الخدمة، ومعالجة الشهادات أو المفاتيح، وتغطية السجلات، وتقليل بيانات العملاء، والإعدادات الافتراضية الآمنة، والإلغاء الطارئ، وهندسة الإصدار، وسلطة نشر إرشادات موثوقة.
يجب الحكم على المزود بما إذا كان جعل المسار المحفوف بالمخاطر سهلاً أم صعبًا. هل تطلبت الأدوات المميزة مصادقة قوية وأدوارًا محدودة؟ هل تم الاحتفاظ بمرفقات الدعم أو البيانات الوصفية الحساسة لفترة أطول من اللازم؟ هل تم فصل أنظمة الإنتاج عن أنظمة الشركة؟ هل تم تصميم الخدمات المعرضة للإغلاق في حالة الفشل؟ هل كانت السجلات كاملة بما يكفي لإعادة بناء الوصول؟ هل تمكنت المنظمة من إلغاء مواد الثقة بسرعة؟ هل تمكن العملاء من التحقق من أنهم قاموا بتثبيت إصدار آمن أو اتخذوا خطوة الاحتواء الصحيحة؟
قد يظهر السجل العام جزءًا فقط من وضع السيطرة هذا. يمكن أن يظهر أنه تم إصدار إشعار، وتم إصدار تصحيح، وتم طلب إعادة تعيين كلمة المرور، وتم تعطيل حساب بائع، وتم استبدال شهادة، أو أبقى وكالة عامة الخدمة قيد التشغيل. غالبًا لا يمكن أن يظهر مراجعات الوصول الداخلي، أو مناقشات مجلس الإدارة، أو الثقة الجنائية، أو كل رسالة عميل. لا ينبغي ملء هذا النقص في الرؤية الكاملة بالتكهنات. يجب أن يُسمى كحد دليل وتحويله إلى طلب لضمان أوضح في المستقبل.
لم تختف مسؤولية العميل والمشغل
كان على العملاء والمشغلين أيضًا واجبات. هذا ليس تحويلاً للوم. إنه اعتراف بأن العديد من حوادث التكنولوجيا تعبر حدودًا تنظيمية. قد يتحكم العميل في تحديثات نقاط النهاية، وإعادة استخدام كلمة المرور، والحسابات المميزة، وتعرض جدار الحماية، وتحميلات الدعم، وسلوك المسؤول، وعزل النسخ الاحتياطي، ومراجعة التنبيهات، وتعليم المستخدم. قد تتحكم وكالة عامة في إثبات الهوية وإشعار المواطن. قد يتحكم مزود خدمة مدارة في وحدة التحكم التي لا يراها العملاء أبدًا.
يعتمد التخصيص الصحيح على القدرة. إذا كان المزود فقط هو من يمكنه تحديد سجلات الدعم التي تم الوصول إليها، فإن المزود يملك هذا الدليل. إذا كان العميل فقط هو من يمكنه تدوير سر لاحق أو مراجعة سجلاته الخاصة، فإن العميل يملك هذا الإجراء بعد تلقي إشعار موثوق. إذا قام مزود مدار بتشغيل الأداة المتأثرة، فإن المزود المدار مدين بالإجراء والدليل للعميل. تتبع المساءلة السيطرة العملية، وليس رؤية العلامة التجارية.
هذا مهم لأن رد الفعل الناقص غالبًا ما يختبئ وراء خطأ طرف آخر. قد يقول العميل إن البائع تسبب في المشكلة وبالتالي يفشل في مراجعة تعرضه. قد يقول البائع إن العميل أساء تكوين النظام وبالتالي يفشل في تحسين الإعدادات الافتراضية الآمنة. قد يقول المزود المدار إنه قام بالتصحيح ويتجنب شرح ما إذا كان قد راجع الاختراق. لا تخدم المصلحة العامة إلا عندما يوضح كل طرف ما سيطر عليه وما فعله بهذه السيطرة.
التقسيم هو الحد الفاصل بين الحادث والتسلسل
يقرر التقسيم ما إذا كان الحادث يظل محصورًا. في هذه الحالة، قد يكون التقسيم ذو الصلة بين تكنولوجيا المعلومات للشركات والبنية التحتية للمنتج، أو بين أدوات الدعم وبيانات الإنتاج، أو بين البيانات الوصفية ومحتوى العميل، أو بين مستوى الإدارة ومستوى الحركة، أو بين خدمة البناء ومفاتيح التوقيع، أو بين مضيف الـ Hypervisor وممتلكات النسخ الاحتياطي. تتغير الحدود الدقيقة حسب الموضوع، لكن مبدأ المساءلة مستقر.
يجب أن يكون ادعاء التقسيم قابلاً للاختبار. لا يكفي القول إن بيئة ما منفصلة عن أخرى. يجب أن يظهر السجل أي الهويات يمكنها عبور الحدود، وأي مسارات شبكة كانت موجودة، وأي سجلات تؤكد الحركة الفاشلة أو الغائبة، وأي حسابات خدمة تمت مراجعتها، وأي ضوابط طارئة تم تطبيقها. لا يحتاج العملاء إلى كل التفاصيل الحساسة، لكنهم يحتاجون إلى ضمان كاف لمعرفة ما إذا كان حادث من جانب المزود قد غير مخاطرهم الخاصة.
تتجنب أقوى البيانات العامة نقيضين. لا تبالغ في الضرر بتلميح أن كل نظام تابع قد اختُرق. كما أنها لا تختبئ وراء حدود تقنية ضيقة بينما تتجاهل المخاطر المتصلة. القول بأن مستوى بيانات الإنتاج لم يتأثر مفيد. القول بالبيانات الوصفية أو بيانات الاعتماد أو الشهادات أو المرفقات أو السجلات الإدارية التي تأثرت ضروري بنفس القدر لأن هذه المواد يمكن استخدامها لمهاجمة مستوى البيانات لاحقًا.
يجب أن يخبر الإشعار المتلقين بما يمكنهم فعله
الإشعار ليس طقسًا. إنه نقل للأدلة القابلة للتنفيذ. يخبر الإشعار المفيد المتلقين بما حدث، وما هي البيانات أو مواد الثقة التي قد تكون متضمنة، وما فعلته المنظمة بالفعل، وما يجب أن يفعله المتلقون الآن، وما يظل غير معروف، وأين ستظهر التحديثات اللاحقة. إذا قال الإشعار فقط إن حادثًا وقع، فقد يلبي حاجة اتصال رسمية بينما يفشل في تلبية الحاجة التشغيلية.
يحتاج المتلقون المختلفون إلى محتوى مختلف. يحتاج مسؤولو الأمن إلى مؤشرات، وحسابات متأثرة، ومتطلبات إعادة التعيين، ونوافذ مراجعة السجلات، وإرشادات التكوين. يحتاج المستهلكون إلى نصائح مخاطرة هوية بلغة واضحة، وإرشادات دفع وكلمة مرور، وجهات اتصال دعم. يحتاج مستخدمو الخدمة العامة إلى ضمان أن الخدمات الأساسية تستمر أو أن البدائل موجودة. يحتاج المطورون إلى إرشادات سلامة البناء وخطوات تدوير الأسرار. يحتاج المديرون التنفيذيون إلى مصفوفة من التعرض والاختراق والإصلاح والمخاطر المتبقية.
لذلك تعامل المقالة التواصل كأداة سيطرة، وليس مجاملة. يمكن للإشعار المتأخر أو الغامض أن يزيد الضرر حتى لو تم احتواء الاختراق الأولي بسرعة. يمكن للإشعار المتدرج أن يقلل الضرر حتى قبل أن تستقر كل الحقائق. يمكن أن يكون الإشعار المصحح مسؤولاً عندما يتوسع النطاق. المفتاح هو وصف عدم اليقين بصدق بدلاً من التظاهر بأن النسخة العامة الأولى نهائية.
يتجاوز سطح الإساءة الاختراق المؤكد
الاختراق المؤكد هو فقط أول سطح مخاطر. يمكن للمهاجمين والمجرمين والانتهازيين إعادة استخدام معلومات الحادث للتصيد الاحتيالي والاحتيال وسرقة بيانات الاعتماد والابتزاز ومكالمات الدعم المزيفة وطعم تحديثات البرامج واحتيالات الفواتير واستهداف التوظيف والضغط الاجتماعي. واجهت فرق البرمجيات والبائعون والعملاء من المؤسسات ومستهلكو المصادر المفتوحة والحسابات السحابية وفرق الأمان احتمال أن يصبح خادم بناء مخترق مسار توصيل موثوق للهجمات اللاحقة. لذلك يجب على المنظمة أن تقيس ليس فقط ما فعله المتسلل، ولكن ما تمكنه المعلومات المعرضة الآخرين من فعله بعد ذلك.
هذا صحيح بشكل خاص عندما تحدد المواد المعرضة المسؤولين أو جهات اتصال الدعم أو علاقات الدفع أو عملاء علامة تجارية معينة أو المستخدمين الذين قدموا وثائق هوية أو المنظمات التي تشغل تقنية معينة. تقلل هذه السجلات من تكلفة بحث المهاجم. تجعل الهندسة الاجتماعية أرخص وأكثر مصداقية. كما أنها تسمح للمجرمين بتخصيص التوقيت: إشعار إعادة تعيين مزيف بعد حادث حقيقي يبدو أكثر تصديقًا من رسالة تصيد عادية.
يجب أن تشمل الوقاية من الإساءة بعد الحدث مراقبة انتحال الشخصية، وتحذير العملاء من الطعوم المحتملة، وتشديد التحقق من الدعم، وإلغاء الرموز القديمة، وتدوير الأسرار المعرضة، ومراقبة نشاط الحساب الجديد، وإعطاء موظفي الدعم في الخطوط الأمامية نصوصًا لا تسرب المزيد من المعلومات. يجب على المنظمة أيضًا مراجعة ما إذا كانت قد جمعت أو احتفظت ببيانات أكثر مما تتطلبه وظيفة الدعم أو الخدمة حقًا.
يجب أن تدعم الأدلة الجنائية قرار الثقة
المراجعة الجنائية لها غرض محدد: إنها تدعم قرار الثقة. هل يمكن للعميل الاستمرار في استخدام البرمجيات؟ هل يمكن للمنظمة أن تثق في جدار الحماية؟ هل يمكنها أن تثق في نواتج البناء؟ هل يمكنها أن تثق في سجلات الدعم؟ هل يمكنها أن تثق في مزود الهوية، أو مخزن البيانات الوصفية، أو الـ Hypervisor، أو الشهادة، أو النسخة الاحتياطية، أو جلسة الوصول عن بُعد؟ التصحيح أو إعادة التعيين أو تعطيل شيء ما ليس سوى جزء من الإجابة.
يتطلب قرار الثقة أدلة حول ما تم الوصول إليه، وما كان يمكن الوصول إليه، وما تم تغييره، وما هي بيانات الاعتماد أو المفاتيح التي كانت موجودة، وما هي السجلات الكاملة، وما إذا كان يمكن تغيير السجلات، وما هي الإشارات المستقلة التي تؤكد الاستنتاج. عندما تكون الأدلة غير مكتملة، يجب على المنظمة أن تقول ذلك وتتخذ قرارًا متحفظًا للأصول عالية القيمة. قد يحتاج النظام المحيطي المخترق أو خادم البناء إلى إعادة بناء وتدوير الأسرار حتى بعد إصلاح الخطأ الأصلي.
يخلق السجل الجنائي الضعيف مشكلة مساءلة ثانوية. إذا لم تتمكن المنظمة من إثبات أن كائن ثقة ظل آمنًا، فقد تحتاج إلى تحمل تكلفة إصلاح أوسع. هذا مكلف. لكن البديل هو نقل عدم اليقين إلى العملاء أو المواطنين أو المستخدمين اللاحقين الذين يفتقرون إلى أدلة المزود. تحول الإدارة الناضجة للحوادث السجلات الخاصة إلى ضمان عام كافٍ ليتصرف الخارجيون بعقلانية.
تشرح الحوافز الاقتصادية نقص الاستثمار
النمط المتكرر عبر الحوادث ليس غامضًا. غالبًا ما تفرض الضوابط الوقائية تكاليف مرئية قبل وقوع أي حادث. التقسيم يبطئ الراحة. أقل امتياز يحبط الدعم. تدوير الشهادة يخلق مخاطرة توافق. تحصين خادم البناء يبطئ التسليم. تصحيح الـ Hypervisor يتطلب نوافذ صيانة. قد يقلل تقليل بيانات العملاء من التسويق أو تفاصيل الدعم. اختبار النسخ الاحتياطي يستهلك الوقت. هذه التكاليف فورية؛ الضرر الذي تم تجنبه غير مؤكد حتى يصل.
فجوة الحافز هذه هي السبب في أن المساءلة لا يمكن أن تنتظر سجل محكمة أو رقم خسارة مؤكد. إذا انتظرت كل منظمة حتى يثبت الضرر، فإن أرخص طريق هو دائمًا تأجيل السيطرة والأمل في أن يتحمل طرف آخر الخسارة. قد يعاني العملاء من مخاطرة الهوية أو التوقف أو مراقبة الاحتيال أو التوظيف الطارئ أو تعطل العقد أو إزعاج الخدمة العامة بينما يعامل الطرف صاحب أفضل سيطرة وقائية التكلفة كخارجية.
يربط نموذج حافز أفضل واجبات السيطرة بالطرف الذي يمكنه تقليل المخاطرة بأقل تكلفة قبل الحدث. يجب على البائعين جعل الإعدادات الافتراضية الآمنة والسجلات الكاملة أمرًا طبيعيًا. يجب على العملاء الحفاظ على المخزونات ونوافذ التصحيح واختبارات الاسترداد ونظافة بيانات الاعتماد. يجب على المزودين المدارين تقديم حزم أدلة. يجب على المنظمين وشركات التأمين طلب إثبات لهذه الضوابط قبل الحوادث، وليس فقط السرد بعد ذلك.
يجب أن يبقى سجل الحوكمة بعد الدورة الإخبارية
يجب أن يظل سجل الحوكمة مفيدًا بعد أن تتلاشى الدورة الإخبارية. يجب أن يصف هذا السجل الزناد، والأصول المتأثرة، والأشخاص المتأثرين، وإجراءات الاحتواء، ونصائح العملاء، وجودة الأدلة، والمخاطر المتبقية، وتأثير الأعمال، ومالكي الإصلاح، واختبارات المتابعة. يجب أن يظهر أيضًا ما تغير بعد الحدث: قواعد الوصول، وفترات الاحتفاظ، والإشراف على البائعين، وتغطية السجلات، ومستويات خدمة التصحيح، وتدوير الأسرار، وعزل النسخ الاحتياطي، أو أدلة إخطار العملاء.
بدون هذا السجل، تتعلم المنظمة بشكل مؤقت فقط. يتبدل الموظفون. تبقى الاستثناءات الطارئة. تصبح التخفيفات المؤقتة دائمة. تعود نفس فئة الحوادث في منتج أو علاقة بائع مختلفة. يسمح سجل المساءلة طويل الأجل لمجلس إدارة أو منظم أو عميل أو مشغل مستقبلي أن يسأل ما إذا كان الإصلاح الموعود لا يزال موجودًا بعد ستة أشهر.
بالنسبة لجت برينز، s. r. o.، الدرس الدائم ليس أن كل ضرر ممكن قد حدث. إنه أن الحدث العام كشف عن فئة سيطرة ستتكرر. قد تتضمن الحالة التالية منتجًا أو جغرافيا أو مهاجمًا أو مجموعة بيانات مختلفة. سيكون الاختبار هو نفسه: هل يمكن للمنظمة أن تظهر من سيطر على المسار المحفوف بالمخاطر، وماذا فعل، ولماذا يجب أن يثق الخارجيون في النتيجة؟
ما الذي سيغير التقييم
سيتغير التقييم بأدلة أقوى أو أضعف. ستشمل الأدلة الأقوى ملخصًا جنائيًا مستقلاً، وفئات كاملة لتأثير العملاء، وجدولًا زمنيًا واضحًا من أول اكتشاف إلى الاحتواء، وإثباتًا بأن مواد الثقة ذات الصلة قد تم تدويرها أو لم تتعرض أبدًا، واختبارات لاحقة تظهر أن نفس المسار لم يعد يعمل. ستشمل الأدلة الأضعف توسع النطاق المتأخر دون تفسير، وفئات بيانات غير واضحة، وسجلات مفقودة، وحوادث مماثلة متكررة، أو نمطًا من معاملة إجراء العميل كاختياري عندما يكون إجراء العميل ضروريًا.
سيتغير أيضًا بأدلة الأطراف المتأثرة. يجب تقييم العميل الذي يمكنه إظهار عدم التعرض، والتحديث السريع، والسجلات الكاملة، وعدم وجود مواد ثقة قابلة للوصول، بشكل مختلف عن العميل الذي كان لديه إصدارات قديمة، وأسطح إدارة معرضة، وسجلات غير مكتملة، وبيانات اعتماد معاد استخدامها، أو ملفات دعم حساسة. يجب تقييم المزود ذي الإعدادات الافتراضية الآمنة والاحتفاظ الضيق بشكل مختلف عن المزود الذي أعطى أدوات داخلية واسعة وصولاً مستمراً إلى السجلات الحساسة.
لهذا السبب تقاوم مقالة المساءلة الجيدة كلاً من الذعر والغفران. يمكن للسجل العام أن يدعم نتيجة سيطرة دون إثبات كل خسارة. يمكنه تحديد فجوات الأدلة دون اختراع حقائق. يمكنه أن يدرك أن المزود تعامل مع جزء من الحادث بمسؤولية بينما لا يزال يسأل ما إذا كان التصميم قبل الحادث قد خلق مخاطرة يمكن تجنبها. الدقة ليست ليونة؛ إنها ما يجعل المساءلة ذات مصداقية.
الأدلة التي يجب على العملاء الحفاظ عليها قبل أن تتلاشى الذاكرة
غالبًا ما يتم جمع أدلة العملاء الأكثر فائدة في الساعات الأولى بعد الإشعار. يجب على المسؤولين الحفاظ على سجلات المصادقة، واتصالات الدعم، وقوائم الحسابات المعرضة، وأحداث جدار الحماية أو نقطة النهاية، وصادرات التكوين، وسجلات إعادة تعيين كلمة المرور، وقوائم الشهادات أو المفاتيح، ولقطات شاشة لإشعارات البائع كما كانت موجودة في ذلك الوقت. تشرح هذه المواد لاحقًا لماذا اختارت المنظمة إعادة تعيين ضيقة أو واسعة أو إعادة بناء أو إفصاح أو استجابة مراقبة. بدونها، تصبح المراجعة اللاحقة نقاشًا حول الذاكرة بدلاً من سجل السيطرة.
الحفظ مهم أيضًا لأن إشعارات البائع يمكن أن تتطور. قد يقول الإشعار الأول إن التحقيق مستمر. قد يضيق إشعار لاحق أو يوسع السكان المتأثرين. قد تضيف استشارة أمنية حالة الاستغلال في البرية. العميل الذي يحفظ كل نسخة يمكنه ربط قراراته بالحقائق المتاحة في ذلك الوقت. هذا يحمي من الإدراك المتأخر غير العادل مع الاستمرار في كشف الإجراء البطيء بعد الإشعار الموثوق.
يجب ألا تبقى الأدلة داخل فريق الأمن وحده. تحتاج الفرق القانونية والمشتريات والخصوصية والدعم واستمرارية الأعمال والهندسة والتنفيذية كل منها إلى نسخة مناسبة لدورها. يحتاج فريق الخصوصية إلى حقول البيانات المتأثرة. تحتاج الهندسة إلى مؤشرات تقنية ومالكي الأنظمة. تحتاج المشتريات إلى واجبات العقد. يحتاج الدعم إلى لغة للعملاء. يحتاج المديرون التنفيذيون إلى المخاطر المتبقية وأسماء المالكين. يمكن أن يفشل حادث واحد إذا كانت الأدلة صحيحة لكنها محصورة في الوظيفة الخاطئة.
نافذة إجراء العميل واجب قابل للقياس
غالبًا ما يبدأ حدث من جانب المزود ساعة من جانب العميل. إذا أخبر الإشعار العملاء بتحديث البرمجيات، أو تدوير بيانات الاعتماد، أو مراجعة السجلات، أو تعطيل الواجهات المعرضة، أو تحذير المستخدمين، فإن وقت استجابة العميل يصبح جزءًا من سجل المساءلة. تحكم المزود في الإشعار والخدمة المتأثرة. تحكم العميل في الإجراء المحلي. لا يمكن لأي من الطرفين إنهاء المهمة بمفرده.
يجب قياس نافذة الإجراء هذه بمصطلحات تتناسب مع المخاطرة. قد يتطلب عيب حافة حرج معرض ساعات. قد يتطلب تعرض بيانات وصفية واسع تحذيرات تصيد في نفس اليوم ومراجعة المسؤول. قد يتطلب استبدال الشهادة نشر التحديث، وتنظيف القائمة المسموح بها، وإثبات أن الحزم الموقعة القديمة لم تعد موثوقة. قد يتطلب تعرض تذكرة دعم مراجعة المرفقات وإشعار المستخدم. قد تتطلب موجة برامج الفدية على الـ Hypervisor عزلًا طارئًا والتحقق من النسخ الاحتياطي قبل تطبيق نوافذ الصيانة العادية.
الهدف ليس معاقبة كل تأخير. بعض البيئات معقدة، ولا يمكن للخدمات العامة التوقف بشكل عارض، ويمكن أن تؤدي التغييرات الطارئة إلى تعطيل العمليات الأساسية. الهدف هو جعل التأخير صريحًا. إذا تأخرت منظمة، يجب أن تسجل السيطرة التعويضية، وسبب العمل، والمالك، ووقت الانتهاء، والدليل على أن المخاطرة لم تظل مفتوحة إلى أجل غير مسمى. التأخير غير المسجل هو كيف يصبح الاستثناء المؤقت الحادث التالي.
ادعاءات الإصلاح تحتاج إلى دليل دائم
يكون ادعاء الإصلاح أقوى عندما يسمي السيطرة التي تغيرت والدليل على أن التغيير لا يزال قائمًا. بالنسبة لحوادث الهوية، قد يشمل الدليل حسابات خدمة معطلة، وجلسات أقصر، ومصادقة مسؤول أقوى، ومراجعات وصول، وسير عمل إعادة تعيين مقاوم للتصيد. بالنسبة لحوادث الدعم، قد يشمل الدليل أدوار بائع أضيق، وحدود احتفاظ بالمرفقات، وتسجيل إجراءات مميزة، وتطهير ملفات العملاء. بالنسبة لحوادث الأجهزة الطرفية، قد يشمل الدليل عزل إدارة تم التحقق منه خارجيًا، وإصدارات ثابتة، ومراجعة السجلات، وتدوير الأسرار، وقرارات إعادة البناء.
لا يحتاج الجمهور العام إلى كل التفاصيل الحساسة، لكنه يحتاج إلى شكل الإصلاح. القول بأن الأمن قد تم تعزيزه أضعف من القول بأي فئة من الوصول تمت إزالتها، وأي فئة من السجلات تم تقليلها، وأي فئة من بيانات الاعتماد تم تدويرها، وأي فئة من الأجهزة تم إعادة بنائها، وأي اختبار يتحقق من النتيجة. لغة الإصلاح المحددة تسمح للعملاء بمقارنة العلاج بمسار الفشل.
الديمومة هي الجزء الصعب. تبدو العديد من الإصلاحات قوية مباشرة بعد الحادث ثم تتدهور. تعود قواعد جدار الحماية المؤقتة. تنمو أذونات الدعم القديمة مرة أخرى. لا تتم مراجعة السجلات الجديدة. لا يتم اختبار النسخ الاحتياطية. يتم التدريب مرة واحدة ويختفي. لذلك يجب أن يتضمن سجل المساءلة نقطة تحقق لاحقة. الإصلاح الذي لا يمكنه النجاة من العمليات العادية ليس سوى توقف مؤقت للمخاطرة، وليس إغلاقًا.
يجلس المزودون المدارون داخل سلسلة الواجب
العديد من المنظمات المتأثرة لا تدير مباشرة الأنظمة التي تمت مناقشتها في الإشعارات العامة. قد يقوم مزود مدار بتشغيل أدوات الدعم عن بُعد، أو خوادم البناء، أو منصات البريد، أو جدران الحماية، أو حسابات قواعد البيانات، أو برامج Hypervisor، أو سير عمل مكتب المساعدة، أو إشعارات العملاء. يمكن لهذا المزود أن يقلل المخاطرة بسرعة أو يبقي العملاء في العمى. لذلك فإن واجب الدليل الخاص به هو أكثر من مجرد مجاملة خدمة.
يجب أن يكون المزود المدار مستعدًا لإخبار العميل ما إذا كان المنتج أو الخدمة المتأثرة موجودة، وما إذا كانت معرضة، ومتى تم تحديثها أو عزلها، وما إذا أظهرت السجلات نشاطًا مريبًا، وما إذا تم تدوير بيانات الاعتماد، وما إذا تم اختبار النسخ الاحتياطية، وما هي المخاطر المتبقية. البيان المجرد بأن الأمر قد تم التعامل معه ليس كافيًا للعميل الذي يجب أن يجيب لمستخدميه أو منظميه أو شركات التأمين أو مجلس إدارته.
يجب أن توضح العقود هذا التوقع قبل الطوارئ. يجب أن تحدد محفزات الإشعار العاجل، وتسليم الأدلة، وسلطة الصيانة الطارئة، وملكية بيانات الاعتماد، ومسؤولية النسخ الاحتياطي، ومن يدفع مقابل الاسترداد الاستثنائي. إذا عامل العقد أدلة الأمن كاختيارية، فقد يكتشف العميل أثناء الحادث أنه اشترى وقت التشغيل ولكن ليس المساءلة.
يغير تقليل البيانات من نصف قطر الانفجار
أسهل سجل معرض للحماية هو السجل الذي لم يتم الاحتفاظ به أبدًا. لهذا السبب يهم تقليل البيانات في الحوادث التي تبدو أنها تتعلق باختراق تقني. أداة دعم تخزن المرفقات القديمة، أو بوابة حساب تحتفظ ببيانات وصفية غير ضرورية، أو مزود خدمة عملاء يمكنه عرض أدلة هوية واسعة، أو نظام شركة يجمع جهات اتصال المسؤولين، كل ذلك يزيد من قيمة الاختراق قبل وصول المهاجم.
لا يعني التقليل التظاهر بأن الأعمال يمكن أن تعمل بدون سجلات. تحتاج فرق الدعم إلى معلومات كافية لحل مشكلات العملاء. تحتاج فرق الأمن إلى سجلات. تحتاج الخدمات المالية إلى سجلات منظمة. تحتاج أنظمة النقل العام إلى حسابات وامتيازات واسترداد وعمليات دفع. سؤال السيطرة هو ما إذا كانت المنظمة يمكنها تبرير كل حقل حساس، وكل فترة احتفاظ، وكل إذن بائع، وكل مسار تصدير بعد وقوع حادث.
السجلات الأصغر تغير الإشعار أيضًا. إذا استطاع المزود القول بأن مجموعة حقول ضيقة فقط تم الاحتفاظ بها والوصول إليها، يمكن للعملاء التصرف بدقة. إذا احتفظ المزود بمرفقات واسعة أو بيانات وصفية غنية، يصبح الإشعار أصعب وينمو سطح الإساءة اللاحق. لذلك فإن التقليل ليس شعار خصوصية. إنه أداة سيطرة على المرونة لأنه يقلل من عدد الأشخاص والقرارات التي يتم جرها إلى الحادث.
يجب أن تطلب إشراف مجلس الإدارة أدلة السيطرة، وليس فقط الحالة
غالبًا ما يتلقى المديرون التنفيذيون تحديثات الحوادث ككلمات حالة: تم الاحتواء، تم الإصلاح، لا تأثير مادي، التحقيق مستمر. هذه الكلمات واسعة جدًا لحكم المخاطر. يجب أن تسأل إشراف على مستوى مجلس الإدارة عن السيطرة التي فشلت أو تم الضغط عليها، ومن الطرف الذي يملكها، وما الدليل الذي يثبت الاحتواء، وأي العملاء أو المستخدمين لا يزالون يمكن أن يتضرروا، وما هي الإصلاحات الدائمة، وما الذي يظل غير معروف.
يجب أن يسأل مجلس الإدارة أيضًا ما إذا كان الحادث قد كشف عن نمط. هل كان هذا تكرارًا لتعرض أداة دعم سابقة، أو فجوة تصحيح قديمة، أو افتراض تقسيم، أو ضعف إشراف على البائع، أو فشل متكرر في تدوير مواد الثقة؟ قد يكون حادث واحد سوء حظ. النمط المتكرر للسيطرة هو دليل حوكمة. إنه يظهر ما إذا كانت المنظمة تتعلم أم أنها تستجيب فقط.
هذا لا يتطلب من المديرين أن يصبحوا مستجيبين للحوادث. إنه يتطلب منهم طلب أدلة بدرجة القرار. إنهم يحتاجون إلى أعداد التعرض، ونوافذ الإجراءات، والتزامات العملاء، والمحفزات القانونية، وتأثيرات استمرارية الأعمال، ومالكي المتابعة. عندما تسأل مجالس الإدارة فقط ما إذا كانت القصة قد انتهت، تتم مكافأة الإدارة على الإغلاق الهادئ. عندما تسأل مجالس الإدارة عن الأدلة التي غيرت بيئة السيطرة، يصبح الإصلاح مرئيًا.
يجب أن يغير الحادث أسئلة المشتريات المستقبلية
يجب على العملاء تحويل فئة الحوادث هذه إلى أسئلة مشتريات أفضل. يجب أن يسألوا البائعين عن كيفية تقييد وصول الدعم، وكيفية تطهير مرفقات العملاء، وكيفية فصل تكنولوجيا المعلومات للشركات عن خدمات الإنتاج، وكيفية حماية شهادات التوقيع، وكيفية تخزين أنظمة البناء للأسرار، وكيفية تسجيل منتجات الحافة للنشاط الإداري، وكيفية إيقاف الإصدارات القديمة، وكيفية تلقي العملاء للأدلة العاجلة أثناء حدث أمني.
يجب طرح هذه الأسئلة قبل التجديد، وليس فقط بعد الأزمة. قد يفضل الفريق التجاري مقارنة ميزات بسيطة، لكن الحوادث تظهر أن الضمان التشغيلي يمكن أن يكون بنفس أهمية قدرة المنتج. منصة رخيصة مع امتيازات دعم واسعة، وسجلات ضعيفة، وإشعارات بطيئة، وواجبات استرداد غير واضحة يمكن أن تصبح مكلفة عندما تسوء الأمور. مزود أكثر انضباطًا يقلل من المخاطر الخفية حتى عندما لا يفشل شيء.
يجب على المشتريات أيضًا تجنب الضمان الورقي فقط. يجب أن ترتبط إجابة الاستبيان بأدلة قابلة للاختبار: ملخصات تدقيق، وإعدادات احتفاظ، ونماذج أدوار، ومستويات خدمة التصحيح، وأمثلة إخطار العملاء، وتمارين الاسترداد، والتقييمات المستقلة حيثما كانت متاحة. الهدف ليس طلب شفافية مستحيلة. إنه شراء حقوق أدلة كافية حتى لا يكون العميل عاجزًا عندما يصبح المزود جزءًا من سطح مخاطرته.
درس المساءلة قابل لإعادة الاستخدام
الدرس القابل لإعادة الاستخدام هو أن حوادث البنية التحتية الحديثة نادرًا ما تتوقف عند النظام الذي تبدأ فيه. يمكن أن يصبح مزود دعم مخترق مشكلة هوية. يمكن أن يصبح حادث نظام شركة مشكلة بيانات وصفية للعملاء. يمكن أن يصبح خادم بناء ضعيف مشكلة سلسلة توريد برمجيات. يمكن أن يصبح منتج وصول عن بُعد مشكلة ثقة شهادة. يمكن أن يصبح جدار حماية أو Hypervisor مشكلة استمرارية. تتداخل الفئات لأن العملاء يعتمدون على خدمات مجمعة، وليس صناديق معزولة.
هذا التداخل هو السبب في أن خطط الاستجابة يجب أن تُكتب حول أسطح السيطرة. من يملك ثقة الهوية؟ من يملك ثقة البرمجيات الموقعة؟ من يملك بيانات الدعم؟ من يملك إدارة الحافة؟ من يملك النسخ الاحتياطية؟ من يملك اتصال العملاء؟ من يملك أدلة البائع؟ إذا كان هؤلاء المالكون معروفين قبل الحدث، يمكن للمنظمة الاستجابة بارتباك أقل. إذا تم اكتشافهم أثناء الحدث، يتوسع الحادث بينما يتفاوض الناس على السلطة.
يجب أن تكون المنظمة الناضجة قادرة على قراءة أي إشعار مستقبلي في هذه الفئة وربطه فورًا بالمالكين والإجراءات والأدلة. هذا هو الفرق بين الوعي بالحادث والاستعداد للحادث. الوعي يقول إن شيئًا ما حدث. الاستعداد يقول من يجب أن يفعل ماذا، وبحلول متى، وبأي دليل، وكيف سيعرف الأشخاص التابعون.
استنتاج المصلحة العامة
استنتاج المصلحة العامة هو أن استغلال تجاوز المصادقة CVE-2023-42793 في جت برينز تيم سيتي وخطر سلسلة التوريد في عام 2023 يجب أن يُذكر كاختبار سيطرة. اختبر الحدث ما إذا كانت المنظمة وعملاؤها يمكنهم التمييز بين الاحتواء التقني واستعادة الثقة. اختبر ما إذا كانت الإشعارات قابلة للتنفيذ. اختبر ما إذا تم تقليل السجلات الحساسة أو كائنات الثقة. اختبر ما إذا تلقت الأطراف التابعة أدلة كافية لحماية أنفسهم.
أقوى استجابة لهذه الفئة من الحوادث ليست طمأنة أعلى صوتًا. إنها مسار مخاطرة أضيق، ومسار احتواء أسرع، ومسار أدلة أكثر اكتمالاً، ومسار إجراء عميل أوضح. وهذا يعني بيانات أقل غير ضرورية، وامتيازات دعم أقل اتساعًا، وحدود إدارية أكثر إحكامًا، وفصل أقوى بين بيئات الأعمال والخدمة، وسجلات أفضل، واسترداد تم اختباره، وإلغاء أسرع لبيانات الاعتماد أو الشهادات عندما تكون الثقة غير مؤكدة.
جعلت جت برينز تيم سيتي خوادم البناء سطحًا للمساءلة في سلسلة توريد البرمجيات لأن المنظمة كانت تجلس عند نقطة حيث كان على العديد من الآخرين الاعتماد على أدلتها. عندما يكون هذا صحيحًا، تتبع المساءلة سطح السيطرة العملي. يجب على الطرف صاحب الرؤية الأوضح والقدرة الأفضل على تقليل الضرر أن يفعل أكثر من القول إن الحدث قد انتهى. يجب أن يظهر لماذا يمكن أن تستمر علاقة الثقة بأمان.

