ملخص
- جعلت MOVEit من جدول التصحيحات مشكلة إفشاء لأن الاستغلال لوحظ قبل التصحيحات العامة وقبل أن يعلم العديد من المشغلين أنهم معنيون. كان من الممكن أن يمنع تصحيح 31 مايو الاستغلال اللاحق، لكنه لم يستطع إثبات أن السرقة لم تحدث بالفعل بين 27 و30 مايو.
- كان العنصر الهش هو خطة التحكم في نقل الملفات: تطبيق معرض للإنترنت يُستخدم لمصادقة التبادلات، والاحتفاظ بالملفات الحساسة، وأتمتة عمليات النقل المتكررة، وإنتاج أدلة التدقيق. عندما تم اختراق هذه الخطة، أصبح السؤال النهائي: ما الملفات التي كانت موجودة، ومن يملكها، ومن يجب إخطاره.
- سيطرت Progress على تصحيحات المنتج، والاستجابة السحابية، والإشعارات، ودعم الاتصالات. سيطر المشغلون المحليون على التعرض، وتطبيق التصحيحات، والتسجيل، والاحتفاظ بالملفات، والتحقيق المحلي. سيطر مالكو البيانات على خرائط الموردين والتزامات الإخطار. أدت حدود السيطرة هذه إلى جداول إفشاء مختلفة جدًا لنفس الثغرة.
- الدرس الدائم هو أن برامج التصحيح الطارئ للبنية التحتية لنقل الملفات تحتاج إلى خطط أدلة مسبقة: سجلات دائمة، واحتفاظ قصير بالملفات المتبادلة، وخرائط ملكية العملاء، وتوجيه انقطاع مُختبر، ولغة إشعار تميز بين «صحح الآن» و«ربما تم اختراقك بالفعل».
رسم خرائط الأدلة
| # | المصدر العام | الاستخدام في هذا التحليل |
|---|---|---|
| 1 | إشعار MOVEit من Progress بتاريخ 31 مايو | الإشعار الرئيسي لـ CVE-2023-34362 وتعليمات التخفيف الفورية. |
| 2 | الأسئلة الشائعة حول ثغرات MOVEit من Progress | تسلسل التصحيحات المخصص للعملاء، وقائمة الثغرات، والتمييز بين السحابة والمحلي. |
| 3 | تحديث استجابة Progress في 5 يونيو | استجابة الشركة، واستعادة السحابة، والدعم الجنائي، ونصائح العملاء. |
| 4 | تحديث الشفافية من Progress في 13 يونيو | مراجعة إضافية للكود، وثغرات لاحقة، وإيقاع التصحيحات. |
| 5 | ملاحظات إصدار MOVEit Transfer 2023 | سياق ملاحظات الإصدار لتصحيحات الأمان والفروع المدعومة. |
| 6 | نموذج 10-Q 2023 لـ Progress | وصف الحادثة المودع، وقيود القياس عن بعد للمحلي، والاستجابة السحابية. |
| 7 | نموذج 10-K 2024 لـ Progress | السياق القانوني والتحقيقي ومخاطر الأعمال اللاحقة. |
| 8 | إشعار إغلاق تحقيق هيئة الأوراق المالية والبورصات (SEC) | السجل العام اللاحق حول إغلاق تحقيق SEC. |
| 9 | إدخال NVD لـ CVE-2023-34362 | وصف الثغرة وسياق الخطورة. |
| 10 | إدخال كتالوج الثغرات المستغلة من CISA | الموعد النهائي الفيدرالي للمعالجة وحالة الثغرة المستغلة. |
| 11 | إشعار CISA وFBI AA23-158A | المؤشرات وسياق الجهة الفاعلة والتدابير الدفاعية. |
| 12 | صفحة معلومات NCSC البريطانية حول MOVEit | إرشادات هيئة الأمن السيبراني الوطنية وتأطير القطاع العام. |
| 13 | بيان هيئة السلوك المالي البريطانية (FCA) حول MOVEit | إخطار القطاع المالي واهتمام الشركات الخاضعة للتنظيم. |
| 14 | تحليل ثغرة يوم الصفر من Mandiant | أول استغلال ملحوظ، وسلوك LEMURLOOT، وآلية سرقة البيانات. |
| 15 | الجدول الزمني لـ MOVEit من Rapid7 | الجدول الزمني للحادثة، والاستغلال الملحوظ، وتسلسل الثغرات اللاحقة. |
| 16 | تحليل الاستجابة السريعة من Huntress | قدرة سلسلة الاستغلال، والقطع الأثرية، والملاحظات الدفاعية. |
| 17 | تحليل التعرض من Censys | رؤية المضيفين المعرضين للإنترنت وإحصائيات التعرض. |
| 18 | تحليل الصناعة من Censys | حدود أدلة التعرض وتوزيع القطاعات. |
| 19 | تحليل اختراق MOVEit من Emsisoft | تحليل الضحايا العامين ونطاق الإفشاء، يستخدم كسياق ثانوي. |
| 20 | التقرير العام لنوفا سكوشا حول MOVEit | الجدول الزمني للمشغل الحكومي، والتصحيحات، والانقطاع الجديد، وتأكيد السرقة. |
| 21 | صفحة حادثة أمن البيانات لإدارة التعليم في نيويورك | تأثير مالك البيانات ومثال إفشاء نسخ الملفات. |
| 22 | إشعار اختراق طرف ثالث من CalPERS | مثال تعرض بيانات التقاعد عبر مورد. |
خطة التحكم كانت العنصر الفاشل
كان MOVEit Transfer أداة تبادل خاضعة للتحكم. هذا ما جعل الحملة شديدة العواقب. لم يكن النظام المعرض مجرد تطبيق ويب عادي يحتوي على بيانات جلسة منخفضة القيمة. بل كان خطة تحكم لنقل الملفات. كان يوثق المستخدمين، ويخزن أو يعلق الملفات، ويؤتمن التبادلات، ويسجل الأنشطة، وكان يقع على الحدود بين منظمات تثق ببعضها البعض بما يكفي لتبادل البيانات الحساسة. الفشل على هذا الحدود يغير كلاً من الأمان والأدلة.
غالباً ما تُعالج الحادثة كمشكلة حدود ثقة لنقل الملفات، وهذا الإطار ضروري. المنظور الأضيق لخطة التحكم يطرح تساؤلاً حول كيف تحول جدول التصحيحات، والحفاظ على الأدلة، وتسلسل الإشعارات من منتج مستغل إلى أشهر من عمل الإفشاء. التمييز الأساسي هو بين تصحيح الكود المعرض وإعادة بناء ما سمحت به خطة التحكم بالفعل. يمكن للتصحيح إغلاق نقطة دخول. لا يمكنه إخبار نظام تقاعد أي الأعضاء المتقاعدين كانوا في ملف مسروق. لا يمكنه إخبار نظام مدرسي أي التقييمات تم نسخها. لا يمكنه إخبار مزود الخدمة أي العملاء كانوا يملكون السجلات المعلقة في مجلد إذا كان الاحتفاظ، والتسمية، وبيانات الملكية، والسجلات ضعيفة.
لهذا السبب تتطلب منصات نقل الملفات المُدارة نموذج استعداد مختلفاً عن برامج المحيط العادية. هدفها هو الاحتفاظ بالبيانات الحساسة أثناء الحركة، أحياناً لفترة وجيزة وأحياناً أطول من المتوقع. إذا استغل المهاجمون المنصة، فقد يكون تعرض البيانات فورياً حتى لو لم يخترق باقي الشبكة. وصفت التقارير العامة للعديد من الضحايا سرقة من بيئات MOVEit بدلاً من سيطرة كاملة على الشركة. ومع ذلك، أنتج هذا الاختراق الأضيق أزمة إفشاء واسعة لأن الملفات نفسها كانت تمثل العديد من الأشخاص والعديد من مالكي البيانات في المراحل النهائية.
سيطرت Progress على المنتج وبيئات MOVEit Cloud. سيطر العملاء المحليون على حالاتهم المحلية. استخدمت بعض المنظمات مزودي خدمات يشغلون MOVEit نيابة عنهم. هذا المزيج جعل المسؤولية لا بسيطة ولا غامضة. يمكن للمورد نشر التصحيحات والإشعارات. يمكنه تصحيح خدمته السحابية. لم يكن بإمكانه دائماً معرفة الإصدار، أو التعرض، أو الملفات المخزنة، أو سجلات المنشآت التي يديرها العملاء. يمكن للمشغلين منع الوصول، وتطبيق التصحيحات، والحفاظ على الأدلة، وتفتيش الأنظمة المحلية. لم يكن بإمكانهم إعادة كتابة كود المنتج المعرض قبل وجود التصحيح. لم يتمكن مالكو البيانات من إخطار الأشخاص إلا بعد فهم ما إذا كانت سجلاتهم ضمن الملفات المتأثرة.
وبالتالي أصبح جدول التصحيحات جدول الإفشاءات. كل ساعة قبل أن يصبح التصحيح عاماً يمكن أن تكون نافذة للسرقة. كل ساعة بعد نشر التصحيح وقبل أن يمنع المشغل الوصول يمكن أن تكون نافذة خطر جديدة. كل ساعة قضاها في تطبيق التصحيحات دون الحفاظ على الأدلة يمكن أن تضر بالقدرة على تحديد نطاق الاختراق. كل يوم قضي في رسم خرائط الملفات للعملاء أخر إخطار الأشخاص المتأثرين. نفس الثغرة من نوع يوم الصفر خلقت مشاكل مسؤولية مختلفة حسب موقع المنظمة في السلسلة.
الاستغلال قبل الإفشاء غير معنى «صحح الآن»
بدأت الاستجابة العامة في 31 مايو 2023، عندما كشفت Progress عن الثغرة الحرجة في MOVEit Transfer ونشرت إجراءات التخفيف والإصدارات المصححة. تظهر سجلات الاستجابة للحوادث أن الاستغلال قد حدث بالفعل. أبلغت Mandiant عن أول أدلة ملحوظة في 27 مايو. أكدت Rapid7 المؤشرات وسرقة البيانات التي تعود إلى 27 و28 مايو. يشير إيداع Progress إلى أن فريق الدعم تلقى أول مكالمة عميل مساء 28 مايو بالتوقيت الشرقي، وبدأ تحقيقاً وحدد ثغرة يوم صفر في 30 مايو.
هذا الجدول الزمني مهم لأنه يغير معنى التصحيحات الطارئة. «صحح الآن» يعني عادةً أنه لا يزال من الممكن إنقاذ نظام معرض إذا تصرف المشغل بسرعة. في حملة يوم صفر سابقة للإفشاء، فإن «صحح الآن» تعني شيئين في وقت واحد: منع الاستغلال اللاحق وافتراض أن الاختراق ربما حدث بالفعل. المهمة الأولى هي إدارة التغيير. الثانية هي التحقيق. معالجتهما كمهمة واحدة يخلق خطراً.
قد لا يزال الخادم المصحح يحتوي على شيل ويب. قد يكون الخادم المصحح قد فقد ملفات بالفعل. قد يكون لدى الخادم المصحح سجلات على وشك التجديد. قد يُعاد الخادم المصحح إلى الخدمة قبل أن يفهم المحققون ما حدث. التقرير العام لنوفا سكوشا هو حالة قيمة لأنه يظهر هذا التوتر في الممارسة. حددت المقاطعة الإشعار، وأوقفت النظام، وطبقت التصحيح، وأعادته إلى الخدمة. بعد توجيهات وطنية إضافية بشأن عناوين IP مشبوهة، أوقفته مرة أخرى ووجدت نشاطاً مشبوهاً. ثم أكدت أن الملفات سُرقت قبل التصحيح.
هذا التسلسل لا يعني أن نوفا سكوشا كانت مهملة. يعني أن بيئة الإشعارات العامة كانت تتغير بينما كان المشغلون يتصرفون. كان على المستجيبين الأوائل الموازنة بين استعادة الخدمة والحفاظ على الأدلة بمعلومات غير كاملة. الدرس العام هو أن الإرشادات الطارئة لخطط التحكم في نقل الملفات يجب أن تقول للمشغلين أن يحافظوا قبل الإصلاح عند الإمكان، وأن يعالجوا تطبيق التصحيحات كفرع واحد فقط من شجرة الحادثة.
هذا التمييز مهم أيضاً للأحكام اللاحقة. المنظمة التي تم استغلالها في 27 مايو لم تكن قادرة على تطبيق تصحيح 31 مايو في 27 مايو. كانت ضوابطها ذات الصلة هي التعرض للإنترنت، والتجزئة، والمراقبة، والتسجيل، وتقليل البيانات. المنظمة التي بقيت معرضة بعد 31 مايو واجهت سؤالاً مختلفاً: لماذا لم يحدث التخفيف بعد التحذير العام؟ قد تقوم المجموعتان في النهاية بإخطارات الاختراق. حقائق المسؤولية الخاصة بهما ليست نفسها.
الاستجابات السحابية والمحلية كان لها ساعات مختلفة
قامت Progress بتشغيل MOVEit Cloud وبيع MOVEit Transfer للتشغيل من قبل العملاء. الفرق ظهر فوراً. بالنسبة لـ MOVEit Cloud، يمكن لـ Progress منع الوصول، وتطبيق التصحيحات، والتحقيق، والاختبار، والاستعادة. بالنسبة للنشر المحلي، يمكن لـ Progress الإفشاء، والإخطار، ونشر التصحيحات، وتقديم الدعم، لكن لم تستطع تصحيح كل خادم مباشرة أو جمع كل سجل محلي. أشار إيداعها صراحة إلى عدم وجود قياس عن بعد مستمر للإصدارات التي يديرها العملاء، والأنشطة، والبيانات المخزنة، وحالة التصحيح.
هذا القيد ليس عذراً؛ إنه حد سيطرة. موردو البرامج الذين يبيعون منتجات محلية معرضة للإنترنت غالباً ما تكون لديهم رؤية مباشرة محدودة. يقدر العملاء هذا النموذج لاستقلاليته والتحكم في البيانات. يظهر المقايض أثناء ثغرة يوم صفر. قد لا يعرف المورد من هو المعرض، وما هي الإصدارات التي لا تزال متصلة، أو إذا كان عميل سابق لا يزال يدير مثيلاً. قد لا يتلقى العميل الإشعار إذا كانت سجلات الملكية قديمة. قد يدير مزود الخدمة الخادم، بينما يظل مالك البيانات مسؤولاً قانونياً عن الإخطار.
يواجه عملاء السحابة خطراً مختلفاً. قد يكون لديهم عبء تصحيح أقل لأن المورد يتحكم في البيئة. كما أنهم يعتمدون بشكل أكبر على أدلة المورد وقرارات الاستعادة. ذكرت Progress أنه تم تعليق الوصول إلى MOVEit Cloud، وتصحيحه، واختباره، واستعادته. هذا هو إجراء المورد الصحيح، ولكن لا يزال على العملاء فحص السجلات، وتفتيش التنزيلات غير المعتادة، وتحديد ما إذا كانت ملفاتهم قد تم الوصول إليها. يمكن للمورد إغلاق خطة التحكم المشتركة؛ لا يزال العميل يتحمل العواقب المحددة للبيانات.
أنتج النموذج الهجين ساعات غير متكافئة. يمكن أن تحدث بعض الإجراءات السحابية مركزياً. اعتمدت بعض الإجراءات المحلية على المسؤولين المحليين، ومزودي الخدمات المُدارة، ونوافذ التغيير. اعتمدت بعض إخطارات مالكي البيانات على الموردين الذين يحتاجون إلى رسم خرائط الملفات للعملاء. لذلك امتدت موجة الإفشاء العام على مدى أشهر، ليس لأن التصحيح استغرق شهوراً ليتم تثبيته في كل مكان، ولكن لأن أدلة خطة التحكم كانت مبعثرة.
هذا درس في التصميم. يجب على موردي البنى التحتية للنقل الحفاظ على دقة جهات اتصال العملاء، وقنوات القياس عن بعد الاختيارية، ومسارات إخطار الطوارئ للثغرات، وأدلة الإصدار المقروءة آلياً. يجب على العملاء الحفاظ على جرد الأصول المعرضة للإنترنت، وسجلات الملكية، ومسارات التصعيد. يجب على مزودي الخدمات الحفاظ على خرائط العملاء والملفات وساعات الإخطار التعاقدية. بدون هذه السجلات، يصبح الإشعار بثاً في الضباب.
تسلسل تصحيحات يونيو حول اليقين إلى هدف متحرك
لم ينهِ تصحيح 31 مايو عمل الأمان. وجدت Progress والباحثون ثغرات حقن SQL إضافية في الأسابيع التالية. نشرت Progress تصحيحاً في 9 يونيو لـ CVE-2023-35036، ثم تصحيحاً في 15 يونيو لـ CVE-2023-35708. يصف الجدول الزمني لـ Rapid7 والأسئلة الشائعة من Progress التسلسل. قامت إصدارات يوليو اللاحقة بتصحيح ثغرات أخرى. ربطت الأدلة العامة حملة الاستغلال الجماعي بـ CVE-2023-34362، وليس بكل اكتشاف لاحق. ومع ذلك، غير تسلسل التصحيحات عبء المشغلين.
بالنسبة للمشغل، أصبح «لقد صححنا MOVEit» عبارة مختومة بالوقت. التصحيح في 1 يونيو لا يعني التصحيح في 10 يونيو. التصحيح في 10 يونيو لا يعني الاكتمال بعد 15 يونيو. استبيان الامتثال الذي يسأل فقط عما إذا كان المثيل مصححاً يمكن أن ينتج طمأنينة زائفة. الأدلة المناسبة هي الإصدار، والتاريخ، والوقت، وحالة الوصول إلى الويب، وفرع التصحيح، وما إذا تم تحديث كل عقدة في النشر.
هنا حيث تهم دورة حياة البرمجيات والاعتماد على المورد. غالباً ما يكون منتج نقل الملفات مدمجاً في مهام مجدولة، وسير عمل الشركاء، وأنظمة المصادقة، وقواعد جدار الحماية، وعمليات الأعمال. إيقافه يقطع العمل الفعلي. تصحيحه بشكل متكرر قد يتطلب اختباراً وتنسيقاً. المنظمة المحصورة في سير العمل لا يمكنها ببساطة التخلي عن المنتج أثناء الأزمة. يجب عليها الاستمرار في تشغيل خطة التحكم بينما خطة التحكم نفسها تحت المراقبة.
يمكن أن يساعد تطور Progress اللاحق نحو حزم الخدمات والصيانة الأكثر قابلية للتنبؤ في وضع الأمان الروتيني. الاستغلال الطارئ مختلف. أثناء الحملة المباشرة، الوضوح أهم من الإيقاع. يجب أن يذكر كل إشعار الإصدارات المتأثرة، وما تغير عن الإشعار السابق، وما إذا كان الاستغلال قد لوحظ، وما إذا كان الوصول إلى الويب يجب أن يظل مغلقاً، وما إذا كان التصحيح يحل محل جميع التخفيفات السابقة. يحتاج المشغلون إلى شجرة قرار، وليس مجرد ملاحظات إصدار.
غير تسلسل يونيو أيضاً لغة الإفشاء. إذا لم يكن لدى العميل دليل على الاستغلال في مايو ولكنه ظل معرضاً لثغرة لاحقة قبل تطبيق التصحيح، فإن نطاق التحقيق يتغير. إذا لم يتم ملاحظة استغلال الثغرات اللاحقة، يجب أن يقال ذلك بوضوح لتجنب تضخيم عدد الحوادث. جدول الإشعارات الجيد يتطلب دقة بشأن الاستغلال الملحوظ، والقدرة المحتملة، وضرورة التصحيح. الجمع بينها في إنذار واحد يخلق إرهاقاً وقد يضعف جودة الاستجابة.
أدلة مسح الشبكة ساعدت لكنها لم تستطع إثبات الاختراق
كانت أدلة مسح الإنترنت مهمة في حملة MOVEit. حددت Censys آلاف مضيفي MOVEit المعرضين للإنترنت حول فترة الإفشاء وتتبعت تغييرات التعرض. ساعدت هذه البيانات في إظهار الجمهور الذي يمكن الوصول إليه وسرعة خروج بعض الخدمات من الخدمة. يمكن أن تساعد أيضاً المنظمات في اكتشاف الأصول المنسية أو علاقات الاستضافة الخارجية. أدلة مسح الشبكة قيمة لأن المهاجمين يجدون الخدمات المعرضة أسرع من العديد من جرد الأصول.
ولكن التعرض ليس اختراقاً. قد يكون المضيف المرئي على الإنترنت محمياً بضوابط تعويضية، أو مصححاً بالفعل، أو غير معرض بسبب إصداره، أو غير مستخدم لتخزين الملفات الحساسة. على العكس، المضيف الذي لم يلتقطه مسح معين قد يكون مخترقاً مع ذلك. يرى الماسح خصائص يمكن ملاحظتها من الخارج؛ لا يقرأ السجلات المحلية أو تواريخ الملفات. حذر تحليل Censys الصناعي اللاحق من معالجة ملاحظات التعرض كأعداد للضحايا.
ينطبق نفس التحذير على مؤشرات IP وأسماء ملفات الشيل. نشرت CISA وMandiant وRapid7 وHuntress وغيرهم مؤشرات مفيدة. كانت هذه المؤشرات أدلة للتحقيقات المحلية، وليست أدلة عالمية. يمكن للمهاجمين تغيير البنية التحتية. يمكن تجديد السجلات. غياب اسم ملف معروف لا يثبت الأمان. عنوان مصدر معروف في سجل لا يثبت دائماً سرقة ناجحة. الأدلة المحلية تبقى حاسمة.
الدرس لخطة التحكم هو أن الأدلة يجب أن تكون متعددة الطبقات. المسوحات الخارجية تحدد الخدمات التي يمكن الوصول إليها. إشعارات المورد تحدد الإصدارات المتأثرة والتصحيحات. تقارير التهديد تحدد السلوكيات الملحوظة. السجلات المحلية تظهر الاستعلامات، والحسابات، والتنزيلات، والملفات، والأختام الزمنية. سجلات الاحتفاظ بالملفات تظهر ما كان موجوداً. خرائط بيانات العملاء تظهر من يملك السجلات. قرارات الإفشاء تحتاج كل هذه الطبقات. ضعف في طبقة واحدة يبطئ الإخطار أو يخلق إخطاراً واسعاً جداً.
كشفت MOVEit عن عدد المنظمات التي اضطرت لبناء هذه المجموعة من الأدلة تحت الضغط. بعضها فعل ذلك علناً وبشكل جيد. البعض الآخر أفشى بعد أشهر عبر الموردين. الفرق لم يكن دائماً مسألة جودة أخلاقية. غالباً ما عكس ما إذا كانت المنظمة تمتلك سجلات دائمة، وملكية واضحة للملفات، واحتفاظاً قصيراً، وخرائط موردين جاهزة للحوادث قبل وصول الإشعار.
الإفشاء الجماعي كان فشلاً في رسم خرائط البيانات بقدر ما كان نتيجة للسرقة
أصبحت الحملة مرئية عالمياً بفضل إشعارات الإفشاء. منصة نقل ملفات واحدة مخترقة يمكن أن تحتوي على ملفات العديد من العملاء، وكل ملف يمكن أن يحتوي على سجلات للعديد من الأشخاص. بعد السرقة، لم يعد السؤال فقط «هل تم تصحيح MOVEit؟» بل «أي الأسطر في أي ملفات تمثل أي أشخاص تحت أي التزامات قانونية؟» هذا هو رسم خرائط البيانات.
اضطرت نوفا سكوشا إلى إخطار مجموعات شملت موظفين حكوميين، وعاملين في الصحة، ومستفيدين من المعاشات التقاعدية، وطلاباً، وعملاء خدمات مجتمعية. أبلغت إدارة التعليم في مدينة نيويورك عن نسخ حوالي 19,000 ملف تضمنت تقييمات الطلاب، وتقارير تقدم الخدمات، ومواد Medicaid، وسجلات إجازات الموظفين. كشفت CalPERS عن تعرض عبر PBI Research Services، وهو مورد يستخدم لتحديد وفيات الأعضاء ومنع المدفوعات الزائدة. تظهر هذه الأمثلة ثلاثة أنماط: تأثير مباشر على المشغل، وملكية بيانات القطاع العام، وتعرض عبر الموردين.
غالباً ما يُعالج رسم خرائط البيانات كإدارة للخصوصية. في حادثة نقل ملفات، هو ضابط استرداد. إذا تم الاحتفاظ بالملفات لفترة أطول من اللازم، يزداد التعرض. إذا لم تحدد أسماء الملفات ملكية العميل، يتباطأ التحديد. إذا لم يتمكن مزود الخدمة من ربط ملف بمالك البيانات بسرعة، يتباطأ الإخطار. إذا لم يعلم مالك البيانات أن أحد الموردين يستخدم MOVEit، فقد لا يعلم بالحادثة إلا بعد أن يبدأ المورد تحقيقه الخاص.
لذلك يجب أن تحمل خطة التحكم في نقل الملفات بيانات وصفية تدعم التحديد الطارئ: مالك البيانات، وفئة الاحتفاظ، والغرض من النقل، ووقت الحذف المخطط، وفئة الحساسية، واتصال العميل. لا يمكن أن تكون جميع البيانات الوصفية عامة أو بسيطة. بعض عمليات النقل معقدة. لكن غياب البيانات الوصفية يحول الاختراق إلى عمل أثري. ينتظر الضحايا بينما تعيد المنظمات اكتشاف ما كان النظام يستخدم من أجله.
الاحتفاظ القصير فعال بشكل خاص. إذا كانت منصة النقل آلية تبادل مؤقتة، فلا ينبغي أن تتراكم الملفات بعد الاحتياجات التشغيلية. كل يوم إضافي من الاحتفاظ يزيد من البيانات المتاحة لمهاجم يوم صفر. تقول العديد من المنظمات إنها تحتفظ بالبيانات «فقط في حالة» احتياج شخص ما لإعادة تنزيلها. أظهرت حملة MOVEit الجانب الآخر من الراحة: الملفات المحتفظ بها تصبح جرداً للاختراق.
لغة الإشعارات يجب أن تحمي الأدلة، وليس فقط الأنظمة
العديد من إشعارات الثغرات مُحسَّنة لتطبيق التصحيحات. هذا مفهوم. هناك حاجة ماسة لإغلاق الثغرة النشطة. بالنسبة لخطط التحكم في النقل، يجب أن تحمي الإشعارات الأدلة أيضاً. يجب أن تقول الرسالة الأولى للمشغلين بتقييد الوصول، والحفاظ على السجلات ذات الصلة، وأخذ لقطات من الأنظمة عندما يكون ذلك ممكناً، وتفتيش المؤشرات المعروفة، وتحديد الملفات الموجودة خلال نافذة التعرض، والتنسيق مع مالكي البيانات قبل حذف أو مسح الأدلة المفيدة.
هذا لا يعني تأخير التخفيف أثناء بناء ملف جنائي مثالي. يعني دمج الحفاظ على الأدلة في التخفيف. إعادة البناء المتسرعة يمكن أن تمحو السجلات. سكريبت التنظيف يمكن أن يزيل القطع الأثرية قبل تسجيلها. يمكن للخدمة المستعادة استئناف التدوير الطبيعي للسجلات. يمكن أن يكسر مسح الملفات السلسلة اللازمة لإخطار الأشخاص بدقة. أفضل دليل طوارئ يأمر الخطوات بحيث يتم تقليل الخطر الحالي ويبقى الخطر الماضي معروفاً.
تطورت إرشادات Progress بسرعة وشملت فحص السجلات، ومنع الوصول إلى الويب، وتطبيق التصحيحات، والتحقق من المؤشرات. أضاف المستجيبون الحكوميون والصناعيون مؤشرات وتوصياتهم الخاصة. ليست المسألة أن الإرشادات العامة كانت تفتقر إلى المحتوى الجنائي. المسألة هي أن منصات النقل يجب أن يكون لديها هذا الدليل جاهزاً قبل ثغرة يوم صفر، مع مواقع سجلات محددة للمنتج، وتحذيرات احتفاظ افتراضية، وقوائم قطع أثرية، وقوالب اتصال بالعملاء.
يحتاج العملاء إلى نفس الاستعداد. يجب أن يعرفوا أي أنظمة النقل معرضة للإنترنت، وأي وحدات أعمال تملكها، وأي موردين يديرونها، وأين توجد السجلات، ومدة الاحتفاظ بالملفات، ومن يمكنه إيقاف تشغيلها. يجب أن يأذنوا مسبقاً بفترات التوقف الطارئ لمنتجات النقل عالية المخاطر. نظام نقل ملفات لا يمكن إيقافه أثناء الاستغلال النشط ليس نظام تبادل خاضعاً للتحكم. إنه عملية أعمال بدون نمط فشل آمن.
واجب الإفشاء من المورد استمر بعد التصحيح
واجهت Progress حدثاً صعباً. كان عليها التحقيق في ثغرة يوم صفر، وتصحيح المنتجات السحابية والمحلية، والتواصل مع العملاء، والتنسيق مع خبراء خارجيين، والاستجابة لثغرات إضافية وجدت أثناء مراجعة الكود، والتعامل مع الطلبات القانونية والتنظيمية، وإدارة الإفشاء للمستثمرين. يظهر السجل العام نشاط استجابة كبير. كما يظهر لماذا لا يتوقف واجب الإفشاء من المورد عند نشر التصحيح.
احتاج العملاء إلى وضوح بشأن حالة الاستغلال، والإصدارات المتأثرة، والتصحيحات المستبدلة، والإجراءات السحابية، والمسؤوليات المحلية، ومراجعة السجلات، وما إذا تم استغلال ثغرات إضافية. احتاج المستثمرون والمنظمون إلى معلومات حول المخاطر. احتاج مالكو البيانات إلى معرفة ما إذا كان بإمكان مشغل المنصة تحديد الملفات المسروقة. إغلاق تحقيق SEC اللاحق، الذي أعلنته Progress، أضاف ملفاً عاماً آخر لكنه لم يزل الدروس التشغيلية.
يجب أن يعترف معيار المسؤولية بما لم يستطع المورد السيطرة عليه. لم تستطع Progress تصحيح كل خادم يديره العملاء مباشرة. لم تستطع معرفة كل ملف يخزنه كل عميل. لم تستطع إجبار كل مورد على إخطار كل عميل فوراً. لكن Progress سيطرت على التطوير الآمن، والاستجابة للثغرات، ووضوح الإشعارات، والمعالجة السحابية، وتوعية العملاء، والإرشادات الجنائية الخاصة بالمنتج. هذه هي المجالات التي تتركز فيها المسؤولية.
بالنسبة للمشغلين، تركزت المسؤولية في مكان آخر. سيطروا على التعرض، وإدارة الإصدارات، والتغيير الطارئ، والاحتفاظ بالسجلات، والاحتفاظ بالملفات، والتواصل مع الموردين. بالنسبة لمالكي البيانات، تضمنت المسؤولية معرفة أين تتحرك البيانات الحساسة وما إذا كان أحد الموردين يستخدم منصة نقل معرضة. حملة MOVEit ليست مفيدة إذا أصبحت بحثاً عن مسؤول واحد عن كل إخطار. إنها مفيدة إذا أظهرت بالضبط أي ضابط فشل وأين.
كان الاحتفاظ هو الضابط الخفي لنطاق التأثير
غالباً ما تحتفظ أنظمة نقل الملفات بالملفات للراحة. قد يحتاج الشريك إلى إعادة تنزيل دفعة. قد ترغب وحدة أعمال في مخزن مؤقت قصير في حال فشلت مهمة. قد يفضل مكتب المساعدة عدم مطالبة المرسل بإعادة التحميل. هذه الأسباب مفهومة. كما أنها تخلق جرداً للاختراق. خلال حملة MOVEit، لم يعتمد الضرر في بيئة معينة فقط على نجاح الاستغلال، ولكن أيضاً على الملفات المتاحة عند نجاحه.
لذا فإن الاحتفاظ هو ضابط لنطاق التأثير. منصة نقل تحذف الملفات بسرعة بعد الاسترجاع الناجح توفر للمهاجم أقل من منصة تتراكم فيها أيام أو أسابيع من التبادلات الحساسة. الاحتفاظ القصير لا يمنع الاستغلال. يقلل من قيمة الاستغلال الناجح ويبسط التحديد اللاحق. إذا كانت نافذة ضيقة فقط من الملفات يمكن أن تكون موجودة، فإن المحققين لديهم سجلات أقل لرسمها وأشخاص أقل لإخطارهم.
يؤثر الاحتفاظ أيضاً على الأدلة. حذف الملفات المنقولة بسرعة كبيرة دون الحفاظ على البيانات الوصفية يمكن أن يجعل الإخطار أكثر صعوبة، لأن المنظمة قد تعلم أن ملفاً ما كان موجوداً لكنها لا تعلم ما يحتويه أو لمن ينتمي. الاحتفاظ بالملفات إلى أجل غير مسمى يخلق تعرضاً. أفضل نموذج هو الاحتفاظ القصير للمحتوى مقترناً ببيانات وصفية دائمة: المرسل، والمستلم، والمالك التجاري، ووقت النقل، وفئة الحساسية، ووقت الحذف، وهوية ملف كافية لرسم خريطة النقل دون الاحتفاظ بالمحتوى غير الضروري. هذا يعطي المحققين دفتر أستاذ دون تحويل نظام النقل إلى أرشيف.
تكتشف العديد من المنظمات أثناء الحادثة أن منصة النقل الخاصة بها أصبحت مستودعاً شبحياً. المهام المجدولة تودع الملفات. يجمعها المستخدمون لاحقاً. المهام الفاشلة تترك نسخاً مكررة. تبقى المجلدات القديمة لأنه لا أحد مسؤول عن التنظيف. ثم لا تكشف الثغرة عن التبادلات الجارية فحسب، بل تكشف عن تاريخ من الراحة التشغيلية. تظهر إفشاءات MOVEit لماذا يجب إدارة منصات النقل كمخازن بيانات عالية المخاطر حتى عندما يكون غرضها المقصود هو الحركة المؤقتة.
هنا أيضاً يتحمل مزودو الخدمات واجباً خاصاً. المزود الذي يستخدم نظام نقل واحد للعديد من العملاء لا ينبغي أن يعتمد على الذاكرة البشرية لتحديد ملكية الملفات بعد الاختراق. يجب أن تكون ملكية العميل، وفئة البيانات، وقواعد الاحتفاظ مشفرة في سير العمل. وإلا، يصبح استغلال واحد تمرين إعادة بناء يدوي عميلاً بعميل. إعادة البناء هذه تؤخر الإخطارات النهائية وتزيد من خطر نقص الإخطار والإخطار الزائد.
الدرس العملي في الاحتفاظ هو: قبل اختراق منتج النقل، يجب على المنظمات أن تسأل: ما الملفات المخزنة، ولمدة كم، وتحت سلطة من، وبأي بيانات وصفية؟ بعد الاختراق، تحدد هذه الإجابات ما إذا كانت المنظمة تستطيع التحديد بسرعة أم يجب أن تحقق من المبادئ الأساسية. الفرق يمكن أن يمثل أشهراً من عدم اليقين.
سلاسل الموردين حولت إشعاراً واحداً إلى ساعات إخطار متعددة
كشفت حملة MOVEit أيضاً عن الفجوة بين ساعة إشعار المورد وساعة إخطار مالك البيانات. يمكن لـ Progress نشر إشعار وتصحيح في 31 مايو. يمكن لمشغل محلي منع الوصول وتصحيح خادم في 1 يونيو. يمكن لمزود خدمة بدء تحقيقه الخاص بعد اكتشاف تنزيلات مشبوهة. قد لا يعلم مالك البيانات أن سجلاته متورطة إلا لاحقاً. قد يتلقى الشخص الذي كانت معلوماته في ملف إخطاراً بعد أشهر من الاستغلال. كل خطوة كانت ساعة مختلفة.
هذا ليس مجرد بطء. إنها سمة هيكلية لتدفقات بيانات الموردين. يمكن لنظام تقاعد إرسال سجلات إلى مورد للتحقق من الوفاة. يمكن للمورد استخدام MOVEit. يمكن اختراق الخادم المعرض من قبل المورد أو طرف آخر. قد يضطر نظام التقاعد بعد ذلك إلى إخطار الأعضاء. قد لا يكون الشخص المتأثر قد سمع عن منتج النقل من قبل. تنتقل المسؤولية عبر عقود وخرائط بيانات غالباً ما تكون أقل وضوحاً من التكنولوجيا.
يمكن لقانون الإخطار أن يزيد من هذا التعقيد. تختلف الولايات القضائية والقطاعات في حساب مهلات الإخطار. تبدأ بعض الساعات عندما تحدد المنظمة أنه تم الحصول على معلومات شخصية. يعتمد البعض الآخر على مهلة إنفاذ القانون، أو تعليمات مالك البيانات، أو اتفاقيات العملاء. المورد الذي لا يستطيع ربط الملفات المسروقة بالعملاء بسرعة يؤخر كل تحليل قانوني نهائي. مالك البيانات الذي لا يعرف مجموعة الموردين الفرعيين لمورده قد لا يعرف أين يسأل أولاً.
استجابة الضابط هي دليل مسار المورد. يجب أن يعرف مالكو البيانات أي الموردين والمقاولين من الباطن يديرون عمليات النقل الحساسة، وأي المنتجات يستخدمون، وأين يتم تخزين البيانات، ومدة بقاء الملفات متاحة، وما هي شروط إخطار الحادثة المطبقة. يجب أن يكون مزودو الخدمات قادرين على إنتاج قوائم بالملفات المتأثرة الخاصة بعملائهم بسرعة. يجب على الموردين صياغة إشعارات بحيث يمكن للموردين تحديد ما إذا كانت بيانات عملائهم قد تكون معنية. الهدف ليس إخطاراً فورياً مثالياً. إنه منع سلسلة قابلة للتجنب من إعادة الاكتشاف.
تظهر CalPERS ونوفا سكوشا وسجلات التعليم في مدينة نيويورك نقاطاً مختلفة في هذه السلسلة. أحدها تضمن مسار مورد، والآخر خدمات تديرها الحكومة، والثالث مالك بيانات تعليمية عامة. السمة المشتركة كانت الانتقال من ثغرة المنتج إلى تحديد الملفات، ثم إلى الإخطار الموجه للأشخاص. تصحيح المنتج لا يمكنه القيام بهذا العمل. فقط سجلات ملكية البيانات الموجودة مسبقاً يمكنها ذلك.
المثيلات غير المدعومة أو غير المُدارة تخلق بقعاً عمياء في الإشعارات
أشار إيداع Progress إلى قياس عن بعد محدود لنشر MOVEit Transfer الذي يديره العملاء. هذا واقع شائع للبرامج المحلية. يصبح خطيراً عندما يكون البرنامج معرضاً للإنترنت وحاسماً. يمكن للمورد إخطار العملاء المعروفين، لكن جرد البرامج يتدهور. تنتقل وحدات الأعمال. يدير المقاولون من الباطن الخوادم. تنتهي التراخيص بينما تبقى الأنظمة متصلة. يحتفظ العملاء السابقون بمثيلات قديمة لمهام قديمة. قد يفوت الإشعار النظام نفسه الذي قد يراه المهاجم.
يساعد مسح الإنترنت في كشف هذه البقعة العمياء. يمكن لـ Censys ومصادر التعرض الأخرى إظهار أن خدمة تشبه MOVEit يمكن الوصول إليها، لكنها لا تستطيع دائماً تحديد المشغل المسؤول أو إثبات الإصدار. يمكن للمسح العثور على مضيف لا تربطه قاعدة بيانات عملاء المورد بالشخص المناسب. هذا يخلق فجوة استجابة: يرى المهاجم هدفاً، قد لا يعلم المورد لمن ينتمي، وقد لا تعلم المنظمة أن الأصل موجود.
درس المسؤولية هو أن جرد الأصول ليس مهمة كتابية. إنه الرابط بين الإشعارات العامة والمعالجة الفعلية. المنظمة التي تشغل برنامج نقل معرض للإنترنت يجب أن يكون لها مالك، وسجل إصدار، واتصال طوارئ، ومسار انقطاع معتمد، وقرار صريح بشأن ما إذا كانت الخدمة يمكن الوصول إليها عبر الإنترنت. يجب على المورد دعم اكتشاف الإصدار المقروء آلياً وقنوات إخطار العملاء التي تبقى بعد تغيير الموظفين. يجب على مزودي الخدمات المُدارة الحفاظ على خرائط اتصالات الطوارئ الخاصة بهم الموجهة للعملاء.
المثيلات غير المدعومة أو غير المُدارة تعقد الإفشاء أيضاً. إذا كان خادم قديم يحتوي على ملفات حساسة ولم يتعرف عليه أحد قبل الحملة، فقد تفتقر المنظمة إلى السجلات، أو سجلات الاحتفاظ، أو الدعم الحالي. النتيجة ليست فقط تأخير في تطبيق التصحيحات؛ إنها أدلة ضعيفة على من تضرر. ضعف الأدلة هذا يمكن أن ينتج إخطاراً واسعاً لأن المنظمة لا تستطيع تضييق النطاق، أو إخطاراً غير كافٍ لأنها لا تجد البيانات المتأثرة أبداً.
لذلك يجب أن تجعل حملة MOVEit جرد أنظمة نقل الملفات المعرضة للإنترنت عنصر حوكمة متكرراً. يجب أن تطلب مجالس الإدارة وفرق التدقيق قائمة بأنظمة النقل، وحالة التعرض، والمالك، وقاعدة الاحتفاظ، والإصدار المدعوم، واتصال الحادثة. إذا لم يمكن إنتاج هذه القائمة قبل الأزمة، فلن تظهر بسحر بعد إشعار ثغرة يوم صفر.
ضمان التصحيحات تطلب مسار أدلة مُرقم
التصحيحات الطارئة المتكررة تخلق مشكلة توثيق. يجب على المشغلين إثبات ليس فقط أنهم طبقوا تصحيحات، ولكن أي تصحيح طبقوا، ومتى تم منع الوصول إلى الويب، ومتى تمت استعادة الخدمة، وما إذا كانت إشعارات إضافية قد حلت محل التصحيح السابق، وما إذا تم تحديث جميع عقد النشر. في حادثة نقل ملفات عالية المخاطر، مسار الأدلة هذا مهم لكل من الأمان والإشعارات القانونية.
يوضح التسلسل العام لـ MOVEit المشكلة. 31 مايو عالج الثغرة المستغلة الأولية. 9 يونيو و15 يونيو عالجا ثغرات حقن SQL إضافية وجدت أثناء المراجعة. يوليو جلب تصحيحات إضافية. بعضها لم يكن مرتبطاً علناً بالاستغلال في الحملة الأولية، لكنها لا تزال تتطلب إجراءً. المشغل الذي قام بالتحديث مرة واحدة وتوقف يمكنه القول بصدق إنه تصرف بسرعة بينما يصبح قديماً بعد بضعة أيام.
مسار الأدلة المُرقم يجب أن يتضمن معرف الإشعار، وقائمة CVE، وإصدار البرنامج قبل التصحيح، وإصدار البرنامج بعد التصحيح، وتجزئة أو هوية الحزمة عند الإمكان، وبداية ونهاية تقييد الوصول إلى الويب، وهوية المسؤول، والعقد المتأثرة، ونتيجة التحقق. بالنسبة للخدمات السحابية، يجب على المورد تقديم أدلة مماثلة موجهة للعملاء تشير إلى تحديث البيئة. بالنسبة للأنظمة المحلية، يجب على المشغل الاحتفاظ بمساره الخاص. بالنسبة لمزودي الخدمات، يجب أن تشير تقارير العملاء إلى البيئة التي استضافت بيانات العميل وحالة التصحيح المطبقة على تلك البيئة.
هذا ليس إفراطاً بيروقراطياً. عندما يسأل عميل عما إذا كانت بياناته تعرضت قبل أو بعد التصحيح، تعتمد الإجابة على التواريخ والإصدارات. عندما يسأل مؤمن أو منظم أو مالك بيانات عما إذا كان التخفيف في الوقت المناسب، تعتمد الإجابة على مسار الأدلة. عندما يتم الإفشاء عن ثغرة لاحقة، يحتاج أصحاب المصلحة إلى معرفة ما إذا كانت الصيانة السابقة تضمنت التصحيح بالفعل. بدون أدلة مُرقمة، يصبح الاستجابة للحوادث مسابقة ذاكرة.
الدرس الأوسع لدورة حياة البرمجيات هو أن التصحيحات الطارئة يجب أن تكون قابلة للتدقيق بالتصميم. يجب أن تجعل المنتجات الإصدار الحالي وحالة التصحيح سهلة التصدير. يجب أن تربط الإشعارات الإصدارات بـ CVE بوضوح. يجب على المشغلين معالجة دليل التصحيح كجزء من الاستجابة للحوادث، وليس كعمل روتيني لاحق. في خطة التحكم في نقل الملفات، ضمان التصحيح هو ضمان الإفشاء.
يجب أن يكون ضمان التصحيح مقروءاً للعميل أيضاً. لا ينبغي لمالك البيانات أن يستنتج من بيان عام من المورد أن سجلاته كانت خلف مثيل مصحح أو غير مصحح. التقرير المفيد يحدد البيئة التي احتوت البيانات، ونافذة التعرض قيد التحقيق، وما إذا كانت أدلة السرقة موجودة، وما هي إصدارات الإشعارات المطبقة، وما هي السجلات التي تم فحصها. هذه المعلومات تمكن مالك البيانات من تحديد ما إذا كان سيخطر لأن الاستحواذ مؤكد، أو لا يمكن استبعاده، أو لأن العقد يتطلب إخطاراً بعد اختراق المنصة. هذه مواقف مسؤولية مختلفة.
ملاحظة حول الطباعة والوضوح
الطباعة هي فن وتقنية ترتيب الحروف لجعل اللغة المكتوبة مقروءة ومفهومة وجذابة بصرياً. تتضمن اختيار الخطوط، وأحجام النقاط، وأطوال الأسطر، وتباعد الأسطر، وتباعد الحروف.
- نشأت الطباعة من اختراع الحروف المتحركة بواسطة يوهانس غوتنبرغ في القرن الخامس عشر.
- العناصر الرئيسية تشمل اختيار الخط، والكيرنينغ، والتتبع، والمسافة البينية.
- الطباعة الجيدة تعزز readability وتنقل مزاجاً أو نغمة في التصميم.
اختبار المسؤولية
حولت MOVEit جدول التصحيحات إلى إفشاء جماعي لأن خطة التحكم المعرضة كانت بين العديد من المنظمات وملفاتها الحساسة. كان تصحيح 31 مايو ضرورياً. لم يكن كافياً للإجابة عن من تم الوصول إليه بالفعل، وأي الملفات تم نسخها، وأي العملاء يملكون تلك الملفات، أو أي الأشخاص يواجهون خطراً متبقياً. هذا العمل اعتمد على السجلات، والاحتفاظ، وجرد الأصول، وخرائط الموردين، وحوكمة الإخطار.
أفضل معيار هو مرونة خطة التحكم. يجب على موردي نقل الملفات تصميم منتجات وإشعارات للاستجابة للاستغلال، وليس فقط للتصحيحات الروتينية. يجب على المشغلين إبقاء أنظمة النقل مرئية، مع تعرض أدنى، واحتفاظ قصير، وجاهزة لتقديم الأدلة. يجب على مالكي البيانات معرفة أي الموردين ينقلون سجلاتهم وما هي التزامات الإخطار التي تبدأ عند اختراق منصة نقل المورد. يجب على المنظمين الحكم على سرعة الاستجابة في طبقات: سرعة التصحيح، والحفاظ على الأدلة، ورسم خرائط مالكي البيانات، والإخطار الفردي.
الدرس الدائم من الحملة هو أن نظام نقل الملفات ليس مجرد أنبوب. إنه خزنة مؤقتة، ومحرك سير عمل، ودفتر أستاذ للأدلة. عندما تفشل خطة التحكم هذه، فإن التصحيح هو مجرد بداية المسؤولية.

