ملخص
- تحول حادث NVIDIA السيبراني لعام 2022 من اختراق للشركة إلى قضية ثقة برمجية عندما ربطت التقارير العامة بين المواد المسروقة، ومزاعم التعرض للشفرة المصدرية، وإساءة استخدام شهادات توقيع الكود الخاصة بـ NVIDIA.
- من كان يملك السيطرة العملية على عهدة الشفرة المصدرية، وإلغاء الشهادات، وثقة التعريفات الموقعة، وإشعار المطورين، ومراقبة إساءة استخدام البرمجيات الخبيثة، وإثبات أن مواد التوقيع المسربة لم تكن قادرة على خلق مخاطر برمجية لاحقة؟
- تكمن قضية المساءلة في أن الثقة البرمجية تمتد أبعد من الشركة المخترقة عندما يمكن إعادة استخدام أو إساءة استخدام الشهادات والتعريفات والشفرة المصدرية والنظم البيئية للمطورين بعد الكشف عنها.
- احتاج مستخدمو GPU والمطورون والمؤسسات وموزعو التعريفات وبائعو أمن النقاط الطرفية واللاعبون ومشغلو السحابة وفرق المشتريات إلى دليل على أن إصلاح الثقة البرمجية قد طال الشهادات والثنائيات ومراقبة الإساءة.
- تتعامل المقالة مع بيانات الشركة كدليل على ما أبلغت عنه NVIDIA علنًا، وتقارير بائعي الأمن والصحافة كدليل على السياق العام الملاحظ، ومواد المعايير كمعيار للإصلاح وليس كإثبات بأثر رجعي لحقائق خاصة.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
جعلت NVIDIA من التعرض للشفرة المصدرية والشهادات اختبارًا لمساءلة الثقة البرمجية لأن الحدث العام لم يكن مجرد قصة اختراق. لقد كان اختبارًا لكيفية قيام شركة تورد التعريفات وأدوات المطورين والمسرعات وبرامج الألعاب ومكونات البنية التحتية السحابية واعتماديات الحوسبة بالذكاء الاصطناعي بمساءلة الثقة عندما يدعي المهاجمون الوصول إلى مواد داخلية. اعترفت NVIDIA علنًا بحادث سيبراني في عام 2022 وقالت إنها أصبحت على علم بحادث أمني سيبراني يؤثر على موارد تقنية المعلومات، واتخذت خطوات لتقييم طبيعة ونطاق الحادث، وكانت على علم بأن الفاعل التهديدي قد سرق بيانات اعتماد الموظفين ومعلومات مملوكة. يُعد إشعار الشركة علىhttps://nvidia.custhelp.com/app/answers/detail/a_id/5320مفيدًا لأنه يخلق حدًا عامًا مؤرخًا: لم تترك NVIDIA الحدث بالكامل للشائعات. لكن هذا الإشعار لم يستطع بمفرده الإجابة عن كل أسئلة الثقة اللاحقة الناتجة عن تسريب الشفرة، أو إساءة استخدام الشهادات، أو محاولات العملاء التمييز بين البرامج المتضررة وغير المتضررة.
سؤال المساءلة المركزي هو سؤال عملي: من كان يملك السيطرة العملية على عهدة الشفرة المصدرية، وإلغاء الشهادات، وثقة التعريفات الموقعة، وإشعار المطورين، ومراقبة إساءة استخدام البرمجيات الخبيثة، وإثبات أن مواد التوقيع المسربة لم تكن قادرة على خلق مخاطر برمجية لاحقة؟ هذا السؤال يتجنب إطار اللوم الضيق. إنه يسأل كيف يثبت مورد البرمجيات أن الضرر لا يستمر في الانتقال بعد احتواء الاختراق الأصلي. الخطر لا يقتصر على الملفات المسروقة. إنه يشمل الثقة في الثنائيات، وسلاسل التحديث، وافتراضات المطورين، واكتشافات أمن النقاط الطرفية، وقرارات المشتريات، والنموذج الذهني الذي يستخدمه العملاء عند تقرير ما إذا كان يجب الوثوق بقطعة أثرية موقعة من NVIDIA.
تنتمي هذه القضية أيضًا إلى هذا الملف لأن الأنشطة المرتبطة بـ Lapsus$ أظهرت كيف يمكن للابتزاز العلني واختراق الهوية وسرقة البيانات والضغط السمعة أن تنهار الترتيب المعتاد للاستجابة للحوادث. يصف تحليل Microsoft لـ DEV-0537 علىhttps://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/نموذج مجموعة مبني على سرقة البيانات والابتزاز والتواصل العام غير المعتاد. تقدم صفحة مجلس مراجعة السلامة السيبرانية علىhttps://www.cisa.gov/resources-tools/groups/cyber-safety-review-board-csrbالإطار المؤسسي لمراجعة هذا النمط. في تلك البيئة، الشركة المخترقة ليست المتحدث الوحيد. المهاجمون ينشرون ادعاءات، وبائعو الأمن ينشرون اكتشافات، والصحفيون ينشرون جداول زمنية، والعملاء يشاركون مخاوفهم، والمدافعون يجب أن يتصرفوا قبل أن يكتمل الملف الجنائي العام.
لهذا السبب تحتاج مساءلة الثقة البرمجية إلى سجل أقوى من إشعار حادث عادي. تحتاج إلى ربط عهدة المصدر، وحالة الشهادة، وتوزيع التعريفات، ومراقبة البرمجيات الخبيثة، وإرشادات العملاء. يجب أن توضح أي الشهادات كانت متورطة، وكيف تم إلغاء الثقة أو تقييدها، وأي أنظمة تشغيل أو منتجات أمنية ستعامل التوقيعات، وكم من الوقت بقي الإساءة ممكنة. كما يجب أن تحدد ما لا يمكن للسجل العام إثباته. لا ينبغي لمقال عام حريص أن يدعي الوصول إلى سجلات NVIDIA الخاصة أو بيانات التنبيه الكاملة للبرمجيات الخبيثة اللاحقة. بل يجب أن ينص على فجوة المساءلة: عندما يمكن إعادة استخدام أساسيات الثقة خارج الشركة، يجب أن يكون الإصلاح مرئيًا خارج الشركة أيضًا.
عهدة الشفرة المصدرية هي عنصر تحكم في النظام البيئي، وليست مجرد تصنيف أصول داخلية
عبارة "الشفرة المصدرية" قد تبدو وكأنها فئة أصول للشركة، لكنها في سلسلة توريد البرمجيات هي أيضًا عنصر تحكم في النظام البيئي. قد تكشف الشفرة المصدرية تفاصيل التنفيذ، وافتراضات البناء، ومسارات الاختبار، وواجهات برمجة التطبيقات الخاصة، وممارسات التوقيع أو النشر، أو معلومات قابلة للاستغلال. ساعدت التقارير العامة من The Verge علىhttps://www.theverge.com/2022/3/1/22957577/nvidia-hack-proprietary-information-leaked-hackers-lapsusو BleepingComputer علىhttps://www.bleepingcomputer.com/news/security/nvidia-confirms-data-was-stolen-in-recent-cyberattack/في نقل حدث NVIDIA إلى هذا السياق الأوسع. يجب التعامل مع هذه التقارير كتسلسل زمني وسياق عام، وليس كدليل مستقل على كل مسار ملف داخلي أو استنتاج جنائي. قيمتها في المساءلة هي أنها تظهر ما كان يُطلب من العملاء والمدافعين تقييمه أثناء مناقشة الحادث علنًا.
تهم عهدة الشفرة المصدرية لأن العملاء غالبًا ما يثقون بمنتج البائع دون الحاجة لرؤية المصدر. هذه علاقة برمجية طبيعية. المستخدم لا يتحقق من كل سطر تعريف، والمؤسسة لا تدقق كل مستودع داخلي. هذا الترتيب القائم على الثقة لا يعمل إلا إذا استطاع البائع أن يشرح، بعد حادث، ما إذا كانت المواد المسروقة أو المكشوفة تغير من خطر الاستغلال المستقبلي، أو التحديثات المزيفة، أو اكتشاف الأخطاء، أو إعادة الاستخدام الخبيث. في قضية NVIDIA، أصبح سؤال المساءلة العامة هو ما إذا كان يمكن ترجمة ضوابط العهدة الداخلية إلى أدلة خارجية يمكن للمدافعين استخدامها.
الاستجابة العامة الضعيفة تعتبر التعرض للشفرة المصدرية مشكلة سمعة. الاستجابة الأقوى تعتبره سؤال تحكم. أي المستودعات تأثرت؟ أي أسرار بناء تم فصلها عن المصدر؟ أي مفاتيح توقيع كانت محمية بضوابط مادية؟ أي بيانات اعتماد تم تدويرها؟ أي فئات من الأخطاء أصبحت أكثر إلحاحًا لأن المهاجمين قد يدرسون الشفرة؟ أي شركاء من المطورين احتاجوا إشعارًا؟ أي بيئات العملاء كانت تحوي ضوابط تعويضية؟ السجل العام لا يجيب عن كل هذه الأسئلة، ولا ينبغي له. النقطة هي أن كل سؤال يسمي مالك تحكم وشكلًا من أشكال الدليل.
هذا التمييز يهم فرق تكنولوجيا المعلومات والمشتريات وأمن المؤسسات. فريق المشتريات لا يحتاج إلى تفريغ للحقائق الجنائية الخاصة. يحتاج إلى أدلة منظمة كافية ليقرر ما إذا كان البائع لا يزال ضمن مستوى مقبول من المخاطر. فريق أمن النقاط الطرفية يحتاج إلى مؤشرات، وبصمات شهادات، ومنطق كشف، وفكرة عما إذا كانت إساءة استخدام البرمجيات الخبيثة الموقعة حدثًا منعزلاً أم قناة مستمرة. فريق المطورين يحتاج إلى معرفة ما إذا كانت حزم SDK والتعريفات والعينات أو الوثائق تتطلب افتراضات متغيرة. مشغل السحابة يحتاج إلى معرفة ما إذا كان توزيع تعريفات GPU وصيانة الصور يتطلبان مراجعة طارئة.
لذلك تنتمي عهدة الشفرة المصدرية إلى نفس إطار المساءلة كإدارة الثغرات وحماية الهوية. يمكن للشركة أن تقول إن الأنظمة تم تأمينها، لكن واجب الإثبات العام أضيق وأصعب: أظهر كيف تم تقييد فشل العهدة، وكيف تم جعل المواد المكشوفة أقل فائدة، وكيف يمكن للعملاء التعرف على الإساءة اللاحقة. بدون ذلك، ينتقل العبء إلى كل مستخدم في النظام البيئي، وكل منهم لديه أدلة أقل من المورد.
شهادات توقيع الكود جعلت واجب الإصلاح خارجيًا
أهم حدود للثقة في هذه القضية لم تكن فقط ما إذا كانت الملفات قد غادرت NVIDIA. بل كانت ما إذا كانت مواد الثقة المسروقة أو المكشوفة قادرة على جعل الملفات الخبيثة تبدو أكثر شرعية للآلات والبشر. وصف تقرير BleepingComputer علىhttps://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/برمجيات خبيثة تستخدم شهادات توقيع الكود الخاصة بـ NVIDIA بعد الحادث. هذا التقرير العام ليس بديلاً عن جرد الشهادات الداخلي لـ NVIDIA، لكنه يوضح مشكلة المساءلة بوضوح: إساءة استخدام الشهادات تخلق خطرًا في أنظمة ربما لم تتصل أبدًا بالشبكة المخترقة.
توقيع الكود يهدف للإجابة عن سؤال عملي: هل أتى هذا الثنائي من الموقع، وهل تم تعديله منذ التوقيع؟ عندما تسرق شهادة موثوقة أو تسرب أو يساء استخدامها أو لا تقيد بشكل كاف، يصبح هذا السؤال غير مستقر. قد يرى المدافعون توقيعًا صالحًا ويعطونه ثقة أكثر مما يستحقه الملف. قد يُطلب من المستخدمين أن برنامج تشغيل أو أداة تبدو موقعة وبالتالي مألوفة. قد تحتاج منتجات الأمن لتقرير ما إذا كانت ستنبه على ثنائي موقع. قد تحتاج أنظمة التشغيل إلى تحديثات إلغاء أو سمعة. كل من هذه القرارات يعتمد على أدلة تسافر أبعد من الشركة المخترقة.
صفحة MITRE ATT&CK حول تقويض ضوابط الثقة من خلال توقيع الكود علىhttps://attack.mitre.org/techniques/T1553/002/تقدم مفردات تحكم مفيدة. هي لا تثبت ما حدث داخل NVIDIA. تشرح لمَ تهم فئة الإساءة هذه: يمكن للخصوم استخدام توقيع الكود لتجاوز افتراضات الثقة. المفردات الأوسع لمعايير سلسلة توريد البرمجيات علىhttps://slsa.dev/وصفحة إطار تطوير البرمجيات الآمن لـ NIST علىhttps://csrc.nist.gov/Projects/ssdfمفيدة أيضًا لأنها تحول الإصلاح إلى سؤال قابل للقياس. لا يمكن لشركة أن تقول ببساطة أن مشكلة الشهادة أغلقت. يجب أن تكون قادرة على إظهار كيف يتم حماية سلطة التوقيع، وتسجيلها، وتدويرها، وإلغاؤها، ومراقبتها.
مساءلة الشهادات صعبة بشكل خاص لأن الإلغاء ليس مثل إزالة الخطر فورًا. الأنظمة القديمة قد لا تتحقق من الإلغاء بشكل موثوق. البرمجيات الخبيثة قد تنتشر في شكل مؤرش. أدوات الكشف قد تختلف في كيفية تعاملها مع التوقيعات المنتهية الصلاحية أو الملغاة أو المؤرخة. المهاجمون قد يستخدمون شهادة ليس لتجاوز كل تحكم ولكن لتجاوز ما يكفي من الفلاتر الأولية للحصول على فرصة للمرحلة الثانية. لذلك يحتاج سجل إصلاح عملي إلى تضمين معرفات الشهادات، وحالة الإلغاء، والتواريخ الفعالة، وتداعيات الطوابع الزمنية، وإرشادات الكشف، وبيان واضح حول ما يجب أن يعامله العملاء كمريب.
بالنسبة لـ NVIDIA، كان السؤال العام هو ما إذا كان إصلاح الثقة البرمجية قد وصل إلى كل الأماكن التي يمكن أن تستهلك فيها الثقة: مستخدمو التعريفات، ومديرو المؤسسات، وبائعو النقاط الطرفية، ومنصات الألعاب، وصور السحابة، وأجهزة المطورين، والموزعين اللاحقين. الجواب لا يجب أن يكون مثاليًا ليكون مفيدًا، لكن يجب أن يكون أكثر دقة من "تم احتواء الحادث". الاحتواء داخل الشركة هو جزء واحد فقط من إصلاح الشهادات. الجزء اللاحق هو إثبات أن الأنظمة خارج الشركة لم تعد تقبل الإشارة المخترقة بدون تدقيق إضافي.
ثقة التعريفات تحول البرمجيات الاستهلاكية إلى أدلة بنية تحتية
تعريفات NVIDIA تقع في موقع غير عادي. هي برمجيات استهلاكية للاعبين، وأدوات مهنية للمبدعين، واعتماديات بنية تحتية للذكاء الاصطناعي والحوسبة عالية الأداء، ومكونات تشغيلية في بيئات السحابة والمؤسسات. لذلك لا يمكن قراءة قضية توقيع التعريفات فقط كمشكلة نقطة طرفية للمستهلك. قد يكون التعريف محملاً مسبقًا في صورة آلة، أو مرحليًا في مستودع برمجيات المؤسسة، أو موزعًا عبر قناة مصنع أصلي، أو مثبتًا للتوافق، أو منشورًا عبر أساطيل GPU حيث تكون نوافذ الصيانة مكلفة. هذا النطاق العملي يغير معيار المساءلة.
عندما يتم الإبلاغ عن إساءة استخدام الشهادات، فإن النصيحة العادية بتحديث البرمجيات ضرورية لكنها غير كافية. يحتاج المستخدم إلى معرفة ما الذي يبتعد عنه بالتحديث. تحتاج المؤسسة إلى معرفة أي تجزئات، وأسماء موقعة، وأرقام مسلسلة للشهادات، وأسماء ملفات ذات صلة. يحتاج مشغل السحابة إلى معرفة ما إذا كان يجب إعادة بناء الصور الأساسية أو حاويات التعريفات. يحتاج بائع النقاط الطرفية إلى معرفة ما إذا كان ينبغي الإبلاغ عن عينة موقعة. يحتاج البائع إلى التنسيق مع شركاء النظام البيئي حتى تصل الأدلة الدفاعية إلى الأماكن التي قد تثق فيها بالقطعة الأثرية الموقعة.
مادة شهادة تطوير البرمجيات الآمنة للحكومة الأمريكية علىhttps://www.cisa.gov/resources-tools/resources/secure-software-development-attestation-formوإطار الأمن السيبراني لـ NIST علىhttps://www.nist.gov/cyberframeworkمفيدة هنا ليس لأنها تحكم في حادثة NVIDIA، ولكن لأنها تظهر نوع أدلة التحكم التي يُتوقع من المنظمات الناضجة الحفاظ عليها بشكل متزايد. الهوية، الوصول، التكوين، التسجيل، إدارة الثغرات، أمن سلسلة التوريد، والاستعادة جميعها تصبح جزءًا من نفس السؤال العام عندما يكون المنتج مكونًا موثوقًا به في أنظمة الآخرين.
ثقة التعريفات لها أيضًا بعد زمني. يمكن للمهاجمين الاستفادة من القطع الأثرية القديمة بعد أن ينتقل الاهتمام العام. الشهادة المسربة قد تلغى، لكن العينات الموقعة قبل تاريخ القطع قد تستمر في الظهور. تسريب الشفرة المصدرية قد لا ينتج استغلالاً فوريًا، لكنه قد يؤثر على أبحاث الثغرات اللاحقة أو أدوات الخصم. قد تدور الشركة بيانات الاعتماد بسرعة، لكن المطورين قد يحتفظون برموز قديمة في أنظمة البناء أو الأجهزة المحلية. المساءلة يجب أن تتبع هذا الذيل الطويل.
لهذا السبب يجب مراجعة قضية NVIDIA كمشكلة إصلاح لسلسلة توريد البرمجيات، وليس فقط كمشكلة إفصاح عن الاختراق. يجب أن يعرف الجمهور أي مسارات الثقة تأثرت، وأيها لم تتأثر، وكيف تم تأسيس هذا التمييز. إذا لم تستطع الشركة الكشف عن بعض التفاصيل لأسباب أمنية، فلا يزال بإمكانها نشر أدلة محدودة: فئات الأصول التي روجعت، إجراءات الشهادات التي اتخذت، قنوات التنسيق الخارجي المستخدمة، وإجراءات العملاء الموصى بها. الصمت قد يحمي بعض التفاصيل، لكنه يجبر العملاء أيضًا على اختراع نماذج مخاطرهم الخاصة.
غير Lapsus$ بيئة الإفصاح
حادثة NVIDIA لم تناقش في بيئة إفصاح هادئة. الأنشطة المرتبطة بـ Lapsus$ كانت علنية، واستعراضية، ومصممة لتطبيق الضغط. يصف بحث Microsoft عن DEV-0537 تكتيكات شملت الهندسة الاجتماعية، واستهداف الهوية، وسرقة البيانات، وسلوك الابتزاز العام. توجيه Microsoft اللاحق علىhttps://www.microsoft.com/en-us/security/blog/2022/08/22/defending-against-dev-0537-attacks/مفيد لأنه يحول سرد المجموعة إلى مواضيع دفاعية: تقوية الهوية، والمصادقة متعددة العوامل، وضوابط مكتب المساعدة، ومراقبة النشاط غير المعتاد. الأثر على المساءلة هو أن الشركة المتأثرة بمثل هذه المجموعة يجب أن تدير الإصلاح التقني وسلامة الأدلة العامة.
في بيئة الابتزاز العلني، قد ينشر المهاجمون ادعاءات قبل أن تستطيع الشركة إكمال مراجعة جنائية. بعض الادعاءات قد تكون صحيحة، وبعضها مبالغ، وبعضها مصمم لخلق ضغط سوقي أو على العملاء. يجب على الشركة المسؤولة تجنب تأكيد الروايات التي يختارها المهاجم بدون دليل، لكنها أيضًا لا تستطيع ترك العملاء بدون معلومات قابلة للتنفيذ. هذا التوتر يخلق معيارًا للإفصاح: قل ما هو معروف، قل ما يتم التحقيق فيه، قل ما يجب على العملاء فعله الآن، وقل متى سيقلل التحديث التالي من عدم اليقين.
هذا المعيار مهم بشكل خاص لأسئلة الشفرة المصدرية والشهادات لأن الأطراف الخارجية يمكنها ملاحظة شظايا. باحثو الأمن يمكنهم رؤية عينات. الصحفيون يمكنهم رؤية الادعاءات العامة. العملاء يمكنهم رؤية ملفات مريبة. بائعو النقاط الطرفية يمكنهم رؤية بيانات التنبيه. إذا كان بيان الشركة عامًا جدًا، ستصبح تلك الشظايا السجل العام افتراضيًا. عندها تفقد المنظمة الفرصة لوضع حدود أدلة حول ما هو مؤكد، وما هو محتمل، وما يبقى غير مؤكد.
سجل Lapsus$ يجعل أيضًا مساءلة الهوية جزءًا من قضية NVIDIA. أبلغ BleepingComputer عن التعرض لبيانات اعتماد الموظفين علىhttps://www.bleepingcomputer.com/news/security/nvidia-data-breach-exposed-credentials-of-over-71-000-employees/. لا ينبغي تضخيم الإبلاغ عن بيانات الاعتماد إلى وصف كامل لضوابط الهوية الخاصة. لكنه يثير أسئلة عملية: كم سرعة تم إبطال بيانات الاعتماد المتأثرة، وما مسارات الوصول التي كانت تحكمها، وما هي أنظمة المطورين أو البناء التي كانت قابلة للوصول، وما هي المراقبة التي حددت محاولات إعادة الاستخدام؟ إذا كانت الهوية المخترقة يمكن أن تلمس مستودعات المصدر، أو أنظمة التوقيع، أو سجلات الحزم، أو منصات السحابة، يصبح الخط الفاصل بين تكنولوجيا المعلومات المؤسسية والثقة البرمجية رفيعًا.
لذلك يزيد الابتزاز العلني من الحاجة إلى ملف أدلة منضبط. لا ينبغي للشركة نشر سجلات خاصة. يجب أن تنشر ما يكفي من الأدلة المنظمة للمدافعين لفصل مسرح المهاجم عن إجراء العملاء. ملف الأدلة هذا هو شكل من أشكال المساءلة لأنه يقلل التكلفة التي تنتقل للعملاء والباحثين والبائعين اللاحقين الذين كانوا ليضطروا لحل مشكلة الثقة من الشظايا.
يجب أن يكون إشعار المطورين محددًا بما يكفي لتغيير السلوك
النظم البيئية للمطورين تحتاج إشعارًا مختلفًا عن العملاء العامين. اللاعب قد يحتاج معرفة ما إذا كان يجب تحديث تعريف وتجنب التنزيلات المريبة. المطور قد يحتاج معرفة ما إذا كانت حزم SDK، أو الشفرة النموذجية، أو نسخ المستودعات، أو نصوص البناء، أو اعتماديات الحزم، أو افتراضات التوقيع، أو ممارسات تخزين بيانات الاعتماد متورطة. فريق برمجيات المؤسسة قد يحتاج لفحص قوائم السماح وسياسات توقيع الكود. فريق السحابة قد يحتاج إعادة بناء صور GPU. فريق الأمن قد يحتاج إضافة منطق كشف للبرمجيات الخبيثة الموقعة باستخدام شهادات NVIDIA محددة. هذه إجراءات مختلفة، وبيان واحد واسع نادرًا ما يخدمها جميعًا.
الإشعار الجيد للمطورين يفعل ثلاثة أشياء. أولاً، يسمي كائن الثقة: شهادة، حزمة تعريف، مستودع مصدر، فئة بيانات اعتماد، أداة، واجهة برمجة تطبيقات، أو قناة توزيع. ثانيًا، يعطي قرارًا: تدوير، تحديث، حظر، مراقبة، إعادة بناء، تحقق، أو انتظار إشعار آخر. ثالثًا، يصف حدود الأدلة: مؤكد، ملاحظ في الواقع، محتمل لكن غير مؤكد، أو غير متأثر بناءً على مراجعة معلنة. قضية NVIDIA مهمة لأن النقاش العام تضمن عدة كائنات ثقة في آن واحد. بدون فصل واضح، قد يخلط القراء بين التعرض للشفرة المصدرية واختراق مفتاح التوقيع، أو بين بيانات اعتماد الموظفين واختراق بناء المنتج، أو بين إساءة استخدام الشهادات وبين كون كل ملف موقع من NVIDIA غير آمن.
أطر سلسلة توريد البرمجيات المستخدمة في هذه المقالة تساعد في توضيح هذا الفصل. يركز SLSA علىhttps://slsa.dev/على سلامة البناء والمصدر. يتناول NIST SSDF علىhttps://csrc.nist.gov/Projects/ssdfممارسات التطوير الآمن. يقدم OpenSSF Scorecard علىhttps://securityscorecards.dev/مفردات تقييم مشروع عام. تضيف ضوابط CIS الأمنية الحرجة علىhttps://www.cisecurity.org/controlsو MITRE ATT&CK علىhttps://attack.mitre.org/techniques/T1588/003/لغة تحكم وتقنيات خصم. لا يقول أي من هذه المصادر ما فعلته NVIDIA بشكل خاص. إنها تظهر ما يجب أن تغطيه الأدلة الناضجة عندما يكون التوقيع وعهدة المصدر وثقة المطورين على المحك.
التحديد يحمي الشركة أيضًا. إذا أعطى البائع تعليمات غامضة، قد يختار كل عميل التفسير الأكثر إزعاجًا. البعض سيحظر البرمجيات الشرعية. آخرون لن يفعلوا شيئًا. البعض سيقدم أسئلة للجهات التنظيمية. آخرون سيطلبون تأكيدات خاصة عبر قنوات المشتريات. إشعار عام محدد ودقيق يمكن أن يقلل هذا الاحتكاك بمواءمة الإجراء مع الدليل. يمكن أن يقول، مثلاً، أن معرفات شهادات معينة يجب أن تعامل كمريبة بعد تاريخ، أن قنوات التوزيع الرسمية تبقى المصدر الموثوق، أن بعض البنيات غير متأثرة، أو أن على المستخدمين مراجعة صفحة استشارية محددة للتحديثات.
اختبار المساءلة هو ما إذا كان الإشعار يغير السلوك الفعلي. إذا لم يستطع المطورون ترجمة الإشعار إلى مستودع، أو بناء، أو صورة، أو سياسة، أو قاعدة كشف، فإن الإشعار ناقص. تلك ليست مشكلة كتابة. إنها مشكلة تحكم، لأن المنظمة لم توصل الأدلة إلى النقطة التي يمكن للطرف المعتمد فيها تخفيض المخاطر.
إلغاء الشهادة ليس مثل استعادة الثقة
الإلغاء هو إجراء تحكم، لكن استعادة الثقة هي عملية أوسع. يمكن أن تلغى الشهادة ويبقى أسئلة حول التوقيعات المؤرخة، والبرمجيات الخبيثة المؤرشفة، وسمعة النقطة الطرفية، وتغطية الكشف، وتوعية المستخدم. يمكن للشركة تدوير مواد التوقيع ومع ذلك تحتاج لشرح ما إذا كانت المواد القديمة استخدمت لتوقيع ملفات خبيثة. بائعو الأمن يمكنهم الإبلاغ عن عينات ويحتاجون مع ذلك سياقًا عامًا أفضل ليقرروا ما إذا كان على العميل حظر كل الملفات الموقعة تحت شهادة معينة أم فقط التجزئات الخبيثة المعروفة. تقع قضية NVIDIA تمامًا في هذه الفجوة.
يجب أن يكون التسلسل العملي مرئيًا. أولاً، تحديد الشهادات المتورطة أو قطع أثرية التوقيع. ثانيًا، تنسيق الإلغاء مع سلطات الشهادات وبائعي المنصات. ثالثًا، نشر معرفات يمكن للمدافعين استخدامها. رابعًا، مراقبة استمرار الإساءة. خامسًا، شرح كيفية حماية مواد التوقيع الجديدة. سادسًا، تحديث السجل العام إذا غيرت إساءة لاحقة الخطر. كل خطوة لها مالك مختلف ومصدر دليل مختلف. قد يحدد فريق الاختراق المشكلة؛ سلطة الشهادات قد تنشر الإلغاء؛ بائعو أنظمة التشغيل والنقاط الطرفية قد يوزعون تغييرات الثقة؛ العملاء قد يطبقون تحديثات قوائم السماح؛ الباحثون قد يستمرون في إيجاد عينات.
لهذا "إثبات أن مواد التوقيع المسربة لا يمكنها الاستمرار في خلق مخاطر برمجية لاحقة" هو قلب سؤال البيان. الإثبات لا يمكن أن يكون جملة واحدة. إنه سلسلة أدلة. إذا كان المهاجم يملك شهادة لكنه لا يستطيع استخدامها بعد الإلغاء، فلا يزال ذلك يحتاج تأكيدًا ملاحظًا. إذا وقع المهاجمون برمجيات خبيثة قبل الإلغاء، يحتاج المدافعون مؤشرات. إذا انتهت صلاحية شهادة قبل الاختراق لكنها بقيت مقبولة في بعض السياقات، يجب على الشركة شرح الخطر المتبقي. إذا جعلت حماية المنصة الإساءة أقل فعالية، يحتاج القراء معرفة أي المنصات والإصدارات.
صفحة توقيع الكود على ATT&CKhttps://attack.mitre.org/techniques/T1553/002/وإطار الأمن السيبراني لـ NISThttps://www.nist.gov/cyberframeworkتساعد في إظهار لمَ هذا ليس قلقًا خاصًا بـ NVIDIA فقط. يعتمد العديد من البائعين على التوقيع لجعل توزيع البرمجيات قابلاً للإدارة. درس المساءلة هو أن أنظمة التوقيع تحتاج خطط طوارئ قبل أن يساء استخدامها. يجب أن تشمل هذه الخطط قوالب اتصال عامة، وجرد شهادات، واعتماديات إلغاء، وشراكات مراقبة إساءة الاستخدام، ولغة كشف للعملاء.
لذلك لا يمكن قياس استعادة الثقة بثقة الشركة وحدها. تقاس بما إذا كانت الأطراف اللاحقة تستطيع التوقف عن معاملة الإشارة المخترقة كدليل كاف على السلامة. إذا استطاع العميل التمييز بين البرمجيات الرسمية الحالية وإعادة الاستخدام الخبيث الموقع، فإن الإصلاح يصبح عمليًا. إذا لم يستطع، فإن تكلفة الحادث لا تزال تنتقل للخارج.
تحتاج فرق المشتريات إلى سجل مختلف عن المستجيبين للحوادث
المستجيبون للحوادث يريدون مؤشرات، وجداول زمنية، وإجراءات احتواء، ودليلًا على إزالة المهاجم. فرق المشتريات تريد معرفة ما إذا كانت بيئة تحكم البائع لا تزال تدعم الاعتماد المستمر. مجالس الإدارة تريد معرفة ما إذا كانت الإدارة قبلت خطرًا متبقيًا بوعي. مشغلو السحابة يريدون التأثير التشغيلي. الجهات التنظيمية قد تريد فئات الإشعارات والتواريخ. هذه الجماهير تتداخل لكنها لا تحتاج نفس مستوى التفاصيل التقنية. قضية NVIDIA توضح لمَ يجب أن يكون لحادث الثقة البرمجية أدلة عامة متدرجة.
بالنسبة للمشتريات، القضية الرئيسية ليست ما إذا كانت NVIDIA فريدة في خطورتها. بل هي ما إذا كان بإمكان مورد يحتل موقعًا حرجًا في تسريع الأجهزة، والتعريفات، والنظم البيئية للمطورين ترجمة اقتحام إلى أدلة تحكم موثوقة. ملفات الشركة العامة، المتاحة عبرhttps://www.sec.gov/edgar/browse/?CIK=1045810، تساعد في تأطير اعتماد الأعمال وبيئة الخطر، لكن الملفات عادةً أعم من أن تكون خاصة بإصلاح حادث. ملف المشتريات يحتاج الطبقة التشغيلية: ما تغير بعد الحدث، كيف تحكم مواد التوقيع، كيف تقيد صلاحيات المطورين، كيف تراقب مستودعات المصدر، وكيف يتم إشعار العملاء إذا أسيء استخدام قطعة أثرية ثقة.
بالنسبة لمجالس الإدارة، القضية هي الفرق بين حادث سيبراني وحادث ثقة. حادث سيبراني يمكن احتواؤه داخل تكنولوجيا المعلومات. حادث الثقة قد يغير كيفية تفسير العملاء للبرمجيات الموقعة، والتحديثات، وتأكيدات البائع. يجب على مجالس الإدارة أن تسأل ما إذا كانت الشركة لديها جرد كامل لشهادات التوقيع، وما إذا كانت سلطة الإلغاء قد اختبرت، وما إذا كانت طرق الإشعار الخارجي موافق عليها مسبقًا، وما إذا كانت مستودعات المصدر مقسمة، وما إذا كانت هويات المطورين لديها ضوابط قوية، وما إذا كان ملف الأدلة العامة يطابق ما عرفه قادة الأمن داخليًا.
بالنسبة لمشغلي السحابة وفرق البنية التحتية للمؤسسات، السؤال هو الإصلاح التشغيلي. هل أعيد بناء صور GPU؟ هل فحصت مستودعات التعريفات؟ هل حدثت سياسات ثقة الشهادات؟ هل تحقق من مصادر الحزم الرسمية؟ هل تم ضبط تنبيهات النقاط الطرفية بحيث لا يتم تجاهل البرمجيات الخبيثة الموقعة؟ الجواب قد يختلف باختلاف المنظمة، لكن أدلة NVIDIA العامة يمكن أن تجعل هذه المهام اللاحقة أسهل أو أصعب.
هذا النموذج المتدرج للأدلة مهم لأن التواصل الغامض يخلق استفسارات خاصة غير ضرورية. كل عميل كبير قد يطلب بيانًا مخصصًا. كل بائع تجزئة قد يطلب تأكيده الخاص. كل لجنة مخاطر داخلية قد تخترع شدة مختلفة. سجل عام أقوى يقلل هذا الاحتكاك. لا يلغي العناية الواجبة الخاصة بالعميل، لكنه يعطي الجميع نقطة انطلاق مشتركة قائمة على التواريخ، والأصول، والضوابط، وعدم اليقين المتبقي.
يجب أن تبقى مراقبة الإساءة مرئية بعد تلاشي العناوين الرئيسية
حوادث الشهادات والشفرة المصدرية لها ذيل طويل. العنوان الرئيسي العام يتلاشى، لكن المهاجمين قد يستمرون في اختبار ما إذا كانت التوقيعات القديمة، أو الشفرة المسربة، أو بيانات الاعتماد المكشوفة لا تزال تنتج ميزة. لهذا السبب تعتبر مراقبة الإساءة جزءًا من المساءلة، وليس فقط جزءًا من عمليات الأمن الداخلية. الشركة التي تكتشف إساءة استخدام الشهادات يجب أن تكون قادرة على شرح كيف تراقب التكرار، وكيف تتلقى تقارير من بائعي الأمن، وكيف تحدث المؤشرات، وكيف تخبر العملاء عندما يتغير الخطر.
قضية NVIDIA تجعل هذا مرئيًا لأن السجل العام تضمن كلاً من الحادث السيبراني الأصلي وتقارير لاحقة عن برمجيات خبيثة تستخدم شهادات NVIDIA المسروقة. هذه وقائع متصلة ولكنها ليست متطابقة. سجل حريص يجب أن يقول متى علمت الشركة بكل منها، وما الإجراءات التي تلت، وما يجب أن يفعله المدافعون. إذا لاحظت أطراف ثالثة إساءة استخدام الشهادات قبل أن تنشر الشركة التفاصيل، يمكن للشركة أن تنشر مذكرة مصالحة: ما تأكد، وما تم تخفيفه مسبقًا، وما بقي قيد المراجعة، وما يجب أن يعامله العملاء كمريب.
مراقبة الإساءة تؤثر أيضًا على ثقة المطورين. إذا جعلت الشفرة المصدرية المسربة اكتشاف الثغرات أسهل، يجب أن يكون لدى البائع عملية لتحديد أولويات تقارير الأخطاء، ومراقبة أحاديث الاستغلال، ومراجعة الأسرار المجاورة للشفرة، وتوصيل التصحيحات. هذا لا يعني أن كل ثغرة مستقبلية في NVIDIA يمكن أن تنسب لحادث 2022. يعني أن التعرض للمصدر يغير نموذج الخطر حتى تظهر الشركة لمَ لا يغير.
أطر التحكم الحكومية والصناعية مفيدة لأنها تمنع هذا من أن يصبح جدالاً ارتجاليًا. ضوابط CIS علىhttps://www.cisecurity.org/controlsتشمل الجرد، والتحكم في الوصول، وإدارة الثغرات، والتسجيل، وأفكار الاستجابة للحوادث التي تنطبق بشكل نظيف على هذه القضية. يربط NIST SSDF و SLSA التطوير الآمن مع سلامة القطع الأثرية. يربط ATT&CK تقنيات الخصم بتوقعات المدافعين. هذه الأطر لا تتطلب من الشركة نشر الأسرار. تتطلب من الشركة تنظيم الأدلة بطريقة يمكن للآخرين فهمها.
يجب أن يكون الجمهور متشككًا من لغة الإغلاق التي لا تشمل المراقبة. إلغاء واحد أو تصحيح واحد لا يثبت أن المهاجمين توقفوا عن إساءة استخدام الثقة. السؤال المفيد هو ما إذا كانت المنظمة لديها حلقة تغذية مرتدة من الاكتشافات الخارجية إلى إرشادات العملاء. في نظام بيئي برمجي، هذه الحلقة هي جزء من سطح الثقة للمنتج.
المعايير تحول الإصلاح إلى أدلة، لكنها لا تكتب الأدلة نيابة عن الشركة
تستخدم هذه المقالة مواد المعايير بحذر. توفر NIST و CISA و CIS و SLSA و OpenSSF و MITRE لغة تحكم. هي لا تثبت ما حدث داخل NVIDIA، ولا تقرر المسؤولية. قيمتها هي أنها تمنع النقاش العام من البقاء على مستوى الانطباعات. مفردات معيارية تتيح للقراء سؤال ما إذا كانت سلطة التوقيع محمية، وما إذا كان مصدر البناء مضبوطًا، وما إذا كانت بيانات الاعتماد مدورة، وما إذا كانت السجلات دعمت التحقيق، وما إذا كان العملاء تلقوا إشعارات قابلة للتنفيذ، وما إذا كانت مراقبة ما بعد الحادث أغلقت الحلقة.
نموذج شهادة تطوير البرمجيات الآمنة علىhttps://www.cisa.gov/resources-tools/resources/secure-software-development-attestation-formذو صلة خاصة كإشارة سياسة. يعكس تحولاً أوسع نحو معاملة موردي البرمجيات كمؤسسات حاملة للأدلة. بالنسبة لشركة مثل NVIDIA، التي تدعم منتجاتها البنية التحتية الاستهلاكية والمؤسسية والسحابية والذكاء الاصطناعي، فإن هذا التحول مهم. العملاء يحتاجون بشكل متزايد إلى تأكيد أن إنتاج البرمجيات ليس فقط مبتكرًا بل قابل للحوكمة بعد الاختراق.
تساعد المعايير أيضًا في فصل شكلين من المساءلة. الأول هو مساءلة الحادث: ما حدث، من تأثر، ما تم فعله، وما بقي غير معروف. الثاني هو مساءلة النظام: ما الضوابط التي يجب أن تكون موجودة حتى تكون الأحداث المماثلة أقل ضررًا في المرة القادمة. مقال عام يجب ألا يخلط بينهما. سيكون من غير العادل استخدام إطار لاحق كدليل على أن شركة فشلت في واجب سابق. من العدل استخدام الإطار لوصف ما هي الأدلة التي يجب أن يحتويها ملف إصلاح ناضج الآن.
بالنسبة لـ NVIDIA، ستشمل هذه الأدلة ضوابط مستودعات المصدر، وضوابط هويات المطورين، وجرد وحماية الشهادات، وممارسات سلامة البناء، وتأكيد قنوات التوزيع الرسمية، وشراكات مراقبة النقاط الطرفية والبرمجيات الخبيثة، وقواعد إشعار العملاء. النقطة ليست المطالبة بالإفصاح الكامل عن تفاصيل حساسة. النقطة هي المطالبة بما يكفي من الهيكل العام ليفهم العملاء الفرق بين التأكيد والإثبات.
لهذا السبب تتجنب المقالة معاملة المهاجم كالطرف المسؤول الوحيد. نشاط Lapsus$ أو DEV-0537 يفسر سلوك الخصم، لكن إصلاح الثقة البرمجية ينتمي للمؤسسة التي تملك سطح الثقة. البائع يمكن أن يكون ضحية جريمة ولا يزال عليه واجبات عامة تجاه المستخدمين اللاحقين. هذه الواجبات عملية: تقليل عدم اليقين، نشر مؤشرات قابلة للتنفيذ، تنسيق الإلغاء، وإظهار كيف يجب أن يستعيد النظام البيئي الثقة.
حدود الأدلة تهم بقدر الأدلة نفسها
يجب أن يقول سجل مساءلة موثوق ما يمكن لكل مصدر أن يثبته وما لا يمكن. إشعار NVIDIA نفسه يثبت ما قالته الشركة علنًا ومتى قالته. بحث Microsoft يثبت تقييم Microsoft العام لطرق DEV-0537 والإرشادات الدفاعية. تقدم BleepingComputer و The Verge و WIRED و KrebsOnSecurity التسلسل الزمني العام والتقارير والسياق. توفر MITRE و NIST و CISA و CIS و SLSA و OpenSSF لغة التحكم. لا يعطي أي من هذه المصادر للجمهور وصولاً كاملاً إلى سجلات NVIDIA الداخلية، أو جرد الشهادات، أو تقارير مجلس الإدارة، أو إصلاحات خاصة بالعملاء.
هذا الحد ليس ضعفًا. إنه ما يجعل التحليل مسؤولاً. المغالاة في الادعاء ستضر القراء بتحويل الشظايا العامة إلى يقين زائف. التقليل في الادعاء ستضر القراء أيضًا برفض استخلاص الدرس الحكومي الواضح. الحل الوسط الصحيح هو تسمية الحقائق العامة، وتحديد أسطح التحكم التي تتورط فيها، والحفاظ على الأسئلة غير المحلولة.
الأسئلة غير المحلولة في قضية NVIDIA تشمل مستودعات المصدر الداخلية الدقيقة التي تم الوصول إليها، التعامل الدقيق مع كل شهادة وقطعة أثرية توقيع، الجدول الزمني الكامل لإبطال بيانات الاعتماد، الانتشار اللاحق لعينات إساءة استخدام الشهادات، وقرارات الإصلاح الخاصة بالعملاء التي اتخذتها المؤسسات ومشغلو السحابة. الشركة قد يكون لديها إجابات خاصة قوية لبعض هذه الأسئلة. سجل المساءلة العامة يجب أن يميز بين "تمت الإجابة بشكل خاص"، و"تم التقرير بشكل عام"، و"تم استنتاجه من أدلة طرف ثالث"، و"غير معروف".
هذا التمييز مهم لأن سلاسل توريد البرمجيات تكافئ الثقة. العملاء يحتاجون للاستمرار في التشغيل. البائعون يحتاجون لتجنب الذعر غير الضروري. فرق الأمن تحتاج لتحديد الأولويات. لكن الثقة بدون دليل يمكن أن تصبح نقلاً آخر للمخاطر. إذا استمر العملاء في الوثوق بإشارة مخترقة لأن الملف العام غامض، فإنهم يتحملون تكاليف كان يمكن للمورد تخفيضها بأدلة أفضل.
الدرس على مستوى مجلس الإدارة هو أن التواصل العام ليس طبقة تجميلية. إنه جزء من نظام الإصلاح. لحظة ما تصبح شهادة، أو مستودع مصدر، أو تعريف موقع مشبوهًا، يشكل ملف الأدلة العامة السلوك اللاحق. إذا كان هذا الملف دقيقًا، يمكن للعملاء التصرف بشكل متناسب. إذا كان غامضًا، فإما أن يبالغ العملاء في رد الفعل، أو يتصرفوا بتقاعس، أو ينتظروا أطرافًا ثالثة لتعريف الخطر.
كيف ستبدو الأدلة الأفضل
تصميم أدلة عامة أقوى لـ NVIDIA سيبقي أربعة دفاتر متوائمة. الأول سيكون دفتر العهدة: مستودعات المصدر، فئات بيانات الاعتماد، أنظمة التوقيع، ومسارات وصول المطورين التي روجعت بعد الحادث. الثاني سيكون دفتر الشهادات: معرفات الشهادات، حالة الإلغاء، تداعيات الطوابع الزمنية، تنسيق المنصات، ومؤشرات الإساءة المعروفة. الثالث سيكون دفتر التوزيع: قنوات التعريفات والبرمجيات الرسمية، فحوصات سلامة الحزم، توصيات إعادة بناء الصور، وطرق إشعار الشركاء. الرابع سيكون دفتر المراقبة: التقارير الخارجية المستلمة، تتبع إساءة استخدام البرمجيات الخبيثة بالتوقيع، المؤشرات المحدثة، وتعديل إرشادات العملاء.
الشركة لن تحتاج لنشر تفاصيل داخلية حساسة لجعل هذا الهيكل مفيدًا. يمكنها نشر فئات، تواريخ، قرارات، وحدود. يمكنها القول أن أنظمة معينة روجعت بدون تسمية مستودعات خاصة. يمكنها تحديد أرقام مسلسلة للشهادات بدون كشف مفاتيح سرية. يمكنها وصف إجراءات العملاء بدون نشر تفاصيل الاستغلال. يمكنها القول أنه لا يوجد دليل على مسار إساءة معين، مع الحفاظ على تاريخ ونطاق ذلك التقييم.
هذا التصميم سيساعد كل جمهور متأثر. مستخدمو GPU سيعرفون أين يحصلون على تعريفات موثوقة. المطورون سيعرفون ما إذا كان يجب عليهم مراجعة افتراضات البناء. بائعو النقاط الطرفية سيعرفون أي التوقيعات والتجزئات يجب مراقبتها. المؤسسات ستعرف ما تسأل عنه في مراجعات مخاطر البائعين. مشغلو السحابة سيعرفون ما إذا كان يجب إعادة بناء الصور أو تغيير قوائم السماح. مجالس الإدارة ستعرف ما إذا كانت الإدارة قد ترجمت الحادث إلى تغييرات تحكم دائمة. الجهات التنظيمية سترى اتصالاً أوضح بين الإفصاح عن الحادث والإصلاح العام.
مقياس المساءلة ليس ما إذا كان السجل العام يزيل كل عدم يقين. لا يمكنه ذلك. المقياس هو ما إذا كان السجل يجعل عدم اليقين قابلاً للاستخدام. إذا كانت حقيقة غير معروفة، يجب على الشركة أن تقول أي قرار يعتمد عليها ومتى تتوقع أن تعرف أكثر. إذا كانت حقيقة معروفة لكنها حساسة، يجب أن تصف نتيجة التحكم. إذا غير تقرير طرف ثالث الصورة، يجب على الشركة مواءمته مع السجل العام السابق. هكذا يصبح إصلاح الثقة البرمجية أكثر من مجرد طمأنة سمعة.
ملف أدلة القارئ
تستخدم المقالة المصادر العامة التالية كملف قراءة لحادث NVIDIA Lapsus$، وتسريب الشفرة المصدرية، وإساءة استخدام شهادات توقيع الكود، وثقة التعريفات، وسجل مساءلة سلسلة توريد البرمجيات. يعامل كل مصدر بحدود: بيانات الشركة تثبت ما أبلغت عنه الشركة علنًا، مصادر الحكومة والمعايير تقدم لغة تحكم رسمية، أبحاث الأمن تشرح سلوك التهديد أو التقنيات، ومصادر الأخبار تقدم التسلسل الزمني العام والسياق المنقول.
- مصدر عام مستخدم لملف الأدلة:https://nvidia.custhelp.com/app/answers/detail/a_id/5320
- مصدر عام مستخدم لملف الأدلة:https://www.microsoft.com/en-us/security/blog/2022/08/22/defending-against-dev-0537-attacks/
- مصدر عام مستخدم لملف الأدلة:https://www.cisa.gov/resources-tools/groups/cyber-safety-review-board-csrb
- مصدر عام مستخدم لملف الأدلة:https://www.theverge.com/2022/3/1/22957577/nvidia-hack-proprietary-information-leaked-hackers-lapsus
- مصدر عام مستخدم لملف الأدلة:https://www.bleepingcomputer.com/news/security/nvidia-confirms-data-was-stolen-in-recent-cyberattack/
- مصدر عام مستخدم لملف الأدلة:https://www.bleepingcomputer.com/news/security/nvidia-data-breach-exposed-credentials-of-over-71-000-employees/
- مصدر عام مستخدم لملف الأدلة:https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/
- مصدر عام مستخدم لملف الأدلة:https://www.wired.com/story/lapsus-okta-hack-sitel-leak/
- مصدر عام مستخدم لملف الأدلة:https://krebsonsecurity.com/tag/dev-0537/
- مصدر عام مستخدم لملف الأدلة:https://www.sec.gov/edgar/browse/?CIK=1045810
- مصدر عام مستخدم لملف الأدلة:https://www.cisa.gov/resources-tools/resources/secure-software-development-attestation-form
- مصدر عام مستخدم لملف الأدلة:https://csrc.nist.gov/Projects/ssdf
- مصدر عام مستخدم لملف الأدلة:https://slsa.dev/
- مصدر عام مستخدم لملف الأدلة:https://securityscorecards.dev/
- مصدر عام مستخدم لملف الأدلة:https://www.cisecurity.org/controls
- مصدر عام مستخدم لملف الأدلة:https://www.nist.gov/cyberframework
- مصدر عام مستخدم لملف الأدلة:https://attack.mitre.org/techniques/T1553/002/
- مصدر عام مستخدم لملف الأدلة:https://attack.mitre.org/techniques/T1588/003/
- مصدر عام مستخدم لملف الأدلة:https://attack.mitre.org/techniques/T1072/
ملف الأدلة هذا أوسع بشكل متعمد من إشعار حادث واحد لأن التعرض للشفرة المصدرية والشهادات يمكن أن يخلق خطرًا لاحقًا بعد الإفصاح الأول. السجل العام يجب أن يدعم الأشخاص الذين يحتاجون إجراءات عملية، والمديرين الذين يحتاجون خطة إصلاح، وفرق الأمن التي تحتاج لغة كشف، والقراء الذين يحتاجون لمعرفة أي الادعاءات تبقى غير مؤكدة.
أسئلة مراجعة مجلس الإدارة
يجب أن تسأل مراجعة مجلس الإدارة ما إذا كانت عهدة NVIDIA للشفرة المصدرية وسلطة التوقيع ووصول المطورين وتوزيع التعريفات قد عوملت كضوابط متصلة. يجب أن تحدد المراجعة من كان يملك كل تحكم، وما الدليل الذي أظهر أن التحكم قد استعيد، وما الذي قيل للعملاء بينما كان الدليل لا يزال غير مكتمل.
يجب أن تسأل المراجعة أيضًا ما إذا كانت إساءة استخدام الشهادات قد تتبعت كمخاطرة لاحقة حية. هذا يعني الأرقام المسلسلة للشهادات، وحالة الإلغاء، وعينات البرمجيات الخبيثة الموقعة المعروفة، وتنسيق كشف النقاط الطرفية، وإرشادات العملاء المباشرة. يجب ألا يقبل مجلس الإدارة "لا يوجد تأثير مستمر" ما لم تستطع الإدارة إظهار الدليل وراء هذا البيان والتاريخ الذي تدعمه المراقبة حتى ذلك التاريخ.
يجب أن تسأل المراجعة ما إذا كان إشعار المطورين محددًا بما يكفي لتغيير السلوك. إذا لم يستطع العملاء ترجمة إشعار عام إلى تحديثات، أو إعادة بناء الصور، أو تغييرات قوائم السماح، أو تدوير بيانات الاعتماد، أو قواعد المراقبة، فإن الإشعار لم يحمل الدليل بعيدًا بما يكفي.
بالنسبة لهذه القضية بالذات، يجب على مجلس الإدارة الإجابة عن سؤال البيان مباشرة: من كان يملك السيطرة العملية على عهدة الشفرة المصدرية، وإلغاء الشهادات، وثقة التعريفات الموقعة، وإشعار المطورين، ومراقبة إساءة استخدام البرمجيات الخبيثة، وإثبات أن مواد التوقيع المسربة لم تكن قادرة على خلق مخاطر برمجية لاحقة؟ يجب أن يشمل الجواب أدلة مؤرخة، ومالكين مسمين، وجماهير متأثرة، وقرارات إشعار عام، والحقائق التي بقيت غير مثبتة عندما تم إنشاء السجل العام.

