ملخص

  • أصبح MOVEit مشكلة مساءلة حدود الثقة لأن المنتج المتأثر كان نظامًا لإدارة نقل الملفات يُستخدم خصيصًا لنقل الملفات الحساسة بين المؤسسات والموردين والعملاء والبرامج العامة.
  • نشرة Progress في 31 مايو لـMOVEit Transfer Critical Vulnerability CVE-2023-34362، وأسئلة وأجوبة العملاء، ونموذج 10-Qلشهر يوليو 2023 تشكل التسلسل الزمني للبائع وحدود الرؤية المحلية.
  • إدخال نقاط الضعف المستغلة المعروفةلدى CISA، وتنبيه CISA و FBI#StopRansomware، وسجلNVDلدى NIST تظهر لماذا أصبح هذا بسرعة حالة طوارئ دفاعية عامة، وليس مجرد مسألة دعم للبائع.
  • سجلات المؤسسات المتضررة مثل التقرير العام لـنوفا سكوشا، وصفحة حادثمدارس مدينة نيويورك العامة، وإشعار خرق المقاول لدىCMS، وإشعار خرق الطرف الثالث لدىCalPERSتظهر كيف تسبب خلل نقل واحد في سلسلة من واجبات الإخطار المنفصلة.
  • اختبار الإصلاح ليس ما إذا كانت Progress قد أصدرت تصحيحات، بل ما إذا كان مالك المنتج والمشغلون ومراقبو البيانات قادرين على العثور على الحالات المكشوفة، وتصحيحها بسرعة، والتحقيق في السرقة، وتقليل بيانات النقل المحتجزة، وإخطار الأشخاص المتلقين، وإثبات أن أنظمة النقل الحساسة لم تعد معرضة للخطر.

منتج النقل هو وعد بشأن الحدود

إن نقل الملفات المدارة يحمل وعدًا تجاريًا واضحًا: يمكن للملفات الحساسة أن تنتقل بين المؤسسات بطريقة خاضعة للرقابة، وقابلة للتدقيق، وموثوقة. هذا الوعد هو سبب كون حادثة MOVEit مدمرة إلى هذا الحد. لم يكن المنتج موقعًا عرضيًا، بل كان نظامًا حدوديًا. استخدمته المؤسسات لأن البريد الإلكتروني العادي، ومشاركة الملفات المؤقتة، وقنوات النقل غير المدارة لم تكن كافية لحساسية البيانات المنقولة أو حجمها أو سير العمل حولها.

أصبحت نشرة Progress الصادرة في 31 مايو 2023 لـMOVEit Transfer Critical Vulnerabilityنقطة البداية لفشل الحدود هذا في السجل العام. وأسئلة وأجوبة MOVEit Transfer و MOVEit Cloud Patchاللاحقة للشركة لخصت CVE-2023-34362 والثغرات اللاحقة، بينما وصف تحديث Progress في 5 يونيو حولالخطوات التي نتخذها لحماية عملاء MOVEitإغلاق السحابة، والتحقق من التصحيح، ومراجعة سجل التدقيق، وإرشادات العملاء. تظهر هذه السجلات من البائع طبقة الإصلاح الأولى: الإشعار، والتخفيف، والتصحيح.

تبدأ قضية المساءلة حيث تنتهي طبقة الإصلاح الأولى. يمكن للتصحيح سد ثغرة، لكنه لا يخبر المشغل عما إذا كانت البيانات قد سُرقت بالفعل. لا يخبر نظام معاشات أي من المتقاعدين تعرضوا للاختراق. لا يخبر نظامًا مدرسيًا أي ملفات الطلاب تم نسخها. لا يخبر مقاولًا حكوميًا كيفية إخطار وكالة فيدرالية. لا يمحو قشرة ويب. لا يحدد ما إذا كان يجب الاحتفاظ بالملفات القديمة على خادم النقل على الإطلاق.

لهذا السبب يجب قراءة MOVEit على أنها انهيار لحدود الثقة. غالبًا ما تجلس أنظمة النقل الحساسة بين الأطراف. قد تدير الشركة الخادم؛ قد يستخدمه المورد؛ قد تتحكم وكالة عامة في البيانات الأساسية؛ قد لا يعرف الأفراد أبدًا أن سجلاتهم مرت عبره. عندما يفشل طبقة النقل، لا تقع المسؤولية في مكان واحد. يتحكم البائع في أمان المنتج والنشرات. يتحكم المشغل في التصحيح والتعرض والاحتفاظ والتحقيق. يتحكم مراقب البيانات في واجبات الإخطار والتقليل. يتحمل الشخص المتأثر المخاطرة.

الجزء الصعب هو أن كل طرف يمكن أن يشير إلى حد جزئي. يمكن لـ Progress القول إن على العملاء تصحيح ونشر ونشر ونشر وتحقيق. يمكن للمشغلين القول إنهم اعتمدوا على منتج موثوق. يمكن لمراقبي البيانات القول إن بائعًا أو مقاولًا قام بمعالجة الملفات. يمكن للأفراد القول إنهم لم يختاروا أيًا من هذا. يجب على المساءلة ربط تلك الحدود الجزئية مرة أخرى في سلسلة عاملة.

كانت حدود تليمتري البائع جزءًا من المخاطر العامة

نموذج Progress 10-Q لشهر يوليو 2023 مهم لأنه وصف مكالمة عميل في 28 مايو، واكتشاف 30 مايو، وإغلاق السحابة، وتصحيحات 31 مايو، وإخطار العملاء، وعدم وجود تليمتري مستمر لدى الشركة في نشرات العملاء المحلية. هذه النقطة الأخيرة ليست نقدًا في حد ذاتها. العديد من المنتجات المحلية يتم تشغيلها عمدًا من قبل العميل. ولكن أثناء الاستغلال الجماعي، تصبح حدود التليمتري خطرًا عامًا لأن البائع لا يمكنه إخبار كل عميل مباشرة ما إذا كانت حالته قد تعرضت للاختراق.

السيطرة المحلية تخلق نموذج مساءلة منقسم. يتحكم العملاء في النشر، والتعرض للإنترنت، ونوافذ التصحيح، والتسجيل، والنسخ الاحتياطي، والاحتفاظ، والتحقيق. يتحكم البائع في التطوير الآمن، والإفصاح، وجودة التصحيح، وتوثيق المنتج، والدعم. خلال العمليات العادية قد يكون هذا الانقسام مقبولًا. خلال استغلال اليوم الصفري يصبح مؤلمًا، لأن الأشخاص الأكثر تعرضًا قد لا يعرفون بالسرعة الكافية.

تحديث Progress في 13 يونيو حولتعزيز أمان MOVEit Transfer من خلال الشراكة والشفافيةوصف مراجعة إضافية للكود، واكتشاف CVE-2023-35036، والتعاون مع Huntress. توثيق إصدار Progress لـالجديد في MOVEit Transfer 2023والقضايا الثابتة في 2023يساعد في تثبيت تسلسل التصحيح. هذه السجلات مهمة لأن وضوح التصحيح هو إحدى الأدوات القليلة التي يمتلكها البائع عندما لا يرى كل خادم عميل.

لكن وضوح التصحيح لا يزال يعتمد على جرد العميل. هل تعرف المؤسسة كل مثيل MOVEit؟ هل هو معرض للإنترنت؟ أي إصدار يعمل؟ من يملكه؟ أي ملفات موجودة عليه؟ أي سجلات محتفظ بها؟ أي مقاولين يستخدمونه؟ أي مراقبي بيانات متلقين يجب إخبارهم إذا اشتبه في سرقة؟ اللحظة التي يصبح فيها الاستغلال عامًا، تصبح تلك الأسئلة ملحة.

يُظهر سجل MOVEit أن مساءلة البرمجيات ليست فقط جودة الكود، بل أيضًا النظام البيئي حول الكود: توزيع التحديثات، وإرشادات اكتشاف العملاء، وتصميم التليمتري، وجرد المثيلات، وإدارة التعرض للإنترنت، وتعليمات معالجة الحوادث. على البائع الذي يبيع منتج نقل حساس واجب قوي لجعل تلك المسؤوليات البيئية واضحة قبل الأزمة، وليس فقط أثناءها.

الاستغلال المعروف ضغط وقت التصحيح

أضافت CISA CVE-2023-34362 إلى كتالوج نقاط الضعف المستغلة المعروف لديها، وهو مرئي من خلالإدخال KEV لدى CISA. ثم أصدرت CISA و FBIتنبيه #StopRansomware حول استغلال CL0P لـ CVE-2023-34362، مع مؤشرات وتوصيات دفاعية. سجلNVDلدى NIST وثق سجل الثغرات وحالة الاستغلال. تظهر هذه المصادر الحكومية كيف ترك الحادث بسرعة وتيرة إدارة التصحيح العادية وراءه.

مركز الأمن السيبراني الوطني في المملكة المتحدةحادثة ثغرة MOVEit وابتزاز البياناتوهيئة السلوك المالي في المملكة المتحدةبيان ثغرة MOVEitيعززان نفس النقطة للبيئات المنظمة والمصلحة العامة.

وقت التصحيح المضغوط يكشف ضعفًا تنظيميًا. تعرف العديد من المؤسسات كيفية تطبيق التحديثات الروتينية. أقل منها يمكنه إجراء اكتشاف طارئ عبر بيئات الإنتاج والقديمة والاختبار والمستضافة من قبل البائع. أقل منها يمكنه تحديد أي ملفات حساسة مرت عبر النظام في نافذة ذات صلة، وما إذا كانت الملفات قد احتُفظ بها دون داعٍ، وأي أفراد أو وكالات يجب إخطارها. التصحيح هو خطوة واحدة فقط في سلسلة الأدلة.

مشكلة حدود الثقة حادة بشكل خاص لأن أنظمة MOVEit غالبًا ما تحتفظ ببيانات من أطراف متعددة. قد يتضمن الخادم ملفات تم تحميلها من قبل وكالة واحدة، ومعالجتها من قبل مقاول، وإرسالها إلى كيان آخر، وربطها بأفراد عبر ولايات قضائية. إذا نسخ المهاجمون الملفات، فإن واجب الإخطار قد لا يتتبع مالك الخادم وحده. قد يتتبع مراقبي البيانات والسكان المتأثرين والالتزامات التعاقدية. لهذا السبب يولد الاستغلال الجماعي لمنتج نقل العديد من الإخطارات المنفصلة.

يتفاعل وقت التصحيح أيضًا مع الاتصال العام. إذا قامت مؤسسة بالتصحيح بسرعة لكنها لا تعرف ما إذا كانت السرقة قد حدثت، فيجب عليها تجنب الطمأنة الكاذبة. إذا أخرت الاتصال حتى اكتمال مراجعة الملفات، فقد ينتظر الأشخاص المتأثرون أشهرًا. الوسط المسؤول هو الإخطار المرحلي: تخفيف التعرض الفوري، وحالة التحقيق الواضحة، ونتائج نطاق البيانات لاحقًا، والإخطار الفردي عندما تدعمه الحقائق.

رؤية شركات الأمن ساعدت، لكنها لم تحل محل إثبات المشغل

تقرير Mandiant عنسرقة بيانات MOVEit في اليوم الصفريوصف استغلالًا تم رصده في وقت مبكر من 27 مايو، وسلوك قشرة الويب والسرقة، وملاحظات البنية التحتية، وسياق الإسناد.الجدول الزمني لأحداث CVE-2023-34362من Rapid7 تحقق من تسلسل التصحيح والاستغلال.تحليل الاستجابة السريعةمن Huntress أضاف قدرة سلسلة الاستغلال، والقطع الأثرية للمضيف، ونصائح التحقيق المحلية.

كانت هذه المصادر مفيدة لأنها أعطت المدافعين مؤشرات عملية وسياقًا أثناء تطور الحادث. لكنها لم تستطع استبدال الإثبات المحلي. لا تزال المؤسسة بحاجة إلى فحص خادمها الخاص، والسجلات، والملفات، وتاريخ الاحتفاظ، والنسخ الاحتياطية، وتتبع الشبكة، وملكية البيانات المتلقية. قائمة المؤشرات العامة تساعد في العثور على القطع الأثرية المشبوهة; إنها لا تثبت عدم وجود سرقة في بيئة معينة.

تحليل التعرضMOVEit Transferمن Censys وتحليل الصناعةلاحقًا أظهرا لماذا قياس التعرض مفيد لكنه محدود. يمكن لمسوح الماسح تحديد الخدمات المتصلة بالإنترنت والاتجاهات. لا يمكنها إثبات إصدار كل خدمة، أو ثغرتها، أو ملكيتها، أو حالة الاختراق، أو حساسية البيانات بشكل موثوق. أعداد التعرض هي خريطة للمخاطر المحتملة، وليست حكمًا.

التحليل العام من Emsisoft،تفكيك خرق MOVEit، قدم إحصاءًا واسعًا للمؤسسات والأفراد المعروفين تم تجميعه من الإخطارات العامة والإيداعات والإفصاحات وموقع التسريب الإجرامي. إنه قيم كدليل على النطاق. إنه ليس تعدادًا رسميًا. قد يتداخل العملاء المتلقون، وقد تُعرف الأعداد بشكل مختلف، وتختلف موثوقية الادعاءات الإجرامية.

ملاحظة حول الطباعة

الإخطارات المتلقية تظهر الشكل الحقيقي للفشل

سجل المؤسسات المتضررة هو حيث تصبح مشكلة حدود الثقة إنسانية. التقرير العام لنوفا سكوشا حولالهجوم السيبراني على نظام MOVEit في نوفا سكوشاوصف تسلسلًا زمنيًا مفصلاً للاستجابة ونافذة السرقة في تلك البيئة.تقرير التحقيق IR25-01لمفوض خصوصية نوفا سكوشا قدم نتائج مستقلة حول تقييم أثر الخصوصية، والإفراط في الاحتفاظ، وإساءة استخدام المستودع، والإخطارات، والتوصيات. تنطبق تلك النتائج على نوفا سكوشا، وليس كل ضحية. لكنها تُظهر نوع المساءلة المحلية التي يتطلبها حادث نقل.

صفحة حادث أمن بيانات MOVEit لمدارس مدينة نيويورك العامةMOVEitوصفت الملفات المنسوخة، وفئات البيانات، والحدود التي لم يتم الوصول إلى مناطق شبكة الإدارات الأخرى. إشعار CMS حولالاستجابة لخرق بيانات في مقاولوصف سياق المقاول Maximus وتعرض المستفيدين من Medicare. إشعار الطرف الثالث من CalPERSوصف تعرض معلومات المتقاعدين من خلال سلسلة التوريد. كل إشعار ضيق. معًا يظهرون شكل الفشل: أصبحت ثغرة طبقة المنتج العديد من مشكلات حوكمة البيانات المحلية.

المشكلة المحلية غالبًا ما تكون نطاق البيانات. ما الملفات التي كانت على الخادم؟ هل كانت حالية؟ هل كانت ملفات نقل مؤقتة أم مستودعات محتفظ بها لفترة طويلة؟ هل تضمنت بيانات صحية، أو معاشات، أو طلاب، أو موظفين، أو مالية، أو هوية؟ هل كانت الملفات مشفرة قبل التحميل؟ من الذي يتحكم في الحذف؟ أي الكيانات المتلقية كان يجب إبلاغها؟ الفتح التقني يفتح الباب؛ اختيارات الاحتفاظ وحوكمة البيانات تحدد ما يمكن للمهاجمين حمله بعيدًا.

نتائج الخصوصية في نوفا سكوشا مفيدة بشكل خاص لأنها تتجاوز "لقد تأثرنا بـ MOVEit" إلى أسئلة حول تقييم أثر الخصوصية والاحتفاظ. هذا هو الاتجاه الصحيح. لا ينبغي لخادم النقل أن يصبح مستودعًا دائمًا إلا إذا كانت لدى المؤسسة غرض واضح وخطة حماية. كلما بقيت البيانات الحساسة في منطقة النقل، كلما أصبحت ثغرة المنتج حدث خصوصية واسعًا.

قد يكون لدى المؤسسات الأخرى ممارسات أقوى أو أضعف. السجل العام لا يسمح بتعميم نتائج مشغل واحد كاستنتاج قانوني عالمي. لكنه يدعم معيار مساءلة عام: بعد استغلال نقل مُدار، يجب أن يكون كل مشغل قادرًا على إظهار سبب وجود كل ملف، والمدة التي احتاجها للبقاء، ومن يمكنه الوصول إليه، ومدى سرعة تحديد نطاق السرقة.

تصبح المحلية أكثر صعوبة عندما تكون سلاسل النقل غير شفافة

أثارت حملة MOVEit أيضًا أسئلة حول سيادة البيانات والمحلية، حتى عندما لا يثبت إشعار معين تخزينًا عبر الحدود. يمكن لمنتج نقل نقل الملفات بين الوكالات والمقاولين ومسؤولي المعاشات والمدارس وبرامج الصحة ومعالجي الرواتب والبائعين. الموقع الفعلي للخادم هو سؤال واحد فقط. السؤال العملي أكثر هو أي مؤسسة كانت تسيطر على الملف في كل لحظة وأي نظام قانوني يحكم الإخطار بعد نسخ الملف.

غالبًا ما تُناقش محلية البيانات كقضية منطقة سحابية. يُظهر نقل الملفات المُدار مشكلة محلية مختلفة: قد يكون المسار مؤقتًا وتعاقديًا ومتعدد الأطراف. قد ينتقل سجل معاش من كيان عام إلى مورد. قد يجلس سجل طالب في مجلد نقل لمقاول. قد تتم معالجة ملف منفعة صحية من قبل مسؤول برنامج. إذا تم اختراق نظام النقل، قد يعلم الأفراد المتأثرون بسلسلة لم يروها أبدًا.

تُظهر مواد NCSC و FCA في المملكة المتحدة أن الهيئات التنظيمية توقعت من المؤسسات فهم كل من التعرض المباشر والتعرض من طرف ثالث. هذا هو المعيار الصحيح. لا يمكن للمؤسسة التوقف عند "نحن لا نشغل MOVEit" إذا مرت بياناتها عبر مثيل مورد. ولا يمكن للمورد التوقف عند "المنتج كان ثغرة" إذا احتفظ بالملفات لفترة أطول من اللازم أو أخر الإخطار لمراقبي البيانات.

للمؤسسات العالمية، يمكن للسلسلة عبور الحدود. قد لا تكشف الأدلة العامة في أي إشعار واحد عن مكان وجود كل ملف أو انتقاله. يجب على التحليل المسؤول تجنب اختراع مواقع البيانات. لكن المساءلة لا تتطلب مواقع مخترعة. تتطلب من المؤسسات توثيق مسار النقل بشكل كافٍ للإجابة على سؤال المحلية بسرعة عند وقوع حادث.

يجب أن يتضمن سجل الإصلاح بالتالي رسم خريطة سلسلة النقل. أي عملية تجارية تستخدم منتج النقل؟ أي أطراف مقابلة تقوم بتحميل أو تنزيل الملفات؟ أي بيانات من أي ولاية قضائية تظهر؟ أي عقود تخصص واجبات الإخطار والحذف والتشفير والتحقيق؟ أي ملفات يتم تنظيفها تلقائيًا؟ أي استثناءات يتم مراجعتها؟ نظام نقل بدون تلك الخريطة هو حد ثقة مبني على الذاكرة.

إصدار التصحيح لم يثبت التنظيف

من أقوى الدروس من MOVEit أن إصدار التصحيح والتنظيف هما التزامان مختلفان. أصدر Progress النشرات والتصحيحات. كان على العملاء تطبيقها. لكن إذا حدث الاستغلال قبل التصحيح، لا يزال المشغل بحاجة إلى إزالة الملفات الخبيثة، ومراجعة السجلات، وتحديد الوصول إلى البيانات، والحفاظ على الأدلة، وإخطار الأطراف المتأثرة، وإعادة النظر في الاحتفاظ. التصحيح يغلق بابًا واحدًا. لا يُظهر ما جاء من خلاله قبل إغلاقه.

هذا التمييز مألوف لمستجيبي الحوادث لكنه غالبًا ما يكون غائبًا عن النقاش العام. قد يسأل مجلس إدارة: "هل قمنا بالتصحيح؟" هذا ضروري. السؤال التالي هو: "هل تعرضنا للاختراق قبل التصحيح؟" ثم: "ما هي البيانات التي كانت موجودة؟" ثم: "هل يمكننا إثبات ذلك؟" ثم: "من يجب إخطاره؟" ثم: "ما التغييرات التي تقلل من تعرض البيانات للمخاطر في المرة القادمة؟" بدون ذلك التسلسل، يمكن أن يصبح الامتثال للتصحيح خط نهاية زائفًا.

جعل MOVEit المشكلة أصعب لأن الاستغلال كان واسعًا والمنتج غالبًا ما كان مواجهًا للإنترنت. كتالوج KEV لدى CISA ضغط توقعات العلاج، لكن العديد من المؤسسات كان عليها إجراء مراجعة جنائية تحت الضغط. بعضها قد يكون افتقر إلى السجلات. بعضها قد يكون لديه أطراف ثالثة تشغل المثيلات. بعضها قد يكون لديه ملفات قديمة في مجلدات النقل. بعضها قد يحتاج إلى إخطار مجموعات متلقية عديدة. التصحيح التقني كان فقط بداية الإصلاح التنظيمي.

إصدار Progress اللاحق في 2024 الذي أعلنخاتمة تحقيق هيئة الأوراق المالية والبورصاتهو جزء من سجل المساءلة، لكنه لا يغلق كل مسار آخر. قرارات موظفي هيئة الأوراق المالية والبورصات، والتقاضي الخاص، ومراجعات الهيئات التنظيمية، وإخطار العملاء، وواجبات مراقبي البيانات لها نطاقات مختلفة. يمكن لشركة تجنب توصية إنفاذ واحدة بينما لا تزال المؤسسات المتأثرة مدينة للأشخاص بإخطار واضح وبينما لا يزال المشغلون بحاجة إلى تحسين الاحتفاظ.

هذا الإغلاق الطبقي مهم. مساءلة منتج البائع، ومساءلة مشغل العميل، ومساءلة مراقب البيانات تعمل على ساعات مختلفة. يحتاج الجمهور إلى معرفة أي ساعة تتم مناقشتها. "Progress قامت بالتصحيح" ليس "جميع المشغلين قاموا بالتنظيف." "لا توصية إنفاذ من هيئة الأوراق المالية والبورصات" ليس "لا ضرر على العميل." "تم إرسال إشعار" ليس "تم إصلاح الاحتفاظ." الوظيفة المركزية للمقال هي الحفاظ على عدم طمس هذه العبارات.

تحتاج أنظمة النقل إلى انضباط في الاحتفاظ

أهم درس غير متعلق بالتصحيح هو الاحتفاظ. غالبًا ما يُعالج نقل الملفات المُدار كقناة آمنة، لكن في الممارسة العملية يمكن أن تصبح مجلدات النقل مستودعات. تبقى الملفات لأن الحذف غير مريح، لأنه لا أحد يملك مهمة التنظيف، لأن التكامل يحتاج إلى إعادة محاولة، لأن المدققين يريدون التاريخ، لأن الأطراف المقابلة تنسى، أو لأن النظام يُستخدم بهدوء كتخزين. هذا الانحراف يحول ثغرة نقل إلى فشل في تقليل البيانات.

يجب أن يُبنى انضباط الاحتفاظ في المنتج والعملية. يجب أن يكون للملفات صلاحية افتراضية. يجب أن تكون الاستثناءات صريحة. يجب مراجعة مجلدات النقل الحساسة. يجب أن تحتفظ السجلات بأدلة كافية دون الاحتفاظ بالحمولات لفترة أطول من اللازم. يجب أن تحدد العقود قواعد الحذف وإرجاع البيانات. يجب أن يعرف مراقبو البيانات ما إذا كان الموردون يحتفظون بنسخ النقل. يجب أن يكون المشغلون قادرين على الإجابة، في غضون ساعات، عن فئات البيانات التي كانت موجودة خلال نافذة الاختراق.

تقرير الخصوصية في نوفا سكوشا يُظهر لماذا هذا ليس نظريًا. حدد قضايا حوكمة خصوصية محلية وتوصيات بعد حادثة MOVEit. قد لا يكون لدى المؤسسات الأخرى نفس النتائج، لكن كل مؤسسة يمكن أن تتعلم من النمط. كانت ثغرة المنتج هي المحفز؛ البيانات المحتجزة حددت نصف قطر الانفجار.

يحتاج التشفير أيضًا إلى تأطير دقيق. تشفير الملفات قبل النقل يمكن أن يقلل التعرض، ولكن فقط إذا لم تكن المفاتيح قابلة للوصول من خلال نفس المسار المخترق ولا تزال عملية الأعمال قادرة على العمل. تشفير النقل لا يساعد إذا وصل المهاجمون إلى النص العادي المخزن بعد التحميل. الترميز والتقليل والضوابط على مستوى الحقل قد تقلل الضرر، ولكن فقط عندما تُصمم في سير العمل. منتج النقل لا يجعل البيانات آمنة تلقائيًا لمجرد أنه منتج يركز على الأمان.

معيار المساءلة بالتالي ممل ودقيق: اعرف الملفات، قلل الملفات، انته صلاحية الملفات، سجل الوصول، اختبر الحذف، وتدرب على مسار الإخطار. في منتج حدود الثقة، الضوابط المملة هي الفرق بين استغلال محصور وإفشاء جماعي.

يحتاج العملاء إلى أدلة، وليس فقط النشرات

أثناء الحادثة، احتاج العملاء إلى معرفة ما إذا كانوا معرضين، وما إذا كانوا ثغرة، وما إذا كانوا مستغلين، وما إذا كانت البيانات مسروقة، وما إذا كانت التصحيحات كاملة، وما إذا كانت الثغرات اللاحقة تؤثر عليهم. يمكن للنشرات تقديم تعليمات عامة. لا يزال العملاء بحاجة إلى أدلة خاصة بالبيئة. قد تأتي تلك الأدلة من السجلات، والملفات، وفحوص قشرة الويب، وسجلات الشبكة، ودعم البائع، والأدلة الجنائية لطرف ثالث، أو فرق مراجعة البيانات.

يمكن للبائع المساعدة من خلال جعل مسار الأدلة واضحًا. ما السجلات المهمة؟ أين توجد المؤشرات؟ أي الإصدارات تحتاج أي تصحيحات؟ أي القطع الأثرية تشير إلى الاختراق؟ أي التخفيفات مؤقتة؟ كيف يجب على العملاء معالجة النشرات السحابية مقابل المحلية؟ ما هو معروف وغير معروف عن الاستغلال؟ أي الثغرات اللاحقة لها استغلال ملاحظ وأيها لا؟ حاولت أسئلة وأجوبة Progress وتحديثاتها الإجابة على بعض هذه الأسئلة. سؤال المساءلة هو ما إذا كان العملاء قادرين على تشغيل تلك الإجابات بالسرعة الكافية.

يمكن للعملاء مساعدة أنفسهم من خلال الاستعداد قبل الأزمة. يجب عليهم الحفاظ على جرد حالي لأنظمة النقل، وحالة التعرض، والإصدار، والمالك، وفئات البيانات، وقواعد الاحتفاظ، والأطراف المقابلة، والاحتفاظ بالسجلات. يجب عليهم تحديد من يمكنه إيقاف نظام النقل، ومن يخطر الأطراف المقابلة، ومن يراجع الملفات، ومن يتعامل مع الإخطار، ومن ينسق مع جهات إنفاذ القانون أو الهيئات التنظيمية. يجب عليهم اختبار ما إذا كان الجرد دقيقًا.

يجب أن تحدد عقود الموردين أيضًا واجبات الأدلة. يجب أن يعرف المقاول الذي يدير MOVEit لوكالة عامة مدى السرعة التي يجب أن يخطر بها الوكالة، وما السجلات التي يجب أن يقدمها، وكيف سيتم مراجعة نطاق البيانات، ومن يدفع ثمن الإخطار، وكيف سيتم إدارة الاحتفاظ. بدون تلك الشروط، يصبح الاستجابة للحوادث مفاوضة بينما ينتظر الأشخاص المتأثرون.

أظهرت حلقة MOVEit أن البنية التحتية لمشاركة البيانات يمكن أن تصبح مسار فشل مشترك عبر مؤسسات غير مرتبطة. هذا ليس سببًا للتخلي عن النقل المُدار. إنه سبب لحوكمته كحد عالي المخاطر. كلما كان وعد المنتج أقوى، كانت التزامات الأدلة أقوى عندما يفشل.

الدرس الدائم هو إثبات الحدود

سؤال المساءلة النهائي هو ما إذا كان يمكن إثبات الحدود. قبل الحادثة، تعاملت العديد من المؤسسات مع MOVEit كموقع موثوق لنقل الملفات الحساسة. بعد الحادثة، كان لا بد من إعادة بناء الثقة من الأدلة: حالة التصحيح، والسجلات، والمؤشرات، وقوائم الملفات، وجداول الاحتفاظ، والإخطارات، وإجراءات العلاج. لم تعد الثقة ادعاء منتج. أصبحت مسار تدقيق.

بالنسبة لـ Progress، سجل الإصلاح الدائم هو مراجعة التطوير الآمن، والنشرات الواضحة، وجودة التصحيح، وإرشادات العملاء، وميزات المنتج التي تجعل التشغيل الأكثر أمانًا أسهل. بالنسبة للمشغلين، هو الجرد، وقدرة التصحيح الطارئ، وإدارة التعرض، والتسجيل، وانضباط الاحتفاظ، وتقييم الاختراق، والإخطار المتلقي. بالنسبة لمراقبي البيانات، هو معرفة أين تتحرك الملفات الحساسة وضمان احتفاظ العقود بالرؤية. بالنسبة للأشخاص المتأثرين، هو تلقي إخطار دقيق وفي الوقت المناسب ومفهوم عندما تعبر بياناتهم حدًا مخترقًا.

لا يمكن لأي طرف بمفرده إصلاح النظام البيئي بأكمله. لكن يمكن لكل طرف التوقف عن الاختباء خلف الآخرين. لا يمكن للبائع أن يقول فقط إن على العملاء التصحيح عندما يكون المنتج مصممًا للنقل الحساس. لا يمكن للمشغل أن يقول فقط إن البائع كان به عيب عندما احتفظ المشغل بالبيانات وكشف الخدمة. لا يمكن لمراقب البيانات أن يقول فقط إن مقاولًا تعامل مع الملف عندما يكون الأشخاص المتأثرون يثقون في برنامج المراقب. المساءلة هي انضباط ربط تلك الحقائق الجزئية.

ينتمي MOVEit إلى سجل المخاطر والمساءلة لأنه يكشف كيف تعمل مشاركة البيانات الحديثة. تتحرك المعلومات الحساسة عبر أدوات متخصصة، بين المؤسسات، بموجب عقود لا يراها الناس أبدًا، وعبر أنظمة قد تُدار بعيدًا عن الفرد الذي توجد بياناته داخل الملف. عندما يفشل حد النقل، يحتاج الجمهور إلى أكثر من عناوين التصحيح. يحتاج إلى دليل على ما عبر، ومن علم، ومن أخطَر، وما تغير، ولماذا يجب الوثوق بحد النقل التالي.

تتطلب تسلسلات الإخطار سلسلة أدلة خاصة بها

أنتجت حادثة MOVEit العديد من الإخطارات العامة لأن علاقات البيانات كانت متعددة الطبقات. كشف بائع المنتج عن ثغرة. قام المشغلون بتقييم الخوادم. أخطَر المقاولون العملاء. أخطَرت الوكالات العامة وأنظمة التقاعد السكان المتأثرين. تلقى الأفراد رسائل من مؤسسات قد لا تكون قد شغلت منتج النقل مباشرة. يمكن أن يكون تسلسل الإخطار هذا مشروعًا، لكنه يخلق مشكلة مساءلة ثانية: كل إخطار يعتمد على أدلة من طرف آخر.

تقرير الحادث العام لنوفا سكوشا مفيد لأنه يظهر كيف كان على مشغل واحد إعادة بناء تسلسل زمني، وتحديد الوصول إلى الملفات، والتصحيح، والإغلاق، والاستئناف، والإبلاغ. يضيف تقرير التحقيق اللاحق لمفوض خصوصية نوفا سكوشا طبقة مختلفة من خلال فحص حوكمة الخصوصية وجودة الاستجابة. هذان المستندان معًا يظهران أن الإخطار ليس مجرد دمج بريدي، بل هو سلسلة أدلة.

يظهر نفس النمط في السجلات المتأثرة الأخرى. صفحة حادث بيانات مدارس مدينة نيويورك العامة أخبرت العائلات والموظفين بما فهمته الإدارة عن الملفات المنسوخة وفئات البيانات. إشعار CMS بأنها تستجيب لخرق بيانات في مقاول يظهر كيف يمكن أن يتأثر برنامج فيدرالي من خلال استخدام المقاول. إشعار خرق الطرف الثالث من CalPERS يظهر نسخة المعاش وسلسلة التوريد من نفس المشكلة. كان على كل مؤسسة ترجمة الأدلة من المستوى الأعلى إلى واجب إخطار لسكانها.

يمكن أن تفشل تلك الترجمة بطرق دقيقة. قد يعرف المقاول أن الخادم قد استُغل لكنه لا يعرف بعد أي ملفات العملاء تم نسخها. قد يعرف مراقب البيانات اسم ملف لكن لا يعرف السكان الكاملين داخل الملف. قد يعرف البائع أن ثغرة قد استُغلت لكنه لا يرى سجلات عميل محلي. قد تتلقى هيئة تنظيمية إخطارًا أوليًا قبل أن يكون عدد الأشخاص المتأثرين مستقرًا. كل تسليم يخلق عدم يقين.

يجب أن يتطلب معيار الإصلاح بالتالي سلسلة أدلة إخطار. لكل سير عمل نقل حساس، يجب أن يعرف المشغل من يملك البيانات، ومن يجب إخطاره، وما السجلات التي تثبت الوصول، وما الملفات التي تتطابق مع أي سكان، ومن يراجع المحتويات، ومن يوافق على الإخطار النهائي. يجب التدرب على السلسلة قبل الحادثة. إذا كانت المرة الأولى التي ترسم فيها وكالة عامة ملفات MOVEit الخاصة بها للأفراد المتأثرين هي بعد استغلال جماعي، فإن نظام النقل لم يُحكم كحد عالي المخاطر.

يمكن أن يقلل تصميم المنتج من كمية البقايا

أقوى إصلاح لنظام النقل ليس التصحيح الأسرع فقط، بل كمية أقل من البقايا ليتمكن المهاجمون من سرقتها. يمكن لمنتج نقل الملفات المُدار دعم ذلك من خلال ميزات المنتج والإعدادات الافتراضية: انتهاء صلاحية الملفات تلقائيًا، وملكية مجلد واضحة، وتحذيرات الاحتفاظ، وسجلات تدقيق قابلة للبحث، وضوابط تشفير، وتنبيهات على سلوك التنزيل غير المعتاد، ولوحات إدارة تظهر الملفات الحساسة القديمة. لا يزال يتعين على المشغلين تكوين واستخدام تلك الميزات، لكن تصميم المنتج يمكن أن يجعل التشغيل الأكثر أمانًا هو المسار الأسهل.

ملاحظات إصدار Progress لـMOVEit Transfer 2023والقضايا الثابتة في 2023هي سجلات التصحيح والإصدار، وليست تدقيقًا كاملاً لتصميم المنتج. لكنها لا تزال تشير إلى توقع أوسع: بعد استغلال كبير، يجب على العملاء النظر ليس فقط في التحديث الأمني المحدد ولكن في تغييرات المنتج التي تجعل سوء الاستخدام المستقبلي أقل ضررًا. يجب أن يساعد منتج النقل العملاء على فهم ما لا يزال موجودًا في مساحة النقل.

يحتاج المشغلون أيضًا إلى مقاييس البقايا. كم عدد الملفات الأقدم من حاجة العمل التي لا تزال في مجلدات النقل؟ كم عددها يحتوي على بيانات منظمة؟ كم عددها مملوكة لمشاريع سابقة أو موظفين راحلين؟ أي الأطراف المقابلة لا يزال بإمكانها استرجاعها؟ أيها مشفرة عند السكون لكنها قابلة للقراءة من خلال التطبيق؟ أيها لم يتم تنزيلها أبدًا؟ أيها تم تنزيلها بشكل غير معتاد؟ هذه أسئلة عادية، لكنها تحدد نصف قطر الانفجار.

تحليلات التعرض من Censys،MOVEit TransferوMOVEit: تحليل صناعة، تشرح التعرض من الخارج. مقاييس البقايا تشرح التعرض من الداخل. كلاهما مطلوب. يمكن أن يكون الخادم مواجهًا للإنترنت وفارغًا، وهو لا يزال خطر تصحيح لكنه ليس حدث إفشاء بيانات. خادم آخر يمكن أن يكون مصححًا متأخرًا ويحتوي على سنوات من الملفات الحساسة، والذي يصبح أكثر خطورة بكثير. يجب أن يلتقي المسح الخارجي وجرد الملفات الداخلي.

شراكة المنتج والمشغل المسؤولة هي بالتالي مباشرة. يجب على البائع توفير ضوابط تجعل الملفات الحساسة القديمة مرئية وقابلة للتخفيف. يجب على المشغل تعيين إعدادات افتراضية تزيل الملفات فورًا ما لم تكن هناك حاجة موثقة. يجب على مراقبي البيانات منع مجلدات النقل من أن تصبح أرشيفات ما لم تكن قصة الاحتفاظ والحماية واضحة. الهدف ليس فقط منع الاستغلال التالي، ولكن جعل الاستغلال التالي أصغر.

يجب أن تسعر المشتريات الأدلة والتنظيف

غالبًا ما تشتري المؤسسات النقل المُدار من أجل الموثوقية والأمان والراحة. تظهر حادثة MOVEit أن المشتريات يجب أن تسعر أيضًا الأدلة والتنظيف. يجب على المشتري أن يسأل ما إذا كان المنتج يمكنه إنتاج سجلات مفيدة، وما إذا كانت تلك السجلات تدوم لفترة كافية، وما إذا كان البائع يمكنه دعم الطب الشرعي الطارئ، وما إذا كانت ضوابط الاحتفاظ سهلة التنفيذ، وما إذا كان الدعم يمكنه التمييز بين مسؤوليات السحابة المستضافة والإدارة الذاتية في أزمة.

للوكلاء العامين، هذه ليست أوراقًا. قد يضطر نظام مدرسي أو صندوق معاشات أو برنامج صحي أو مقاول إلى إخطار مئات الآلاف من الأشخاص. إذا كان نظام النقل لا يمكنه تحديد أي الملفات تم الوصول إليها بسرعة وماذا يحتوي كل ملف، تصبح عملية الإخطار العام أبطأ وأكثر تكلفة. يمكن أن تُطغى التوفيرات من سير عمل نقل مريح على مراجعة الملفات اليدوية بعد الاختراق.

يجب أن تنص العقود على واجبات الأدلة. ما مدى سرعة إخطار المشغل لمراقب البيانات بعد الاشتباه في الاستغلال؟ ما السجلات وقوائم الملفات التي يجب تسليمها؟ من يدفع ثمن المراجعة؟ من يحافظ على الأدلة؟ من يتواصل مع البائع؟ ماذا يحدث إذا استخدم مقاول منتج نقل دون إخبار مالك البيانات؟ ما قواعد الاحتفاظ التي تنطبق على البيانات بعد النقل؟ شروط العقد هذه ليست زينة قانونية. إنها تعليمات العمل للأزمة القادمة.

طلب بيان ثغرة MOVEit من هيئة السلوك المالي في المملكة المتحدة من الشركات المنظمة فهم التعرض المباشر والتعرض من طرف ثالث. يجب أن يُبنى هذا التوقع في المشتريات قبل ظهور ثغرة. لا يمكن لشركة فهم التعرض من طرف ثالث إذا كانت عقودها وجردها لا يكشفان أين تتحرك الملفات.

الدرس النهائي للمشتريات هو أن النقل الموثوق هو نتيجة خدمة، وليس علامة منتج. يمكن لمنتج أن يُصمم للنقل الآمن بينما يستخدمه العميل كتخزين غير مُدار. يمكن لمقاول تشغيل مثيل مصحح مع الاحتفاظ بكمية كبيرة من البيانات. يمكن للبائع إصدار نشرات بينما يفتقر المشتري إلى الجرد. يجب على المشتري شراء وإدارة سلسلة الأدلة بأكملها، لأن هذا ما سيحتاجه الأشخاص المتأثرون عندما يفشل الحد.

يجب ألا تسوي أدلة النطاق الواجبات المحلية

ساعدت الإحصائيات العامة الواسعة القراء على فهم حجم حملة MOVEit، لكنها يمكن أيضًا أن تسوي واجبات المشغلين الفرديين. التحليل العام من Emsisoft جمع المؤسسات المعروفة والأفراد المتأثرين من الإخطارات العامة والإيداعات والإفصاحات والادعاءات الإجرامية. إشارة النطاق تلك مفيدة لأنها تظهر أن الحادثة لم تكن معزولة. لا ينبغي أن تصبح بديلاً للمساءلة المحلية.

لا يزال لدى كل مؤسسة في الإحصاء أسئلتها الخاصة للإجابة. أي خادم تأثر؟ هل تم إدارة المثيل داخليًا أم من قبل مورد؟ أي ملفات تم نسخها؟ أي حقول بيانات كانت داخلها؟ هل كانت الملفات لا تزال مطلوبة؟ أي هيئة تنظيمية أو طرف تعاقدي يجب إخطاره؟ أي الأفراد المتأثرين يحتاجون إلى حماية الهوية أو دعم آخر؟ لا يمكن لإحصاء عالمي الإجابة على تلك الأسئلة المحلية.

يمكن أن تحجب أدلة النطاق الوقت أيضًا. بعض المؤسسات أبلغت بسرعة؛ احتاجت أخرى شهورًا لمراجعة الملفات وتحديد الأشخاص. قد يعكس الإخطار المتأخر بطئًا غير مسؤول، أو تعقيدًا حقيقيًا في مراجعة البيانات، أو تأخيرًا في تسليم المورد، أو حذرًا قانونيًا. لا يمكن للجمهور افتراض سبب واحد دون دليل. لكن المشغل الناضج يمكن أن يقلل هذا التأخير قبل الحادثة التالية من خلال الحفاظ على جرد ملفات وقواعد احتفاظ وخرائط مالكي البيانات محدثة.

يجب أن يجمع أقوى تقرير عام بعد استغلال جماعي بالتالي بين وجهين. الأول هو وجه الحملة: نشرة البائع، تنبيه الحكومة، مؤشرات الاستغلال، قياس التعرض، تقديرات السكان المتأثرين الواسعة. الثاني هو الوجه المحلي: تسلسل زمني محدد للمشغل، ونطاق البيانات، وأساس الإخطار، ودروس الاحتفاظ، والعلاج. علم MOVEit أن كلا الوجهين ضروريان. نطاق الحملة يشرح لماذا كانت القضية مهمة؛ الأدلة المحلية تشرح من كان مسؤولًا عن كل شخص متأثر.

يجب على إشراف المجلس أن يطلب أدلة الحدود

درس المجلس من MOVEit ليس أن يصبح المديرون مهندسي نقل ملفات. بل أن يطلبوا من الإدارة أدلة حول الحدود التي تحمل البيانات الحساسة. يمكن للجنة مخاطر المجلس طرح أسئلة بسيطة وملموسة: أي أنظمة النقل المُدارة مواجهة للإنترنت، ومن يملكها، وأي فئات بيانات حساسة تمر عبرها، وكم من الوقت تبقى الملفات، وأي موردين يشغلونها، وأي سجلات تثبت الوصول، ومدى السرعة التي يمكن للمؤسسة تحديد السكان المتأثرين بعد اختراق. تلك الأسئلة هي أسئلة حوكمة عادية بمجرد فهم أنظمة النقل كحدود ثقة.

يجب أن تصل نفس الأسئلة إلى المشتريات والتدقيق الداخلي. يمكن للمشتريات أن تطلب من البائعين ومقدمي الخدمات المُدارة وصف توقيت التصحيح، والإخطار الطارئ، وتسليم السجلات، وحذف البيانات، والأدلة الخاصة بالعميل. يمكن للتدقيق الداخلي أخذ عينات لمعرفة ما إذا كانت مجلدات النقل تتبع بالفعل قواعد الاحتفاظ وما إذا كان مالكو الأنظمة يمكنهم إنتاج جرد ملفات. يمكن لفرق الأمن اختبار ما إذا كانت مسوح التعرض وتنبيهات الثغرات وخطط الاستجابة للحوادث تغطي بيئة النقل. يمكن لفرق الخصوصية رسم أي القوانين أو العقود تنطبق عندما تعبر الملفات الحدود.

لا يحتاج هذا الدليل إلى أن يكون مسرحيًا. يمكن أن يكون جردًا حاليًا، وتقرير احتفاظ، وتمرين طاولة حديث، وشرط إخطار مورد، وعينة من سجل الوصول، وقائمة من الاستثناءات غير المحلولة. المهم هو أن المؤسسة يمكنها إثبات أن الحدود محكومة قبل أن يختبرها المهاجمون. أظهر MOVEit أن منتج نقل موثوق يمكن أن يصبح مسار تعرض مشترك بسرعة كبيرة. لذلك يجب على المجالس معاملة النقل الموثوق كبنية تحتية، وليس سباكة مكتبية.

السؤال النهائي لأي مؤسسة تستخدم نقل الملفات المُدار هو ما إذا كان يمكنها الإجابة على قلق أساسي لشخص متأثر دون أسابيع من إعادة البناء: هل كانت بياناتي في النظام، هل تم نسخها، لماذا كانت لا تزال هناك، من سيطر عليها، من تلقاها أيضًا، وما الذي تغير بعد الحادثة؟ إذا كانت تلك الإجابات تتطلب ارتجالًا، فإن الحدود ليست مسؤولة بعد.

هذا الدليل المحلي هو أيضًا ما يسمح للمجالس بتمييز مهمة تصحيح مكتملة من إصلاح ثقة مكتمل.