ملخص
- استغلت موجة برمجية الفدية ESXiArgs في عام 2023 تعرض VMware ESXi القديم وأجبرت المشغلين على مواجهة كيف تصبح تصحيحات الهايبرفايزر القديمة فشلاً في الاستمرارية.
- من كان يملك السيطرة العملية على ديون تصحيح ESXi، والتعرض لـ OpenSLP، والإصدارات غير المدعومة، وعزل النسخ الاحتياطية، ونصوص الاسترداد، واستعادة الأجهزة الافتراضية، والدليل على أن استرداد الهايبرفايزر أعاد استمرارية الأعمال بدلاً من فك تشفير الملفات فقط؟
- قضية المساءلة هي أن الهايبرفايزر يركز العديد من الخدمات خلف قرار صيانة واحد، لذا يجب قياس ديون التصحيح وأدلة التعافي كضوابط لاستمرارية الأعمال.
- المؤسسات، مزودو الاستضافة، المشغلون الصغار، المستجيبون للحوادث، العملاء، ومخططو الاستمرارية كانوا بحاجة إلى دليل على أن استرداد الهايبرفايزر عالج التعرض والنسخ الاحتياطية وتسلسل الاستعادة معًا.
- يحتفظ المقال ببيانات الشركات، وسجلات الحكومة أو الهيئات التنظيمية، والأبحاث الأمنية، والمواد القانونية، وإرشادات المعايير في مسارات أدلة منفصلة حتى لا يبالغ الملف العام في ما هو معروف.
لماذا تنتمي هذه الحالة إلى ملف المخاطر والمساءلة
جعلت VMware من ديون تصحيح ESXi اختباراً للمساءلة حول استمرارية الهايبرفايزر لأن الحادثة المرئية ليست سوى سطح سؤال مؤسسي أعمق. استغلت موجة فدية ESXiArgs في 2023 تعرض VMware ESXi القديم وأجبرت المشغلين على مواجهة كيف تصبح تصحيحات الهايبرفايزر القديمة فشلاً في الاستمرارية. أنشأ هذا المحفز نمطاً عاماً مألوفاً: كان على المؤسسة أن تنشر لغة بسرعة، وكان على الفرق الفنية العمل من أدلة غير مكتملة، وكان على الأشخاص المتأثرين أن يقرروا ما يفعلونه، وكان على الغير فصل الثقة عن الدليل. لم يكن الخطر هو الاختراق الأصلي أو الانقطاع أو التعرض فقط. بل كان احتمال أن يتلقى كل جمهور حساباً مختلفاً للسيطرة العملية.
بالنسبة لشركة VMware International Unlimited Company، تدور القضية حول ديون تصحيح ESXi القديمة، والتعرض لـ OpenSLP، وموجة الفدية، واسترداد الهايبرفايزر، وعزل النسخ الاحتياطية، والإصدارات غير المدعومة، ونصوص الاسترداد، وأدلة الاستمرارية. هذه أسماء تشغيلية، لكنها أيضاً أسماء حوكمة. تسمي من كان بإمكانه منع الحدث، ومن كان بإمكانه تحديد نطاق الانفجار، ومن كان بإمكانه جعل الحدث أسهل للكشف، ومن كان بإمكانه جعل الإصلاح مرئياً لأولئك الذين اعتمدوا عليه. لا يكتفي سجل المساءلة الناضج ببيان أن التحقيق اكتمل أو أن الأنظمة تمت استعادتها. يسأل عن الدليل الذي جعل هذا البيان صحيحاً، وما الدليل الذي ظل غير مكتمل، ومن كان عليه التصرف قبل توفر هذا الدليل.
السؤال المركزي هو بالتالي مباشر: من كان يملك السيطرة العملية على ديون تصحيح ESXi، والتعرض لـ OpenSLP، والإصدارات غير المدعومة، وعزل النسخ الاحتياطية، ونصوص الاسترداد، واستعادة الأجهزة الافتراضية، والدليل على أن استرداد الهايبرفايزر أعاد استمرارية الأعمال بدلاً من فك تشفير الملفات فقط؟ لا ينبغي للإجابة العامة أن تطلب من القراء استنتاج ضوابط خاصة من لغة الحوادث المصقولة. يجب أن تحدد نقطة السيطرة، ومصدر الدليل، والجمهور المتأثر، وعدم اليقين المتبقي. هذا الهيكل يحمي المؤسسة وكذلك الجمهور. يوقف التكهنات من ملء الفجوات التي كان يمكن وصفها بصدق، ويمنع معالجة التأكيدات الواسعة كدليل على إصلاح محدد.
واجب الإثبات الأول هو السيطرة، ليس اللوم
واجب الإثبات الأول هو السيطرة، وليس اللوم، وهو أمر مهم لشركة VMware International Unlimited Company لأن قضية المساءلة هي أن الهايبرفايزر يركز العديد من الخدمات خلف قرار صيانة واحد، لذا يجب قياس ديون التصحيح وأدلة التعافي كضوابط لاستمرارية الأعمال. المراجعة الضعيفة تبدأ بأعلى تصنيف للحادثة ثم تسأل من يمكن إلقاء اللوم عليه. المراجعة المفيدة تبدأ مبكراً. تسأل من امتلك سطح السيطرة العملي قبل أن تصبح الحادثة مرئية، ومن كان بإمكانه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن كانت لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة هذا ديون تصحيح ESXi القديمة، والتعرض لـ OpenSLP، وموجة الفدية، واسترداد الهايبرفايزر، وعزل النسخ الاحتياطية، والإصدارات غير المدعومة، ونصوص الاسترداد، وأدلة الاستمرارية. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يظهر السجل العام حول حملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر أيضاً لماذا يمكن قراءة نفس الحادثة بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان بحاجة إلى تدوير بيانات الاعتماد، أو إعادة بناء نظام، أو تحذير المستخدمين، أو الاتصال بمنظم، أو تغيير تكوين، أو قبول عدم يقين متبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كانت الحادثة تتحرك. يريد المنظم تواريخ وفئات وسكان متأثرين وواجبات. يريد البائع تمييز سيطرته على منتجه أو خدمته عن تكوين العميل وتبعيات الطرف الثالث. none من هذه الأسئلة غير شرعية.
تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءاً مختلفاً من السجل ولا يمكن لأي شخص رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://www.vmware.com/security/advisories/VMSA-2021-0002.html. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. الهدف ليس تضخيم المصدر. الهدف هو توضيح ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يبقى خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادثة، اختراق، تعرض، تأثر، استعادة، آمن، تم التصحيح، أو تمت المعالجة. هذه الكلمات يمكن أن تكون دقيقة ولا تزال غامضة جداً لدعم قرار ما لم تكن مرتبطة بتواريخ وأنظمة وأشخاص وجماهير متأثرة واستثناءات متبقية.
لذا فإن سجلاً أقوى سيربط المالكين المسمين والأدلة المؤرخة واللغة الموجهة للعملاء والسجلات الفنية. سيظهر عندما انتقلت المؤسسة من الشك إلى التأكيد، عندما حذرت الأطراف المتأثرة، عندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. كما سيحافظ على الأدلة المضادة. إذا قال بائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولاً معينة فقط كانت متورطة، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن أسطولاً مستضافاً تم تصحيحه، يجب على المراجعة أن تسأل كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
يعالج هذا المقال بيانات الشركة كدليل على ما قالته الشركة وأبلغت عنه، وليس كدليل مستقل على كل حقيقة جنائية خاصة. حد مصدر ثاني هوhttps://nvd.nist.gov/vuln/detail/CVE-2021-21974. عند قراءتهما معًا، تدعم المصادر أسلوب مراجعة مسؤول: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا يعود هذا المقال مرارًا إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بذكر أي دليل غير أي قرار، ومن كانت لديه السلطة لتغيير السيطرة ذات الصلة، ومن تحمل التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
يجب أن يتطابق ملف الأدلة مع سطح التشغيل
يجب أن يتطابق ملف الأدلة مع سطح التشغيل وهو أمر مهم لشركة VMware International Unlimited Company لأن قضية المساءلة هي أن الهايبرفايزر يركز العديد من الخدمات خلف قرار صيانة واحد، لذا يجب قياس ديون التصحيح وأدلة التعافي كضوابط لاستمرارية الأعمال. المراجعة الضعيفة تبدأ بأعلى تصنيف للحادثة ثم تسأل من يمكن إلقاء اللوم عليه. المراجعة المفيدة تبدأ مبكراً. تسأل من امتلك سطح السيطرة العملي قبل أن تصبح الحادثة مرئية، ومن كان بإمكانه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن كانت لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة هذا ديون تصحيح ESXi القديمة، والتعرض لـ OpenSLP، وموجة الفدية، واسترداد الهايبرفايزر، وعزل النسخ الاحتياطية، والإصدارات غير المدعومة، ونصوص الاسترداد، وأدلة الاستمرارية. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يظهر السجل العام حول حملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر أيضاً لماذا يمكن قراءة نفس الحادثة بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان بحاجة إلى تدوير بيانات الاعتماد، أو إعادة بناء نظام، أو تحذير المستخدمين، أو الاتصال بمنظم، أو تغيير تكوين، أو قبول عدم يقين متبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كانت الحادثة تتحرك. يريد المنظم تواريخ وفئات وسكان متأثرين وواجبات. يريد البائع تمييز سيطرته على منتجه أو خدمته عن تكوين العميل وتبعيات الطرف الثالث. none من هذه الأسئلة غير شرعية.
تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءاً مختلفاً من السجل ولا يمكن لأي شخص رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-039a. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. الهدف ليس تضخيم المصدر. الهدف هو توضيح ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يبقى خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادثة، اختراق، تعرض، تأثر، استعادة، آمن، تم التصحيح، أو تمت المعالجة. هذه الكلمات يمكن أن تكون دقيقة ولا تزال غامضة جداً لدعم قرار ما لم تكن مرتبطة بتواريخ وأنظمة وأشخاص وجماهير متأثرة واستثناءات متبقية.
لذا فإن سجلاً أقوى سيربط الأدلة المؤرخة واللغة الموجهة للعملاء والسجلات الفنية ورؤية مجلس الإدارة. سيظهر عندما انتقلت المؤسسة من الشك إلى التأكيد، عندما حذرت الأطراف المتأثرة، عندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. كما سيحافظ على الأدلة المضادة. إذا قال بائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولاً معينة فقط كانت متورطة، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن أسطولاً مستضافاً تم تصحيحه، يجب على المراجعة أن تسأل كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
تستخدم سجلات الحكومة والهيئات التنظيمية للواجبات العامة والإشعارات وفئات السيطرة، بينما لا يتم التعامل معها كإعادة بناء تقنية ضحية بضحية. حد مصدر ثاني هوhttps://www.cisa.gov/news-events/alerts/2023/02/08/cisa-releases-esxiargs-ransomware-recovery-guidance. عند قراءتهما معًا، تدعم المصادر أسلوب مراجعة مسؤول: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا يعود هذا المقال مرارًا إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بذكر أي دليل غير أي قرار، ومن كانت لديه السلطة لتغيير السيطرة ذات الصلة، ومن تحمل التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
إجراء العميل يكون عادلاً فقط عندما تكون أدلة المزود قابلة للاستخدام
إجراء العميل يكون عادلاً فقط عندما تكون أدلة المزود قابلة للاستخدام وهو أمر مهم لشركة VMware International Unlimited Company لأن قضية المساءلة هي أن الهايبرفايزر يركز العديد من الخدمات خلف قرار صيانة واحد، لذا يجب قياس ديون التصحيح وأدلة التعافي كضوابط لاستمرارية الأعمال. المراجعة الضعيفة تبدأ بأعلى تصنيف للحادثة ثم تسأل من يمكن إلقاء اللوم عليه. المراجعة المفيدة تبدأ مبكراً. تسأل من امتلك سطح السيطرة العملي قبل أن تصبح الحادثة مرئية، ومن كان بإمكانه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن كانت لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة هذا ديون تصحيح ESXi القديمة، والتعرض لـ OpenSLP، وموجة الفدية، واسترداد الهايبرفايزر، وعزل النسخ الاحتياطية، والإصدارات غير المدعومة، ونصوص الاسترداد، وأدلة الاستمرارية. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يظهر السجل العام حول حملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر أيضاً لماذا يمكن قراءة نفس الحادثة بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان بحاجة إلى تدوير بيانات الاعتماد، أو إعادة بناء نظام، أو تحذير المستخدمين، أو الاتصال بمنظم، أو تغيير تكوين، أو قبول عدم يقين متبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كانت الحادثة تتحرك. يريد المنظم تواريخ وفئات وسكان متأثرين وواجبات. يريد البائع تمييز سيطرته على منتجه أو خدمته عن تكوين العميل وتبعيات الطرف الثالث. none من هذه الأسئلة غير شرعية.
تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءاً مختلفاً من السجل ولا يمكن لأي شخص رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://github.com/cisagov/ESXiArgs-Recover. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. الهدف ليس تضخيم المصدر. الهدف هو توضيح ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يبقى خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادثة، اختراق، تعرض، تأثر، استعادة، آمن، تم التصحيح، أو تمت المعالجة. هذه الكلمات يمكن أن تكون دقيقة ولا تزال غامضة جداً لدعم قرار ما لم تكن مرتبطة بتواريخ وأنظمة وأشخاص وجماهير متأثرة واستثناءات متبقية.
لذا فإن سجلاً أقوى سيربط اللغة الموجهة للعملاء والسجلات الفنية ورؤية مجلس الإدارة ومعالم المعالجة. سيظهر عندما انتقلت المؤسسة من الشك إلى التأكيد، عندما حذرت الأطراف المتأثرة، عندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. كما سيحافظ على الأدلة المضادة. إذا قال بائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولاً معينة فقط كانت متورطة، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن أسطولاً مستضافاً تم تصحيحه، يجب على المراجعة أن تسأل كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
يستخدم تحليل بائعي الأمن للتقنيات المرصودة وإرشادات المدافعين والتسلسل الزمني، لكن المقال لا يحول لغة الحملة الواسعة إلى ادعاء حول كل عميل أو منشأة. حد مصدر ثاني هوhttps://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/. عند قراءتهما معًا، تدعم المصادر أسلوب مراجعة مسؤول: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا يعود هذا المقال مرارًا إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بذكر أي دليل غير أي قرار، ومن كانت لديه السلطة لتغيير السيطرة ذات الصلة، ومن تحمل التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
مراجعة موثوقة تفصل بين ما كان معروفاً وما تم استنتاجه
مراجعة موثوقة تفصل بين ما كان معروفاً وما تم استنتاجه وهو أمر مهم لشركة VMware International Unlimited Company لأن قضية المساءلة هي أن الهايبرفايزر يركز العديد من الخدمات خلف قرار صيانة واحد، لذا يجب قياس ديون التصحيح وأدلة التعافي كضوابط لاستمرارية الأعمال. المراجعة الضعيفة تبدأ بأعلى تصنيف للحادثة ثم تسأل من يمكن إلقاء اللوم عليه. المراجعة المفيدة تبدأ مبكراً. تسأل من امتلك سطح السيطرة العملي قبل أن تصبح الحادثة مرئية، ومن كان بإمكانه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن كانت لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة هذا ديون تصحيح ESXi القديمة، والتعرض لـ OpenSLP، وموجة الفدية، واسترداد الهايبرفايزر، وعزل النسخ الاحتياطية، والإصدارات غير المدعومة، ونصوص الاسترداد، وأدلة الاستمرارية. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يظهر السجل العام حول حملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر أيضاً لماذا يمكن قراءة نفس الحادثة بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان بحاجة إلى تدوير بيانات الاعتماد، أو إعادة بناء نظام، أو تحذير المستخدمين، أو الاتصال بمنظم، أو تغيير تكوين، أو قبول عدم يقين متبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كانت الحادثة تتحرك. يريد المنظم تواريخ وفئات وسكان متأثرين وواجبات. يريد البائع تمييز سيطرته على منتجه أو خدمته عن تكوين العميل وتبعيات الطرف الثالث. none من هذه الأسئلة غير شرعية.
تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءاً مختلفاً من السجل ولا يمكن لأي شخص رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. الهدف ليس تضخيم المصدر. الهدف هو توضيح ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يبقى خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادثة، اختراق، تعرض، تأثر، استعادة، آمن، تم التصحيح، أو تمت المعالجة. هذه الكلمات يمكن أن تكون دقيقة ولا تزال غامضة جداً لدعم قرار ما لم تكن مرتبطة بتواريخ وأنظمة وأشخاص وجماهير متأثرة واستثناءات متبقية.
لذا فإن سجلاً أقوى سيربط السجلات الفنية ورؤية مجلس الإدارة ومعالم المعالجة ومعالجة الاستثناءات. سيظهر عندما انتقلت المؤسسة من الشك إلى التأكيد، عندما حذرت الأطراف المتأثرة، عندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. كما سيحافظ على الأدلة المضادة. إذا قال بائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولاً معينة فقط كانت متورطة، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن أسطولاً مستضافاً تم تصحيحه، يجب على المراجعة أن تسأل كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
وثائق المنتج الحالية مفيدة لتصميم السيطرة الحالي ومفردات القارئ، وليس كدليل على أن الميزة تم نشرها بنفس الطريقة خلال نافذة الحادثة. حد مصدر ثاني هوhttps://www.theregister.com/2023/02/06/esxiargs_ransomware_attack/. عند قراءتهما معًا، تدعم المصادر أسلوب مراجعة مسؤول: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا يعود هذا المقال مرارًا إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بذكر أي دليل غير أي قرار، ومن كانت لديه السلطة لتغيير السيطرة ذات الصلة، ومن تحمل التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
يجب أن يكون الإصلاح قابلاً للقياس بعد الإعلان
يجب أن يكون الإصلاح قابلاً للقياس بعد الإعلان وهو أمر مهم لشركة VMware International Unlimited Company لأن قضية المساءلة هي أن الهايبرفايزر يركز العديد من الخدمات خلف قرار صيانة واحد، لذا يجب قياس ديون التصحيح وأدلة التعافي كضوابط لاستمرارية الأعمال. المراجعة الضعيفة تبدأ بأعلى تصنيف للحادثة ثم تسأل من يمكن إلقاء اللوم عليه. المراجعة المفيدة تبدأ مبكراً. تسأل من امتلك سطح السيطرة العملي قبل أن تصبح الحادثة مرئية، ومن كان بإمكانه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن كانت لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة هذا ديون تصحيح ESXi القديمة، والتعرض لـ OpenSLP، وموجة الفدية، واسترداد الهايبرفايزر، وعزل النسخ الاحتياطية، والإصدارات غير المدعومة، ونصوص الاسترداد، وأدلة الاستمرارية. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يظهر السجل العام حول حملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر أيضاً لماذا يمكن قراءة نفس الحادثة بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان بحاجة إلى تدوير بيانات الاعتماد، أو إعادة بناء نظام، أو تحذير المستخدمين، أو الاتصال بمنظم، أو تغيير تكوين، أو قبول عدم يقين متبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كانت الحادثة تتحرك. يريد المنظم تواريخ وفئات وسكان متأثرين وواجبات. يريد البائع تمييز سيطرته على منتجه أو خدمته عن تكوين العميل وتبعيات الطرف الثالث. none من هذه الأسئلة غير شرعية.
تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءاً مختلفاً من السجل ولا يمكن لأي شخص رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://www.rapid7.com/blog/post/2023/02/06/etr-esxiargs-ransomware-campaign-exploits-2-year-old-vmware-vulnerability/. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. الهدف ليس تضخيم المصدر. الهدف هو توضيح ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يبقى خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادثة، اختراق، تعرض، تأثر، استعادة، آمن، تم التصحيح، أو تمت المعالجة. هذه الكلمات يمكن أن تكون دقيقة ولا تزال غامضة جداً لدعم قرار ما لم تكن مرتبطة بتواريخ وأنظمة وأشخاص وجماهير متأثرة واستثناءات متبقية.
لذا فإن سجلاً أقوى سيربط رؤية مجلس الإدارة ومعالم المعالجة ومعالجة الاستثناءات والاختبارات بعد الحادثة. سيظهر عندما انتقلت المؤسسة من الشك إلى التأكيد، عندما حذرت الأطراف المتأثرة، عندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. كما سيحافظ على الأدلة المضادة. إذا قال بائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولاً معينة فقط كانت متورطة، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن أسطولاً مستضافاً تم تصحيحه، يجب على المراجعة أن تسأل كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
عندما تظهر الإيداعات القانونية أو الإجراءات العامة، يتم التعامل معها كسجلات إجرائية أو إفصاحية ما لم يكن الحكم النهائي صريحًا في المصدر المذكور. حد مصدر ثاني هوhttps://www.tenable.com/blog/esxiargs-ransomware-campaign-targets-unpatched-vmware-esxi-servers. عند قراءتهما معًا، تدعم المصادر أسلوب مراجعة مسؤول: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا يعود هذا المقال مرارًا إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بذكر أي دليل غير أي قرار، ومن كانت لديه السلطة لتغيير السيطرة ذات الصلة، ومن تحمل التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
يجب أن يحافظ التدقيق التالي على عدم اليقين بدلاً من تنعيمه
يجب أن يحافظ التدقيق التالي على عدم اليقين بدلاً من تنعيمه وهو أمر مهم لشركة VMware International Unlimited Company لأن قضية المساءلة هي أن الهايبرفايزر يركز العديد من الخدمات خلف قرار صيانة واحد، لذا يجب قياس ديون التصحيح وأدلة التعافي كضوابط لاستمرارية الأعمال. المراجعة الضعيفة تبدأ بأعلى تصنيف للحادثة ثم تسأل من يمكن إلقاء اللوم عليه. المراجعة المفيدة تبدأ مبكراً. تسأل من امتلك سطح السيطرة العملي قبل أن تصبح الحادثة مرئية، ومن كان بإمكانه رؤية الإشارة الضعيفة بينما كانت لا تزال قابلة للتنفيذ، ومن كانت لديه السلطة لتغيير الحالة التي جعلت الإشارة مهمة.
في هذه الحالة، يشمل سطح السيطرة هذا ديون تصحيح ESXi القديمة، والتعرض لـ OpenSLP، وموجة الفدية، واسترداد الهايبرفايزر، وعزل النسخ الاحتياطية، والإصدارات غير المدعومة، ونصوص الاسترداد، وأدلة الاستمرارية. هذه العناصر ليست قائمة زخرفية. إنها الأماكن التي تصبح فيها المساءلة إما قابلة للملاحظة أو تذوب في الذاكرة المؤسسية.
يظهر السجل العام حول حملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر أيضاً لماذا يمكن قراءة نفس الحادثة بشكل خاطئ من قبل جماهير مختلفة. يريد العميل معرفة ما إذا كان بحاجة إلى تدوير بيانات الاعتماد، أو إعادة بناء نظام، أو تحذير المستخدمين، أو الاتصال بمنظم، أو تغيير تكوين، أو قبول عدم يقين متبقي. يريد مجلس الإدارة معرفة ما إذا كانت الإدارة لديها أدلة كافية لاتخاذ تلك الخيارات عندما كانت الحادثة تتحرك. يريد المنظم تواريخ وفئات وسكان متأثرين وواجبات. يريد البائع تمييز سيطرته على منتجه أو خدمته عن تكوين العميل وتبعيات الطرف الثالث. none من هذه الأسئلة غير شرعية.
تظهر مشكلة المساءلة عندما يتلقى كل جمهور جزءاً مختلفاً من السجل ولا يمكن لأي شخص رؤية كيف تتناسب الأجزاء معًا.
حد مصدر واحد لهذا القسم هوhttps://docs.vmware.com/en/VMware-vSphere/index.html. إنه مفيد لملف الأدلة العامة، لكنه لا يمكنه الإجابة على كل سؤال ملكية داخلي. الهدف ليس تضخيم المصدر. الهدف هو توضيح ما يمكنه إثباته، وما يمكنه فقط وضعه في سياقه، وما يبقى خارج الملف العام. هذا الانضباط مهم بشكل خاص عندما تستخدم النسخة العامة عبارات مثل حادثة، اختراق، تعرض، تأثر، استعادة، آمن، تم التصحيح، أو تمت المعالجة. هذه الكلمات يمكن أن تكون دقيقة ولا تزال غامضة جداً لدعم قرار ما لم تكن مرتبطة بتواريخ وأنظمة وأشخاص وجماهير متأثرة واستثناءات متبقية.
لذا فإن سجلاً أقوى سيربط معالم المعالجة ومعالجة الاستثناءات والاختبارات بعد الحادثة ورسم خريطة الجمهور المتأثر. سيظهر عندما انتقلت المؤسسة من الشك إلى التأكيد، عندما حذرت الأطراف المتأثرة، عندما غيرت السيطرة ذات الصلة، وعندما تمكنت من إثبات أن التغيير قد وصل إلى البيئة المتأثرة. كما سيحافظ على الأدلة المضادة. إذا قال بائع إن محتوى العميل لم يتأثر، يجب على المراجعة شرح الدليل على هذا الحد. إذا قالت شركة إن حقولاً معينة فقط كانت متورطة، يجب على المراجعة شرح كيف تم تحديد هذا النطاق. إذا قال مزود إن أسطولاً مستضافاً تم تصحيحه، يجب على المراجعة أن تسأل كيف يمكن للعملاء تأكيد تعرضهم وواجباتهم المتبقية.
يحفظ المقال الأسئلة غير المحلولة لأن الأسئلة غير المحلولة هي جزء من سجل المساءلة وليس عيبًا كتابيًا يجب إخفاؤه. حد مصدر ثاني هوhttps://www.cisa.gov/stopransomware. عند قراءتهما معًا، تدعم المصادر أسلوب مراجعة مسؤول: ليس حكمًا، ولا ضمانًا تسويقيًا، ولا إعادة بناء جنائية لا يسمح بها السجل العام، بل خريطة لما يمكن للقارئ معرفته بمسؤولية. لهذا يعود هذا المقال مرارًا إلى السيطرة العملية. المساءلة ليست نفس العلم المطلق. إنها الالتزام بذكر أي دليل غير أي قرار، ومن كانت لديه السلطة لتغيير السيطرة ذات الصلة، ومن تحمل التكلفة بينما كانت المؤسسة لا تزال تجمع الأدلة.
كيف سيكون شكل الأدلة الأفضل
تصميم أقوى للأدلة العامة لشركة VMware International Unlimited Company سيبقي ثلاثة ملفات متوائمة. الملف الأول سيكون سجل القرار: من غير سيطرة، ومن وافق على بيان عام، ومن قبل استثناءً، ومن تلقى التحذير. الثاني سيكون ملف الإثبات الفني: الطوابع الزمنية، الأنظمة المتأثرة، الهويات ذات الصلة، فئات البيانات المكشوفة، فحوصات الاسترداد، والاختبارات التي أظهرت ما إذا كان الإصلاح قد وصل إلى البيئة التي يعتمد عليها القراء فعلياً. الثالث سيكون ملف القارئ: حساب بسيط لما يجب على الأشخاص المتأثرين فعله، وما فعلته المؤسسة بالفعل من أجلهم، وما لا يمكنها إثباته بعد، ومتى سيعمل التحديث التالي على تضييق نطاق عدم اليقين.
هذا التصميم مهم لأن المساءلة تتحلل عندما تتباعد هذه الملفات. يمكن أن يكون التنبيه الفني دقيقاً ولا يزال يترك العملاء غير قادرين على التصرف. يمكن أن يتجاهل الإشعار القانوني الدقيق الأدلة التشغيلية التي تحتاجها فرق الأمن. يمكن أن يخفي بيان الاستعادة الواثق الحلول البديلة اليدوية التي لم تتم تسويتها أبداً. لذلك يجب أن يسأل معيار المراجعة ما إذا كان السجل العام يربط السيطرة والإثبات والنتيجة في نفس التسلسل الزمني.
لهذا المقال، الدليل المطلوب عملي وليس احتفالي: من كان لديه السيطرة العملية على ديون تصحيح ESXi، والتعرض لـ OpenSLP، والإصدارات غير المدعومة، وعزل النسخ الاحتياطية، ونصوص الاسترداد، واستعادة الأجهزة الافتراضية، والدليل على أن استرداد الهايبرفايزر أعاد استمرارية الأعمال بدلاً من فك تشفير الملفات فقط؟
ملف أدلة القارئ
يستخدم المقال المصادر العامة التالية كملف قراءة لحملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر. يتم التعامل مع كل مصدر بحدود: بيانات الشركة تثبت ما قالته الشركة أو أبلغت عنه، وسجلات الحكومة والهيئات التنظيمية تثبت الإجراء الرسمي أو الواجب، والمشاركات الفنية تثبت الآليات المرصودة ضمن نطاقها، والسجلات القانونية تثبت الموقف الإجرائي ما لم يكن الحكم النهائي صريحاً، ووثائق المعايير توفر معايير سيطرة بدلاً من نتائج بأثر رجعي.
- مصدر عام مستخدم في ملف الأدلة:https://www.vmware.com/security/advisories/VMSA-2021-0002.html
- مصدر عام مستخدم في ملف الأدلة:https://nvd.nist.gov/vuln/detail/CVE-2021-21974
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-039a
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/news-events/alerts/2023/02/08/cisa-releases-esxiargs-ransomware-recovery-guidance
- مصدر عام مستخدم في ملف الأدلة:https://github.com/cisagov/ESXiArgs-Recover
- مصدر عام مستخدم في ملف الأدلة:https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/
- مصدر عام مستخدم في ملف الأدلة:https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/
- مصدر عام مستخدم في ملف الأدلة:https://www.theregister.com/2023/02/06/esxiargs_ransomware_attack/
- مصدر عام مستخدم في ملف الأدلة:https://www.rapid7.com/blog/post/2023/02/06/etr-esxiargs-ransomware-campaign-exploits-2-year-old-vmware-vulnerability/
- مصدر عام مستخدم في ملف الأدلة:https://www.tenable.com/blog/esxiargs-ransomware-campaign-targets-unpatched-vmware-esxi-servers
- مصدر عام مستخدم في ملف الأدلة:https://docs.vmware.com/en/VMware-vSphere/index.html
- مصدر عام مستخدم في ملف الأدلة:https://www.cisa.gov/stopransomware
- مصدر عام مستخدم في ملف الأدلة:https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks
- مصدر عام مستخدم في ملف الأدلة:https://www.cisecurity.org/controls
- مصدر عام مستخدم في ملف الأدلة:https://www.nist.gov/cyberframework
- مصدر عام مستخدم في ملف الأدلة:https://attack.mitre.org/techniques/T1486/
ملف الأدلة هذا أوسع عن قصد من إشعار حادثة واحد لأن حملة فدية ESXiArgs من VMware، وديون تصحيح CVE-2021-21974، ونصوص الاسترداد، وعزل النسخ الاحتياطية، وسجل مساءلة استمرارية الهايبرفايزر أثرت على أكثر من جمهور واحد. يجب أن يدعم السجل العام الأشخاص الذين يحتاجون إلى إجراء عملي، والمديرين الذين يحتاجون إلى خطة إصلاح، والمنظمين الذين يحتاجون إلى نطاق، والقراء الذين يحتاجون إلى معرفة أي الادعاءات لا تزال غير مؤكدة.
أسئلة مراجعة مجلس الإدارة
يجب أن يحدد ملف المراجعة المالك العملي لكل قرار، والتاريخ الذي اتخذ فيه القرار، والأدلة المستخدمة، والجمهور الذي اعتمد عليه. بدون هذا الهيكل، يمكن إعادة سرد نفس الحادثة لاحقًا كعطل تقني، أو نزاع قانوني، أو مشكلة خدمة عملاء، أو مشكلة مالية دون أساس ثابت لتحديد أي حساب كامل.
يحافظ سجل المساءلة المفيد أيضًا على عدم اليقين. يجب أن يذكر ما هو معروف من بيانات الشركة، وما هو معروف من سجلات الحكومة أو المحكمة، وما هو معروف من المستجيبين الخارجيين للحوادث، وما يبقى مستنتجًا. هذا الفصل يحمي القراء من الدقة الزائفة ويحمي المؤسسة من معاملة الثقة المبكرة كدليل.
السيطرة المهمة ليست استجابة بطولية بعد وقوع الحادثة. إنها القدرة على إظهار، بينما لا يزال الحدث يتحرك، أي دليل سيغير قرارًا. إذا كانت رسالة العميل، أو تقرير مجلس الإدارة، أو مطالبة تأمين، أو تحديث منظم، أو رسالة خدمة عامة ستكون مختلفة بعد مراجعة سجل إضافية، يجب أن يكون هذا الاعتماد مرئيًا في السجل.
لهذه الحالة المحددة، يجب أن تسأل مراجعة مجلس الإدارة عما إذا كان من لديه السيطرة العملية على ديون تصحيح ESXi، والتعرض لـ OpenSLP، والإصدارات غير المدعومة، وعزل النسخ الاحتياطية، ونصوص الاسترداد، واستعادة الأجهزة الافتراضية، والدليل على أن استرداد الهايبرفايزر أعاد استمرارية الأعمال بدلاً من فك تشفير الملفات فقط؟ يجب ألا تكون الإجابة سردًا فقط. يجب أن تتضمن أدلة مؤرخة، ومالكين مسمين، وجماهير متأثرة، والتزامات موجهة للعملاء، وقائمة بالحقائق التي لا تزال المؤسسة غير قادرة على إثباتها عندما تم إنشاء السجل العام.

