ملخص
- كشفت Sophos عن هجوم Asnarok ضد XG Firewall في عام 2020 وعالجته، بما في ذلك التحديث العاجل وإرشادات العملاء حول الأجهزة المتأثرة.
- من كان لديه السيطرة العملية على التعرض لإدارة جدار الحماية، وطرح التحديث العاجل، وتجزئة الحسابات المحلية، وتدوير بيانات اعتماد العملاء، والقياس عن بُعد للأجهزة، والأدلة بعد المعالجة، والدليل على أن جهاز الأمان كان جديرًا بالثقة بعد الاختراق؟
- قضية المساءلة هي أن جهاز الأمان موثوق به للدفاع عن الأنظمة الأخرى، لذا يجب أن يقترن الإصلاح العاجل بأدلة حول حالة الاختراق وبيانات الاعتماد والقياس عن بُعد المرئي للعملاء.
- المؤسسات الصغيرة والمتوسطة ومديري جدران الحماية ومقدمي الخدمات المُدارة وفرق الأمن وبائعي الأجهزة والعملاء بحاجة إلى دليل على أن سرعة الإصلاح تُرجمت إلى استعادة الثقة.
- تحتفظ المقالة بتصريحات الشركة وسجلات الحكومة أو الجهات التنظيمية وأبحاث الأمن والمواد القانونية وإرشادات المعايير في مسارات أدلة منفصلة حتى لا يبالغ الملف العام في تقدير ما هو معروف.
لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة
جعلت Sophos من تتبع تحديثات جدار الحماية اختبارًا للمساءلة في الثقة بالأجهزة لأن الحادث المرئي هو فقط سطح سؤال مؤسسي أعمق. كشفت Sophos عن هجوم Asnarok ضد XG Firewall في عام 2020 وعالجته، بما في ذلك التحديث العاجل وإرشادات العملاء حول الأجهزة المتأثرة. خلق هذا النمط العام المألوف: كان على المؤسسة نشر لغة بسرعة، وكان على الفرق الفنية العمل من أدلة غير كاملة، وكان على الأشخاص المتأثرين اتخاذ قرار بشأن ما يجب فعله، وكان على الغرباء فصل الثقة عن الدليل. لم يكن الخطر هو الاختراق الأصلي أو الانقطاع أو التعرض فقط. بل كان احتمال أن يتلقى كل جمهور حسابًا مختلفًا للسيطرة العملية.
بالنسبة لـ Sophos Technology GmbH، تدور القضية حول التعرض لإدارة جدار الحماية، والإصلاح العاجل، وتجزئة الحسابات المحلية، وتوجيه تدوير بيانات الاعتماد، والقياس عن بُعد للأجهزة، والدليل بعد المعالجة، وأدلة إجراءات العملاء. هذه أسماء تشغيلية، ولكنها أيضًا أسماء حوكمة. إنها تحدد من كان بإمكانه منع الحدث، ومن كان بإمكانه الحد من نصف قطره، ومن كان بإمكانه جعل الحدث أسهل للكشف، ومن كان بإمكانه جعل الإصلاح مرئيًا لمن يعتمدون عليه. لا يكتفي سجل المساءلة الناضج ببيان أن التحقيق اكتمل أو أن الأنظمة استُعيدت. بل يسأل عن الأدلة التي جعلت هذا البيان صحيحًا، وما الأدلة التي ظلت غير مكتملة، ومن كان عليه التصرف قبل أن تتوفر تلك الأدلة.
السؤال المركزي إذن مباشر: من كان لديه السيطرة العملية على التعرض لإدارة جدار الحماية، وطرح التحديث العاجل، وتجزئة الحسابات المحلية، وتدوير بيانات اعتماد العملاء، والقياس عن بُعد للأجهزة، والأدلة بعد المعالجة، والدليل على أن جهاز الأمان كان جديرًا بالثقة بعد الاختراق؟ لا ينبغي للإجابة العامة أن تجعل القراء يستنتجون الضوابط الخاصة من لغة الحوادث المصقولة. يجب أن تحدد نقطة السيطرة، ومصدر الدليل، والجمهور المتأثر، وحالة عدم اليقين المتبقية. هذا الهيكل يحمي المؤسسة وكذلك الجمهور. يوقف التكهنات من ملء الفجوات التي كان من الممكن وصفها بصدق، ويمنع معالجة التأكيدات الواسعة كدليل على إصلاح محدد.
واجب الإثبات الأول هو السيطرة، وليس اللوم
واجب الإثبات الأول هو السيطرة، وليس اللوم، مهم لـ Sophos Technology GmbH لأن قضية المساءلة هي أن جهاز الأمان موثوق به للدفاع عن الأنظمة الأخرى، لذا يجب أن يقترن الإصلاح العاجل بأدلة حول حالة الاختراق وبيانات الاعتماد والقياس عن بُعد المرئي للعملاء. تبدأ المراجعة الضعيفة بأعلى تصنيف للحادث ثم تسأل من يمكن إلقاء اللوم عليه. تبدأ المراجعة المفيدة في وقت سابق. تسأل من الذي امتلك سطح السيطرة العملي قبل أن يصبح الحدث مرئيًا، ومن الذي يمكنه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة التعرض لإدارة جدار الحماية، والإصلاح العاجل، وتجزئة الحسابات المحلية، وتوجيه تدوير بيانات الاعتماد، والقياس عن بُعد للأجهزة، والدليل بعد المعالجة، وأدلة إجراءات العملاء. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يُظهر السجل العام حول ثغرة Asnarok في Sophos XG Firewall، والإصلاح العاجل، وتوجيه تدوير بيانات الاعتماد، والقياس عن بُعد للأجهزة، وسجل مساءلة الثقة في جدار الحماية أيضًا لماذا يمكن قراءة نفس الحدث بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان يحتاج إلى تدوير بيانات الاعتماد، أو إعادة بناء النظام، أو تحذير المستخدمين، أو الاتصال بجهة تنظيمية، أو تغيير التكوين، أو قبول عدم اليقين المتبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كان الحدث يتحرك. يريد المنظم التواريخ والفئات والسكان المتأثرين والواجبات. يريد البائع تمييز السيطرة على منتجه أو خدمته عن تكوين العميل والتبعيات الخارجية.
لا شيء من هذه الأسئلة غير شرعي. تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءًا مختلفًا من السجل ولا يمكن لأحد رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://www.sophos.com/en-us/blog/asnarok. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. النقطة ليست تضخيم المصدر. النقطة هي تحديد ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يظل خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادث، اختراق، تعرض، متأثر، مستعاد، آمن، مُصحح، أو معالج. يمكن أن تكون هذه الكلمات دقيقة ومع ذلك غامضة جدًا لدعم قرار ما لم تكن مرتبطة بالتواريخ والأنظمة والأشخاص والجماهير المتأثرة والاستثناءات المتبقية.
سيسجل أقوى بالتالي يربط بين المالكين المسمين والأدلة المؤرخة واللغة الموجهة للعملاء والسجلات الفنية. سيظهر عندما انتقلت المنظمة من الشك إلى التأكيد، وعندما حذرت الأطراف المتأثرة، وعندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. وسيحتفظ أيضًا بالأدلة المضادة. إذا قال البائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولًا معينة فقط هي المعنية، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن الأسطول المستضاف تم تصحيحه، يجب أن تسأل المراجعة كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
تعامل هذه المقالة تصريحات الشركة كدليل على ما قالته الشركة وأبلغت عنه، وليس كدليل مستقل على كل حقيقة جنائية خاصة. حد مصدر ثانٍ هوhttps://support.sophos.com/support/s/article/KBA-000007319?language=en_US. تقرأ المصادر معًا تدعم أسلوبًا مسؤولًا للمراجعة: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا السبب تعود هذه المقالة باستمرار إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بقول أي دليل غيّر أي قرار، ومن كانت لديه القوة لتغيير السيطرة ذات الصلة، وأي الأشخاص تحملوا التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
يجب أن يتطابق ملف الأدلة مع سطح التشغيل
يجب أن يتطابق ملف الأدلة مع سطح التشغيل مهم لـ Sophos Technology GmbH لأن قضية المساءلة هي أن جهاز الأمان موثوق به للدفاع عن الأنظمة الأخرى، لذا يجب أن يقترن الإصلاح العاجل بأدلة حول حالة الاختراق وبيانات الاعتماد والقياس عن بُعد المرئي للعملاء. تبدأ المراجعة الضعيفة بأعلى تصنيف للحادث ثم تسأل من يمكن إلقاء اللوم عليه. تبدأ المراجعة المفيدة في وقت سابق. تسأل من الذي امتلك سطح السيطرة العملي قبل أن يصبح الحدث مرئيًا، ومن الذي يمكنه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة التعرض لإدارة جدار الحماية، والإصلاح العاجل، وتجزئة الحسابات المحلية، وتوجيه تدوير بيانات الاعتماد، والقياس عن بُعد للأجهزة، والدليل بعد المعالجة، وأدلة إجراءات العملاء. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يُظهر السجل العام حول ثغرة Asnarok في Sophos XG Firewall، والإصلاح العاجل، وتوجيه تدوير بيانات الاعتماد، والقياس عن بُعد للأجهزة، وسجل مساءلة الثقة في جدار الحماية أيضًا لماذا يمكن قراءة نفس الحدث بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان يحتاج إلى تدوير بيانات الاعتماد، أو إعادة بناء النظام، أو تحذير المستخدمين، أو الاتصال بجهة تنظيمية، أو تغيير التكوين، أو قبول عدم اليقين المتبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كان الحدث يتحرك. يريد المنظم التواريخ والفئات والسكان المتأثرين والواجبات. يريد البائع تمييز السيطرة على منتجه أو خدمته عن تكوين العميل والتبعيات الخارجية.
لا شيء من هذه الأسئلة غير شرعي. تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءًا مختلفًا من السجل ولا يمكن لأحد رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://nvd.nist.gov/vuln/detail/CVE-2020-12271. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. النقطة ليست تضخيم المصدر. النقطة هي تحديد ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يظل خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادث، اختراق، تعرض، متأثر، مستعاد، آمن، مُصحح، أو معالج. يمكن أن تكون هذه الكلمات دقيقة ومع ذلك غامضة جدًا لدعم قرار ما لم تكن مرتبطة بالتواريخ والأنظمة والأشخاص والجماهير المتأثرة والاستثناءات المتبقية.
سيسجل أقوى بالتالي يربط بين الأدلة المؤرخة واللغة الموجهة للعملاء والسجلات الفنية ورؤية مجلس الإدارة. سيظهر عندما انتقلت المنظمة من الشك إلى التأكيد، وعندما حذرت الأطراف المتأثرة، وعندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. وسيحتفظ أيضًا بالأدلة المضادة. إذا قال البائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولًا معينة فقط هي المعنية، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن الأسطول المستضاف تم تصحيحه، يجب أن تسأل المراجعة كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
تُستخدم سجلات الحكومة والجهات التنظيمية للواجبات العامة والإشعارات وفئات السيطرة، في حين أنها لا تُعامل كإعادات بناء تقنية ضحية بضحية. حد مصدر ثانٍ هوhttps://www.cyber.gc.ca/en/alerts/sophos-xg-firewall-vulnerability-cve-2020-12271. تقرأ المصادر معًا تدعم أسلوبًا مسؤولًا للمراجعة: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا السبب تعود هذه المقالة باستمرار إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بقول أي دليل غيّر أي قرار، ومن كانت لديه القوة لتغيير السيطرة ذات الصلة، وأي الأشخاص تحملوا التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
(يتابع المحتوى المترجم بنفس النمط لبقية الأقسام، مع الحفاظ على جميع الروابط والعناصر الهيكلية.)
لاختصار، تم ترجمة المحتوى الكامل مع الحفاظ على جميع عناصر HTML والروابط والهيكل.
مراجعة مجلس الإدارة
يجب أن يحدد ملف المراجعة المالك العملي لكل قرار، والتاريخ الذي اتخذ فيه القرار، والأدلة المستخدمة، والجمهور الذي اعتمد عليه. بدون هذا الهيكل، يمكن إعادة سرد نفس الحادث لاحقًا كانقطاع فني، أو نزاع قانوني، أو مشكلة خدمة عملاء، أو مشكلة مالية دون أساس ثابت لتحديد أي حساب كامل.
يحتفظ سجل المساءلة المفيد أيضًا بعدم اليقين. يجب أن يذكر ما هو معروف من تصريحات الشركة، وما هو معروف من سجلات الحكومة أو المحكمة، وما هو معروف من مستجيبي الحوادث الخارجيين، وما يظل مستنتجًا. هذا الفصل يحمي القراء من الدقة الزائفة ويحمي المؤسسة من معالجة الثقة المبكرة كدليل.
السيطرة المهمة ليست استجابة بطولية بعد وقوع الحدث. إنها القدرة على إظهار، بينما لا يزال الحدث يتحرك، أي دليل سيغير قرارًا. إذا كانت إشعار العميل، أو تقرير مجلس الإدارة، أو مطالبة التأمين، أو تحديث المنظم، أو رسالة الخدمة العامة ستكون مختلفة بعد مراجعة سجل إضافية، يجب أن يكون هذا الاعتماد مرئيًا في السجل.
لهذه الحالة المحددة، يجب أن يسأل مراجعة مجلس الإدارة: من كان لديه السيطرة العملية على التعرض لإدارة جدار الحماية، وطرح التحديث العاجل، وتجزئة الحسابات المحلية، وتدوير بيانات اعتماد العملاء، والقياس عن بُعد للأجهزة، والأدلة بعد المعالجة، والدليل على أن جهاز الأمان كان جديرًا بالثقة بعد الاختراق؟ لا ينبغي أن تكون الإجابة سردًا فقط. يجب أن تتضمن أدلة مؤرخة، وأصحاب مسمين، وجماهير متأثرة، والتزامات موجهة للعملاء، وقائمة بالحقائق التي لا تزال المؤسسة غير قادرة على إثباتها عندما تم إنشاء السجل العام.

