الملخص
- في فبراير 2023، حذّرت الحكومات وفرق الاستجابة من أن المهاجمين كانوا يستغلون أنظمة VMware ESXi غير المُصححة في حملة برامج الفدية ESXiArgs، مستخدمين ثغرة عالجتها VMware في عام 2021.
- السؤال المحوري حول المساءلة هو: من كان لديه السيطرة العملية على ديون تصحيحات المراقب الافتراضي، والتعرض للإنترنت، والإصدارات غير المدعومة، وعزل النسخ الاحتياطي، وسكريبتات الاستعادة، والتواصل مع العملاء، واستمرارية الخدمات المُحاكاة افتراضيًا؟
- الجذر العملي للقضية ليس تصنيفًا واحدًا مثل اختراق أو انقطاع أو ثغرة أو فشل المزود. يركز السجل على التعرض القديم لـ VMware ESXi OpenSLP، وفشل تبني التصحيحات، والمراقبات الافتراضية المواجهة للإنترنت، وتشفير برامج الفدية لملفات التكوين، وتوجيهات الاستعادة، وجودة النسخ الاحتياطي، والاعتماد التجاري المخفي داخل مجموعات المحاكاة الافتراضية.
- واجه مزودو الاستضافة والهيئات العامة والشركات الصغيرة والمؤسسات ومالكو التطبيقات والمستخدمون النهائيون فقدانًا للخدمة عندما كانت الأجهزة الافتراضية تعتمد على مراقبات افتراضية لم يتم الحفاظ على تحديث حالة تصحيحاتها وجاهزية استعادتها.
- يدعم السجل نتيجة مساءلة عالية الثقة حول واجبات السيطرة وفجوات الأدلة. ولا يدعم افتراض حقائق ظلت خاصة، مثل كل سجل سجل، أو كل تأثير على العملاء، أو كل قرار داخلي، أو كل خسارة لاحقة.
سجل الأدلة وكيفية استخدامه
تعامل هذه المقالة السجل العام كأدلة متعددة الطبقات بدلاً من رواية رئيسية واحدة. تُستخدم إشعارات الشركة لما قالته Vmware International Unlimited Company أنها وجدته أو غيرته أو نصحت به. تُستخدم مواد الحكومة والجهات التنظيمية والثغرات وأبحاث الأمن لتأطير واجبات السيطرة حول الحادثة. تُستخدم التقارير الثانوية فقط حيث تحافظ على البيانات العامة أو التسلسل الزمني أو سياق الأطراف المتأثرة غير المتاح بطريقة أخرى في وثيقة أساسية مستقرة.
| # | السجل العام | الاستخدام في هذا التحليل |
|---|---|---|
| 1 | إشعار VMware VMSA-2021-0002 | إشعار المزود الأساسي لـ CVE-2021-21974 والإصدارات المُصلحة. |
| 2 | مدخل NVD CVE-2021-21974 | بيانات تعريفية ومراجع للثغرة العامة. |
| 3 | إشعار CISA ESXiArgs لبرامج الفدية | إشعار حكومي يُستخدم لسياق الحملة والمعالجة. |
| 4 | توجيهات CISA لاستعادة ESXiArgs | توجيهات حكومية تُستخدم لسياق سكريبت الاستعادة والاستجابة. |
| 5 | مستودع سكريبت استعادة CISA لـ ESXiArgs | سياق أداة الاستعادة العامة. |
| 6 | تنبيه CERT-FR ESXiArgs | تنبيه الحكومة الفرنسية يُستخدم لسياق الحملة. |
| 7 | تغطية BleepingComputer لـ ESXiArgs | تقرير ثانوي يُستخدم لسياق برامج الفدية المتطورة والاستعادة. |
| 8 | تغطية The Register لـ ESXiArgs | تقرير ثانوي يُستخدم لسياق حجم الحملة العامة. |
| 9 | تحليل Rapid7 لـ ESXiArgs | تحليل من جهة دفاعية يُستخدم لسياق التصحيحات القديمة والتعرض. |
| 10 | تحليل Tenable لـ ESXiArgs | سياق مزود أمني لخوادم ESXi غير المُصححة. |
| 11 | وثائق تصحيح VMware ESXi | سياق وثائق المزود لإدارة دورة حياة vSphere و ESXi. |
| 12 | دليل CISA لوقف برامج الفدية | سياق الدفاع ضد برامج الفدية والاستعادة. |
| 13 | توجيهات NCSC للتخفيف من برامج الفدية | سياق التحكم في النسخ الاحتياطي والاستمرارية. |
| 14 | ضوابط الأمن الحيوية من CIS | سياق التحكم في الجرد وإدارة الثغرات والاستعادة. |
| 15 | إطار الأمن السيبراني من NIST | مفردات إدارة المخاطر. |
| 16 | تقنية MITRE ATT&CK تشفير البيانات للتأثير | سياق تقنية تأثير تشفير برامج الفدية. |
الحادثة تتعلق حقًا بالسيطرة
أظهرت VMware ESXiArgs كيف تتحول التصحيحات القديمة للمراقب الافتراضي إلى واجبات استمرارية لأن الحدث سلط الضوء على السيطرة العملية أكثر مما فعل العنوان الرئيسي. يبدأ السجل العام بـإشعار VMware VMSA-2021-0002ويُعزز بـمدخل NVD CVE-2021-21974وإشعار CISA لبرامج الفدية ESXiArgs. هذه السجلات مهمة لأنها تحدد الفرق بين قصة أمنية غامضة ومجموعة من الواجبات التشغيلية: تحديد الأنظمة المتأثرة، وتحديد البيانات أو مواد الثقة التي كانت قابلة للوصول، وإخطار الأشخاص الذين يجب عليهم التصرف، وإثبات أن مسار الخطر القديم قد أُغلق.
الخطوة التحليلية الهامة هي فصل المحفز عن المساءلة. المحفز هو حملة برامج الفدية ESXiArgs التي تستغل ثغرة VMware ESXi OpenSLP غير المُصححة CVE-2021-21974، عام 2023. المساءلة أوسع. تشمل خيارات التصميم قبل الحدث، والمراقبة التي كان ينبغي أن تكتشف النشاط غير الطبيعي، والسلطة الطارئة لاحتوائه، والأدلة التي تميز الاختراق المؤكد عن التعرض المحتمل، والتواصل الذي يسمح للأطراف المعتمدة باتخاذ قراراتها الخاصة. يمكن للمزود أن يكون دقيقًا بشأن المحفز التقني الضيق ومع ذلك يترك العملاء بدون أدلة كافية لإدارة جانبهم من المخاطر.
بالنسبة لـ Vmware International Unlimited Company، تكمن القضية العامة إذن في سطح السيطرة: ديون تصحيحات ESXi القديمة، والتعرض لـ OpenSLP، وموجة برامج الفدية، واستعادة المراقب الافتراضي، وعزل النسخ الاحتياطي، والإصدارات غير المدعومة، وأدلة الاستمرارية. هذه ليست تفاصيل علاقات عامة. إنها الآلية التي ينمو بها الضرر أو يتقلص. يمكن أن يؤدي اقتحام قصير إلى مخاطر هوية طويلة الأمد. يمكن أن تصبح الثغرة القديمة فشل استمرارية حي. يمكن أن يصبح حساب المزود مشكلة حساب عميل. يمكن أن تحمل تذكرة دعم المنصة مواد أكثر حساسية من الخدمة الإنتاجية نفسها. تستخدم المقالة هذه العدسة في كل مكان.
الجدول الزمني جزء من الأدلة
الجدول الزمني مهم لأن العملاء لا يمكنهم التصرف إلا بعد أن يعرفوا ما يكفي للتصرف. في هذه الحالة، يبدأ التسلسل الزمني العام بالمحفز الموصوف أعلاه، ثم ينتقل عبر الاحتواء، وتوجيه العملاء، والتقارير اللاحقة، والتحليل اللاحق. تختبر اللحظة الأولى الكشف والتصعيد. تختبر اللحظة المتوسطة ما إذا كانت الضوابط المؤقتة قد أصبحت إصلاحًا دائمًا. تختبر اللحظة اللاحقة ما إذا كانت المنظمة قد تعلمت ما يكفي لمنع مسار مماثل بدلاً من مجرد إغلاق الحادثة بعد أن يتلاشى الاهتمام.
يجب أن يجيب الجدول الزمني الجيد للحادثة على عدة أسئلة. متى بدأ النشاط غير الطبيعي؟ متى رآه المدافع لأول مرة؟ متى فهم المدافع أهميته؟ متى احتوت المنظمة المسار؟ متى عرفت أي العملاء أو السجلات أو الخدمات أو بيانات الاعتماد أو الأنظمة يمكن أن تكون متأثرة؟ متى تلقى الأشخاص خارج المنظمة معلومات كافية لحماية أنفسهم؟ نادرًا ما تجيب الإشعارات العامة على كل سؤال من هذه الأسئلة، لكن الأسئلة لا تزال هي إطار المساءلة الصحيح.
الفجوة بين حدث داخلي وإشعار عام ليست خطأ تلقائيًا. يحتاج المستجيبون للحوادث وقتًا للتحقق من الحقائق. يمكن أن ينشر الإشعار المبكر نصائح غير صحيحة. لكن يجب أن تكون الفجوة قابلة للتفسير. إذا كان العملاء يتحكمون في كلمات المرور أو الرموز أو نقاط النهاية أو ملفات الدعم أو الحسابات المصرفية أو المسؤولين أو المستخدمين النهائيين، فإن التأخير ينقل المخاطر إليهم أيضًا. المعيار المسؤول ليس الكمال الفوري. إنه تواصل سريع ومتدرج يميز الحقائق المؤكدة والمخاطر المعقولة والإجراءات الموصى بها وعدم اليقين غير المحلول.
موضوع البيانات أو الثقة لم يكن عرضيًا
لم يكن الموضوع المعرض للخطر أو المهدد في هذه الحالة عرضيًا بالنسبة للأعمال. يركز السجل على التعرض القديم لـ VMware ESXi OpenSLP، وفشل تبني التصحيحات، والمراقبات الافتراضية المواجهة للإنترنت، وتشفير برامج الفدية لملفات التكوين، وتوجيهات الاستعادة، وجودة النسخ الاحتياطي، والاعتماد التجاري المخفي داخل مجموعات المحاكاة الافتراضية. وهذا يعني أن الحادثة مست موضوع ثقة كانت المنظمة موجودة لإدارته أو دعت العملاء للاعتماد عليه. عندما يكون هذا الموضوع هو بيانات اعتماد أو شهادة توقيع أو مرفق دعم أو مجموعة بيانات تعريفية للعملاء أو خادم بناء أو جدار حماية أو مراقب افتراضي أو سجل هوية خدمة عامة، لا يمكن للمنظمة أن تعامله كتفصيل نظام مكتبي عادي.
لمواضيع الثقة ملف مساءلة خاص. إنها تسمح للأنظمة الأخرى باتخاذ القرارات. تخبر شهادة توقيع الرمز نقطة النهاية ما إذا كان البرنامج شرعيًا. يخبر اعتماد الدعم المنصة ما إذا كان يمكن للشخص رؤية سجلات العملاء. يخبر خادم البناء المستخدمين النهائيين أن قطعة أثرية جاءت من العملية المتوقعة. يخبر جدار الحماية أو بوابة الوصول عن بعد الشبكة أي الجلسات يمكنها الدخول. يخبر سجل بيانات تعريف العميل المحتال بمن يستهدف. غالبًا ما يأتي الضرر لاحقًا، عندما يعيد شخص ما استخدام موضوع الثقة في سياق مختلف.
لهذا السبب يحتاج تحليل النطاق إلى تغطية الوظيفة، وليس فقط أسماء الجداول أو أسماء الخوادم. السؤال عما إذا كان قد تم نسخ جدول قاعدة بيانات ضيق جدًا إذا كانت الحقول المنسوخة تحدد المسؤولين. السؤال عما إذا تم اختراق مستوى بيانات الإنتاج ضيق جدًا إذا كشفت السجلات المؤسسية عن كيفية مهاجمة مستوى البيانات هذا لاحقًا. السؤال عما إذا بقيت الخدمة على الإنترنت ضيق جدًا إذا بقيت بيانات الاعتماد أو الشهادات أو المرفقات قابلة للاستخدام بعد الحدث.
مسؤولية المزود تتبع أعلى ضوابط التأثير
سيطر المزود في هذه القصة على البيئة التي بدأ فيها الحدث العام، لكن هذا القول ليس كافيًا. السؤال الأكثر دقة هو ما هي الضوابط عالية التأثير التي كانت في جانب المزود. في العديد من الحوادث، تشمل هذه الضوابط الهندسة المعمارية، والوصول المميز، وتجزئة الخدمة، والتعامل مع الشهادات أو المفاتيح، وتغطية السجلات، وتقليل بيانات العملاء، والإعدادات الافتراضية الآمنة، والإلغاء الطارئ، وهندسة الإصدار، وسلطة نشر توجيهات موثوقة.
يجب الحكم على المزود بما إذا كان جعل المسار الخطر سهلاً أم صعبًا. هل تطلبت الأدوات المميزة مصادقة قوية وأدوارًا محكمة؟ هل تم الاحتفاظ بمرفقات الدعم الحساسة أو البيانات الوصفية لفترة أطول من اللازم؟ هل تم فصل أنظمة الإنتاج عن الأنظمة المؤسسية؟ هل تم تصميم الخدمات المعرضة لتكون مغلقة بأمان عند الفشل؟ هل كانت السجلات كاملة بما يكفي لإعادة بناء الوصول؟ هل يمكن للمنظمة إلغاء مواد الثقة بسرعة؟ هل يمكن للعملاء التحقق من أنهم قاموا بتثبيت إصدار آمن أو اتخذوا خطوة الاحتواء الصحيحة؟
قد يظهر السجل العام جزءًا فقط من وضعية السيطرة هذه. يمكن أن يظهر أنه تم إصدار إشعار، وتم إصدار تصحيح، وكان مطلوبًا إعادة تعيين كلمة المرور، وتم تعطيل حساب مزود، وتم استبدال شهادة، أو أبقى وكالة عامة الخدمة قيد التشغيل. غالبًا لا يمكن أن يظهر مراجعات الوصول الداخلية، أو مناقشة مجلس الإدارة، أو ثقة الأدلة الجنائية، أو كل رسالة عميل. لا ينبغي ملء هذا النقص في الرؤية الكاملة بالتكهنات. يجب تسميته كحد للأدلة وتحويله إلى طلب لضمان أوضح في المستقبل.
مسؤولية العملاء والمشغلين لم تختف
كان على العملاء والمشغلين أيضًا واجبات. هذا ليس إلقاءً للوم. إنه اعتراف بأن العديد من حوادث التكنولوجيا تعبر حدودًا تنظيمية. قد يتحكم العميل في تحديثات نقطة النهاية، وإعادة استخدام كلمة المرور، والحسابات المميزة، وتعرض جدار الحماية، وتحميلات الدعم، وسلوك المسؤول، وعزل النسخ الاحتياطي، ومراجعة التنبيه، وتثقيف المستخدم. قد تتحكم وكالة عامة في إثبات الهوية وإشعار المواطن. قد يتحكم مزود الخدمة المُدارة في وحدة التحكم التي لا يراها العملاء أبدًا.
يعتمد التخصيص الصحيح على القدرة. إذا كان المزود فقط هو من يمكنه تحديد سجلات الدعم التي تم الوصول إليها، فإن المزود يمتلك هذا الدليل. إذا كان العميل فقط هو من يمكنه تدوير سر لاحق أو مراجعة سجلاته الخاصة، فإن العميل يمتلك هذا الإجراء بعد تلقي إشعار موثوق. إذا قام مزود مُدار بتشغيل الأداة المتأثرة، فإن المزود المُدار مدين بكل من الإجراء والدليل للعميل. تتبع المساءلة السيطرة العملية، وليس ظهور العلامة التجارية.
هذا مهم لأن التقصير في رد الفعل غالبًا ما يختبئ وراء خطأ طرف آخر. قد يقول العميل إن المزود تسبب في المشكلة وبالتالي يفشل في مراجعة تعرضه الخاص. قد يقول المزود إن العميل أساء تكوين النظام وبالتالي يفشل في تحسين الإعدادات الافتراضية الآمنة. قد يقول المزود المُدار إنه قام بالتصحيح ويتجنب شرح ما إذا كان قد راجع الاختراق. تُخدم المصلحة العامة فقط عندما يذكر كل طرف ما سيطر عليه وماذا فعل بهذه السيطرة.
التجزئة هي الحد الفاصل بين الحادثة والتسلسل
التجزئة تقرر ما إذا كانت الحادثة ستبقى محدودة. في هذه الحالة، قد تكون التجزئة ذات الصلة بين تكنولوجيا المعلومات المؤسسية والبنية التحتية للمنتج، بين أدوات الدعم وبيانات الإنتاج، بين البيانات الوصفية ومحتوى العملاء، بين مستوى الإدارة ومستوى حركة المرور، بين خدمة البناء ومفاتيح التوقيع، أو بين مضيف المراقب الافتراضي وبيئة النسخ الاحتياطي. يتغير الحد الدقيق حسب الموضوع، لكن مبدأ المساءلة مستقر.
يجب أن يكون ادعاء التجزئة قابلاً للاختبار. لا يكفي القول إن بيئة منفصلة عن أخرى. يجب أن يُظهر السجل أي الهويات يمكنها عبور الحد، وأي مسارات الشبكة كانت موجودة، وأي السجلات تؤكد الحركة الفاشلة أو الغائبة، وأي حسابات الخدمة تمت مراجعتها، وأي ضوابط طارئة تم تطبيقها. لا يحتاج العملاء إلى كل تفصيل حساس، لكنهم بحاجة إلى ضمان كافٍ لمعرفة ما إذا كانت حادثة من جانب المزود قد غيرت مخاطرهم الخاصة.
تتجنب أقوى البيانات العامة نقيضين. لا تبالغ في تقدير الضرر بالإيحاء بأن كل نظام معتمد قد تم اختراقه. كما أنها لا تختبئ وراء حد تقني ضيق بينما تتجاهل المخاطر المتصلة. القول بأن مستوى بيانات الإنتاج لم يتأثر مفيد. قول ما هي البيانات الوصفية أو بيانات الاعتماد أو الشهادات أو المرفقات أو السجلات الإدارية التي تأثرت ضروري بنفس القدر لأن هذه المواد يمكن استخدامها لمهاجمة مستوى البيانات لاحقًا.
يجب أن يخبر الإشعار المتلقين بما يمكنهم فعله
الإشعار ليس طقسًا. إنه نقل لأدلة قابلة للتنفيذ. يخبر الإشعار المفيد المتلقين بما حدث، وما هي البيانات أو مواد الثقة التي قد تكون معنية، وما الذي قامت به المنظمة بالفعل، وما الذي يجب على المتلقين فعله الآن، وما الذي لا يزال غير معروف، وأين ستظهر التحديثات اللاحقة. إذا قال الإشعار فقط إن حادثة وقعت، فقد يلبي حاجة تواصل رسمية بينما يفشل في الحاجة التشغيلية.
يتطلب المتلقون المختلفون محتوى مختلفًا. يحتاج مسؤولو الأمن إلى مؤشرات، وحسابات متأثرة، ومتطلبات إعادة التعيين، وفترات مراجعة السجلات، وتوجيهات التكوين. يحتاج المستهلكون إلى نصائح مخاطر هوية بلغة واضحة، وتوجيهات الدفع وكلمات المرور، وجهات اتصال الدعم. يحتاج مستخدمو الخدمات العامة إلى ضمان أن الخدمات الأساسية مستمرة أو أن البدائل موجودة. يحتاج المطورون إلى توجيهات سلامة البناء وخطوات تدوير الأسرار. يحتاج التنفيذيون إلى مصفوفة من التعرض والاختراق والمعالجة والمخاطر المتبقية.
لذلك تعامل المقالة التواصل كضابط، وليس كمجاملة. يمكن للإشعار المتأخر أو الغامض أن يزيد الضرر حتى لو تم احتواء الاختراق الأولي بسرعة. يمكن للإشعار المتدرج أن يقلل الضرر حتى قبل أن تستقر كل حقيقة. يمكن أن يكون الإشعار المُصحح مسؤولًا عندما يتسع النطاق. المفتاح هو تسمية عدم اليقين بصدق بدلاً من التظاهر بأن النسخة العامة الأولى هي النهائية.
سطح الإساءة يمتد إلى ما وراء الاقتحام المؤكد
الاقتحام المؤكد هو سطح الخطر الأول فقط. يمكن للمهاجمين والمجرمين والانتهازيين إعادة استخدام معلومات الحادثة للتصيد والاحتيال وسرقة بيانات الاعتماد والابتزاز ومكالمات الدعم المزيفة وإغراءات تحديث البرامج وعمليات احتيال الفواتير واستهداف التوظيف والضغط الاجتماعي. واجه مزودو الاستضافة والهيئات العامة والشركات الصغيرة والمؤسسات ومالكو التطبيقات والمستخدمون النهائيون فقدانًا للخدمة عندما كانت الأجهزة الافتراضية تعتمد على مراقبات افتراضية لم يتم الحفاظ على تحديث حالة تصحيحاتها وجاهزية استعادتها. لذلك يجب على المنظمة قياس ليس فقط ما فعله المتسلل، ولكن ما تمكن المعلومات المعرضة الآخرين من فعله بعد ذلك.
هذا صحيح بشكل خاص عندما تحدد المادة المعرضة هوية المسؤولين أو جهات اتصال الدعم أو علاقات الدفع أو العملاء لعلامة تجارية معينة أو المستخدمين الذين قدموا وثائق هوية أو المنظمات التي تشغل تقنية معينة. تقلل هذه السجلات من تكلفة البحث للمهاجم. تجعل الهندسة الاجتماعية أرخص وأكثر مصداقية. كما تسمح للمجرمين بتخصيص التوقيت: إشعار إعادة تعيين مزيف بعد حادثة حقيقية يبدو أكثر تصديقًا من رسالة تصيد عادية.
يجب أن تشمل منع الإساءة بعد الحدث مراقبة انتحال الشخصية، وتحذير العملاء من الإغراءات المحتملة، وتشديد التحقق من الدعم، وإلغاء الرموز القديمة، وتدوير الأسرار المعرضة، ومراقبة نشاط الحسابات الجديدة، وإعطاء موظفي الدعم في الخطوط الأمامية نصوصًا لا تسرب المزيد من المعلومات. يجب على المنظمة أيضًا مراجعة ما إذا كانت قد جمعت أو احتفظت ببيانات أكثر مما تتطلبه وظيفة الدعم أو الخدمة حقًا.
يجب أن تدعم الأدلة الجنائية قرار الثقة
للمراجعة الجنائية هدف محدد: إنها تدعم قرار الثقة. هل يمكن للعميل الاستمرار في استخدام البرنامج؟ هل يمكن للمنظمة أن تثق في جدار الحماية؟ هل يمكن أن تثق في قطع البناء الأثرية؟ هل يمكن أن تثق في سجلات الدعم؟ هل يمكن أن تثق في مزود الهوية، أو مخزن البيانات الوصفية، أو المراقب الافتراضي، أو الشهادة، أو النسخة الاحتياطية، أو جلسة الوصول عن بعد؟ التصحيح أو إعادة التعيين أو تعطيل شيء ما ليس سوى جزء من الإجابة.
يتطلب قرار الثقة أدلة حول ما تم الوصول إليه، وما كان يمكن الوصول إليه، وما تم تغييره، وما هي بيانات الاعتماد أو المفاتيح التي كانت موجودة، وما هي السجلات الكاملة، وما إذا كان يمكن تغيير السجلات، وما هي الإشارات المستقلة التي تؤكد الاستنتاج. عندما تكون الأدلة غير كاملة، يجب على المنظمة أن تقول ذلك وتتخذ قرارًا متحفظًا للأصول عالية القيمة. قد يحتاج نظام محيطي أو خادم بناء مخترق إلى إعادة بناء وتدوير أسرار حتى بعد إصلاح الخطأ الأصلي.
يخلق السجل الجنائي الضعيف مشكلة مساءلة ثانوية. إذا لم تستطع المنظمة إثبات أن موضوع ثقة ظل آمنًا، فقد تحتاج إلى تحمل تكلفة معالجة أوسع. هذا مكلف. لكن البديل هو نقل عدم اليقين إلى العملاء أو المواطنين أو المستخدمين النهائيين الذين يفتقرون إلى أدلة المزود. تحول إدارة الحوادث الناضجة السجلات الخاصة إلى ضمان عام كافٍ للأطراف الخارجية للتصرف بعقلانية.
الحوافز الاقتصادية تفسر نقص الاستثمار
النمط المتكرر عبر الحوادث ليس غامضًا. غالبًا ما تفرض الضوابط الوقائية تكاليف مرئية قبل وقوع أي حادثة. تبطئ التجزئة الراحة. يحبط مبدأ الامتياز الأقل الدعم. يخلق تدوير الشهادات خطر التوافق. يبطئ تحصين خادم البناء التسليم. يتطلب تصحيح المراقب الافتراضي نوافذ صيانة. قد يقلل تقليل بيانات العملاء من تفاصيل التسويق أو الدعم. يستهلك اختبار النسخ الاحتياطي الوقت. هذه التكاليف فورية؛ الضرر المُتجنب غير مؤكد حتى يصل.
لهذا السبب لا يمكن للمساءلة أن تنتظر سجل محكمة أو رقم خسارة مؤكد. إذا انتظرت كل منظمة حتى يتم إثبات الضرر، فإن أرخص مسار دائمًا هو تأجيل الضبط والأمل في أن يمتص طرف آخر الخسارة. قد يعاني العملاء من مخاطر الهوية أو التوقف أو مراقبة الاحتيال أو التوظيف الطارئ أو اضطراب العقود أو إزعاج الخدمة العامة بينما يعامل الطرف الذي لديه أفضل ضبط وقائي التكلفة كخارجية.
يربط نموذج حوافز أفضل واجبات السيطرة بالطرف الذي يمكنه تقليل المخاطر بأقل تكلفة قبل الحدث. يجب على المزودين جعل الإعدادات الافتراضية الآمنة والسجلات الكاملة أمرًا طبيعيًا. يجب على العملاء الحفاظ على الجرد ونوافذ التصحيح واختبارات الاستعادة ونظافة بيانات الاعتماد. يجب على المزودين المُدارين تقديم حزم أدلة. يجب على المنظمين وشركات التأمين طلب إثبات لهذه الضوابط قبل الحوادث، وليس فقط الروايات بعدها.
يجب أن يبقى سجل الحوكمة مفيدًا بعد انتهاء دورة الأخبار
يجب أن يظل سجل الحوكمة مفيدًا بعد أن تتلاشى دورة الأخبار. يجب أن يصف هذا السجل المحفز والأصول المتأثرة والأشخاص المتأثرين وإجراءات الاحتواء ونصائح العملاء وجودة الأدلة والمخاطر المتبقية وتأثير الأعمال ومالكي المعالجة واختبارات المتابعة. يجب أن يُظهر أيضًا ما تغير بعد الحدث: قواعد الوصول، وفترات الاحتفاظ، والرقابة على المزودين، وتغطية السجلات، ومستويات خدمة التصحيح، وتدوير الأسرار، وعزل النسخ الاحتياطي، أو كتيبات إشعارات العملاء.
بدون هذا السجل، تتعلم المنظمة بشكل مؤقت فقط. يتبدل الموظفون. تبقى الاستثناءات الطارئة. تصبح التخفيفات المؤقتة دائمة. تعود نفس فئة الحوادث في منتج أو علاقة مزود مختلفة. يسمح سجل المساءلة طويل الأمد لمجلس الإدارة أو المنظم أو العميل أو المشغل المستقبلي بالتساؤل عما إذا كان الإصلاح الموعود لا يزال موجودًا بعد ستة أشهر.
بالنسبة لـ Vmware International Unlimited Company، الدرس الدائم ليس أن كل ضرر محتمل قد حدث. إنه أن الحدث العام كشف عن فئة سيطرة ستتكرر. قد تشمل الحالة التالية منتجًا أو منطقة جغرافية أو مهاجمًا أو مجموعة بيانات مختلفة. سيكون الاختبار هو نفسه: هل يمكن للمنظمة أن تُظهر من كان يتحكم في المسار الخطر، وماذا فعل، ولماذا يجب أن يثق الغرباء بالنتيجة؟
ما الذي سيغير التقييم
سيتغير التقييم بأدلة أقوى أو أضعف. ستشمل الأدلة الأقوى ملخصًا جنائيًا مستقلاً، وفئات تأثير كاملة على العملاء، وجدولًا زمنيًا واضحًا من أول اكتشاف إلى الاحتواء، وإثبات أن مواد الثقة ذات الصلة قد تم تدويرها أو لم تتعرض أبدًا، واختبار لاحق يُظهر أن نفس المسار لم يعد يعمل. ستشمل الأدلة الأضعف توسع النطاق المتأخر دون تفسير، وفئات بيانات غير واضحة، وسجلات مفقودة، وحوادث مماثلة متكررة، أو نمط من معاملة إجراء العميل كاختياري عندما يكون إجراء العميل ضروريًا.
سيتغير أيضًا بأدلة الأطراف المتأثرة. يجب تقييم العميل الذي يمكنه إظهار عدم وجود تعرض وتحديث سريع وسجلات كاملة وعدم وجود مواد ثقة قابلة للوصول بشكل مختلف عن العميل الذي كان لديه إصدارات قديمة وأسطح إدارة معرضة وسجلات غير كاملة وبيانات اعتماد مُعاد استخدامها أو ملفات دعم حساسة. يجب تقييم المزود الذي لديه إعدادات افتراضية آمنة واحتفاظ ضيق بشكل مختلف عن المزود الذي أعطى أدوات داخلية واسعة وصولًا دائمًا إلى سجلات حساسة.
لهذا السبب تقاوم مقالة المساءلة الجيدة كلًا من الذعر والغفران. يمكن للسجل العام أن يدعم نتيجة سيطرة دون إثبات كل خسارة. يمكنه تحديد فجوات الأدلة دون اختراع حقائق. يمكنه الاعتراف بأن مزودًا تعامل مع جزء من الحادثة بمسؤولية بينما لا يزال يتساءل عما إذا كان التصميم قبل الحادثة قد خلق مخاطر قابلة للتجنب. الدقة ليست تساهلاً، إنها ما يجعل المساءلة ذات مصداقية.
الأدلة التي يجب على العملاء الحفاظ عليها قبل أن تتلاشى الذاكرة
غالبًا ما يتم جمع أدلة العملاء الأكثر فائدة في الساعات الأولى بعد الإشعار. يجب على المسؤولين الحفاظ على سجلات المصادقة، واتصالات الدعم، وقوائم الحسابات المعرضة، وأحداث جدار الحماية أو نقطة النهاية، وصادرات التكوين، وسجلات إعادة تعيين كلمة المرور، وجرد الشهادات أو المفاتيح، ولقطات شاشة لإشعارات المزود كما كانت في ذلك الوقت. تشرح هذه المواد لاحقًا لماذا اختارت المنظمة إعادة تعيين ضيقة أو واسعة أو إعادة بناء أو إفصاح أو استجابة مراقبة. بدونها، تصبح المراجعة اللاحقة نقاشًا حول التذكر بدلاً من سجل للسيطرة.
الحفظ مهم أيضًا لأن إشعارات المزود يمكن أن تتطور. قد يقول الإشعار الأول أن التحقيق مستمر. قد يضيق أو يوسع إشعار لاحق السكان المتأثرين. قد يضيف إشعار أمني حالة مستغل في البرية. العميل الذي يحفظ كل نسخة يمكنه ربط قراراته بالحقائق المتاحة في ذلك الوقت. هذا يحمي من الإدراك المتأخر غير العادل بينما لا يزال يكشف عن الإجراء البطيء بعد إشعار موثوق.
يجب ألا تبقى الأدلة داخل فريق الأمن وحده. يحتاج كل من الفرق القانونية والمشتريات والخصوصية والدعم واستمرارية الأعمال والهندسة والتنفيذية إلى نسخة تتناسب مع دورهم. يحتاج فريق الخصوصية إلى حقول البيانات المتأثرة. تحتاج الهندسة إلى مؤشرات تقنية ومالكي الأنظمة. تحتاج المشتريات إلى واجبات العقد. يحتاج الدعم إلى لغة للعملاء. يحتاج التنفيذيون إلى المخاطر المتبقية وأسماء المالكين. يمكن أن تفشل حادثة واحدة إذا كانت الأدلة صحيحة لكنها محاصرة في الوظيفة الخاطئة.
نافذة إجراء العميل واجب قابل للقياس
غالبًا ما يبدأ حدث من جانب المزود ساعة من جانب العميل. إذا أخبر الإشعار العملاء بتحديث البرنامج أو تدوير بيانات الاعتماد أو مراجعة السجلات أو تعطيل الواجهات المعرضة أو تحذير المستخدمين، يصبح وقت استجابة العميل جزءًا من سجل المساءلة. سيطر المزود على الإشعار والخدمة المتأثرة. سيطر العميل على الإجراء المحلي. لا يمكن لأي من الجانبين إنهاء المهمة بمفرده.
يجب قياس نافذة الإجراء هذه بمصطلحات تتناسب مع المخاطر. قد تتطلب ثغرة حافة معرضة حرجة ساعات. قد يتطلب تعرض واسع للبيانات الوصفية تحذيرات تصيد في نفس اليوم ومراجعة من قبل المسؤول. قد يتطلب استبدال الشهادة نشر التحديث وتنظيف قائمة السماح وإثبات أن الحزم القديمة الموقعة لم تعد موثوقة. قد يتطلب تعرض تذكرة دعم مراجعة المرفقات وإشعار المستخدم. قد تتطلب موجة برامج الفدية على المراقب الافتراضي عزلًا طارئًا والتحقق من صحة النسخ الاحتياطي قبل أن تنطبق نوافذ الصيانة العادية.
الهدف ليس معاقبة كل تأخير. بعض البيئات معقدة، ولا يمكن للخدمات العامة أن تتوقف بشكل عرضي، ويمكن أن تؤدي التغييرات الطارئة إلى تعطيل العمليات الأساسية. الهدف هو جعل التأخير صريحًا. إذا تأخرت منظمة ما، يجب أن تسجل الضبط التعويضي، والسبب التجاري، والمالك، ووقت الانتهاء، والأدلة على أن المخاطر لم تبق مفتوحة إلى أجل غير مسمى. التأخير غير المسجل هو كيف يصبح الاستثناء المؤقت الحادثة التالية.
ادعاءات الإصلاح تحتاج إلى إثبات دائم
يكون ادعاء الإصلاح أقوى عندما يسمي الضبط الذي تغير والدليل على أن التغيير لا يزال قائمًا. بالنسبة لحوادث الهوية، قد يشمل الإثبات تعطيل حسابات الخدمة، وجلسات أقصر، ومصادقة أقوى للمسؤول، ومراجعات الوصول، وسير عمل إعادة التعيين المقاوم للتصيد. بالنسبة لحوادث الدعم، قد يشمل الإثبات أدوار مزود أضيق، وحدود الاحتفاظ بالمرفقات، وتسجيل الإجراءات المميزة، وتعقيم ملفات العملاء. بالنسبة لحوادث الأجهزة الطرفية، قد يشمل الإثبات عزل الإدارة المُتحقق منه خارجيًا، والإصدارات الثابتة، ومراجعة السجلات، وتدوير الأسرار، وقرارات إعادة البناء.
لا يحتاج الجمهور إلى كل تفصيل حساس، لكنه يحتاج إلى شكل الإصلاح. القول بأن الأمن قد تم تعزيزه أضعف من قول أي فئة من الوصول تمت إزالتها، وأي فئة من السجلات تم تقليلها، وأي فئة من بيانات الاعتماد تم تدويرها، وأي فئة من الأجهزة تم إعادة بنائها، وأي اختبار يتحقق من النتيجة. تسمح لغة الإصلاح المحددة للعملاء بمقارنة العلاج بمسار الفشل.
الديمومة هي الجزء الصعب. تبدو العديد من الإصلاحات قوية بعد الحادثة مباشرة ثم تتحلل. تعود قواعد جدار الحماية المؤقتة. تنمو أذونات الدعم القديمة مرة أخرى. لا تتم مراجعة السجلات الجديدة. لا يتم اختبار النسخ الاحتياطي. يتم التدريب مرة واحدة ويختفي. لذلك يجب أن يتضمن سجل المساءلة نقطة تحقق لاحقة. الإصلاح الذي لا يمكنه النجاة من العمليات العادية ليس سوى توقف مؤقت للمخاطر، وليس إغلاقًا.
المزودون المُدارون يجلسون داخل سلسلة الواجب
العديد من المنظمات المتأثرة لا تدير مباشرة الأنظمة التي تمت مناقشتها في الإشعارات العامة. قد يقوم مزود مُدار بتشغيل أدوات الدعم عن بُعد، أو خوادم البناء، أو منصات البريد، أو جدران الحماية، أو حسابات قواعد البيانات، أو المراقبات الافتراضية، أو سير عمل مكتب المساعدة، أو إشعارات العملاء. يمكن لهذا المزود أن يقلل المخاطر بسرعة أو يبقي العملاء في الظلام. لذلك فإن واجب الأدلة الخاص به هو أكثر من مجرد مجاملة خدمة.
يجب أن يكون المزود المُدار مستعدًا لإخبار العميل ما إذا كان المنتج أو الخدمة المتأثرة موجودة، وما إذا كانت معرضة، ومتى تم تحديثها أو عزلها، وما إذا كانت السجلات أظهرت نشاطًا مريبًا، وما إذا تم تدوير بيانات الاعتماد، وما إذا تم اختبار النسخ الاحتياطي، وما هي المخاطر المتبقية. بيان مجرد بأن المسألة قد عولجت ليس كافيًا لعميل يجب أن يرد على مستخدميه أو منظميه أو شركات التأمين أو مجلس إدارته.
يجب أن توضح العقود هذا التوقع قبل الطوارئ. يجب أن تحدد محفزات الإشعار العاجل، وتسليم الأدلة، وسلطة الصيانة الطارئة، وملكية بيانات الاعتماد، ومسؤولية النسخ الاحتياطي، ومن يدفع تكاليف الاستعادة غير العادية. إذا عامل العقد أدلة الأمن كاختيارية، فقد يكتشف العميل أثناء الحادثة أنه اشترى وقت التشغيل ولكن ليس المساءلة.
تقليل البيانات يغير نصف قطر الانفجار
أسهل سجل معرض للحماية هو السجل الذي لم يتم الاحتفاظ به أبدًا. لهذا السبب يهم تقليل البيانات في الحوادث التي تبدو وكأنها تتعلق باختراق تقني. أداة دعم تخزن المرفقات القديمة، أو بوابة حساب تحتفظ ببيانات وصفية غير ضرورية، أو مزود خدمة عملاء يمكنه عرض أدلة هوية واسعة، أو نظام مؤسسي يجمع جهات اتصال المسؤولين، كلها تزيد من قيمة الاختراق قبل وصول المهاجم.
التقليل لا يعني التظاهر بأن العمل يمكن أن يعمل بدون سجلات. تحتاج فرق الدعم إلى معلومات كافية لحل مشكلات العملاء. تحتاج فرق الأمن إلى السجلات. تحتاج الخدمات المالية إلى سجلات منظمة. تحتاج أنظمة النقل العام إلى حسابات وامتيازات ومبالغ مستردة وعمليات دفع. السؤال الرقابي هو ما إذا كانت المنظمة تستطيع تبرير كل حقل حساس، وكل فترة احتفاظ، وكل إذن مزود، وكل مسار تصدير بعد حادثة.
تغير السجلات الأصغر الإشعار أيضًا. إذا استطاع المزود القول إن مجموعة حقول ضيقة فقط تم الاحتفاظ بها والوصول إليها، يمكن للعملاء التصرف بدقة. إذا احتفظ المزود بمرفقات واسعة أو بيانات وصفية غنية، يصبح الإشعار أصعب وينمو سطح الإساءة اللاحق. لذلك فإن التقليل ليس شعار خصوصية. إنه ضابط مرونة لأنه يقلل عدد الأشخاص والقرارات التي تُجر إلى الحادثة.
يجب أن تطلب رقابة مجلس الإدارة أدلة السيطرة، وليس الحالة فقط
غالبًا ما يتلقى التنفيذيون تحديثات الحوادث ككلمات حالة: محتواة، معالجة، لا تأثير مادي، التحقيق مستمر. هذه الكلمات أوسع من أن تحكم المخاطر. يجب أن تسأل الرقابة على مستوى مجلس الإدارة أي ضابط فشل أو كان تحت الضغط، وأي طرف كان يملكه، وما الدليل الذي يثبت الاحتواء، وأي العملاء أو المستخدمين لا يزال يمكن أن يتضرروا، وما هي الإصلاحات الدائمة، وما الذي لا يزال غير معروف.
يجب على المجلس أيضًا أن يسأل ما إذا كانت الحادثة قد كشفت عن نمط. هل كان هذا تكرارًا لتعرض سابق لأداة دعم، أو فجوة تصحيح قديمة، أو افتراض تجزئة، أو ضعف رقابة على المزودين، أو فشل متكرر في تدوير مواد الثقة؟ قد تكون حادثة واحدة حظًا سيئًا. النمط الرقابي المتكرر هو دليل حوكمة. إنه يظهر ما إذا كانت المنظمة تتعلم أم مجرد تستجيب.
هذا لا يتطلب من المديرين أن يصبحوا مستجيبين للحوادث. إنه يتطلب منهم طلب أدلة على مستوى القرار. يحتاجون إلى أعداد التعرض، ونوافذ الإجراءات، والتزامات العملاء، والمحفزات القانونية، وتأثيرات استمرارية الأعمال، ومالكي المتابعة. عندما تسأل المجالس فقط ما إذا كانت القصة قد انتهت، تكافأ الإدارة على الإغلاق الهادئ. عندما تسأل المجالس ما الدليل الذي غير بيئة السيطرة، يصبح الإصلاح مرئيًا.
يجب أن تغير الحادثة أسئلة المشتريات المستقبلية
يجب على العملاء تحويل فئة الحوادث هذه إلى أسئلة مشتريات أفضل. يجب أن يسألوا المزودين كيف يتم تقييد وصول الدعم، وكيف يتم تعقيم مرفقات العملاء، وكيف يتم فصل تكنولوجيا المعلومات المؤسسية عن خدمات الإنتاج، وكيف يتم حماية شهادات التوقيع، وكيف تخزن أنظمة البناء الأسرار، وكيف تسجل المنتجات الطرفية النشاط الإداري، وكيف يتم إيقاف الإصدارات القديمة، وكيف يتلقى العملاء أدلة عاجلة أثناء حدث أمني.
يجب طرح هذه الأسئلة قبل التجديد، وليس فقط بعد أزمة. قد يفضل الفريق التجاري مقارنة ميزات بسيطة، لكن الحوادث تُظهر أن الضمان التشغيلي يمكن أن يكون بنفس أهمية قدرة المنتج. منصة رخيصة مع امتيازات دعم واسعة وسجلات ضعيفة وإشعارات بطيئة وواجبات استعادة غير واضحة يمكن أن تصبح باهظة الثمن عندما يحدث خطأ ما. مزود أكثر انضباطًا يقلل من المخاطر الخفية حتى عندما لا يفشل شيء.
يجب على المشتريات أيضًا تجنب الضمان الورقي فقط. يجب أن ترتبط إجابة الاستبيان بأدلة قابلة للاختبار: ملخصات تدقيق، وإعدادات الاحتفاظ، ونماذج الأدوار، ومستويات خدمة التصحيح، وأمثلة إشعارات العملاء، وتمارين الاستعادة، والتقييمات المستقلة حيثما توفرت. الهدف ليس طلب شفافية مستحيلة. إنه شراء حقوق أدلة كافية بحيث لا يكون العميل عاجزًا عندما يصبح المزود جزءًا من سطح المخاطر الخاص به.
درس المساءلة قابل لإعادة الاستخدام
الدرس القابل لإعادة الاستخدام هو أن حوادث البنية التحتية الحديثة نادرًا ما تتوقف عند النظام الذي تبدأ فيه. يمكن أن يصبح مزود الدعم المخترق مشكلة هوية. يمكن أن تصبح حادثة نظام مؤسسي مشكلة بيانات تعريفية للعملاء. يمكن أن يصبح خادم بناء ضعيف مشكلة سلسلة توريد برمجيات. يمكن أن يصبح منتج الوصول عن بعد مشكلة ثقة شهادة. يمكن أن يصبح جدار حماية أو مراقب افتراضي مشكلة استمرارية. تتداخل الفئات لأن العملاء يعتمدون على خدمات مجمعة، وليس صناديق معزولة.
هذا التداخل هو السبب في أن خطط الاستجابة يجب أن تُكتب حول أسطح السيطرة. من يملك ثقة الهوية؟ من يملك ثقة البرامج الموقعة؟ من يملك بيانات الدعم؟ من يملك إدارة الحافة؟ من يملك النسخ الاحتياطي؟ من يملك التواصل مع العملاء؟ من يملك أدلة المزود؟ إذا كان هؤلاء المالكون معروفين قبل الحدث، يمكن للمنظمة أن تستجيب بارتباك أقل. إذا تم اكتشافهم أثناء الحدث، تتوسع الحادثة بينما يتفاوض الناس على السلطة.
يجب أن تكون المنظمة الناضجة قادرة على قراءة أي إشعار مستقبلي في هذه الفئة ورسم خرائط فورية للمالكين والإجراءات والأدلة. هذا هو الفرق بين الوعي بالحوادث والجاهزية للحوادث. الوعي يقول إن شيئًا ما حدث. الجاهزية تقول من يجب أن يفعل ماذا، ومتى، وبأي إثبات، وكيف سيعرف الأشخاص المعتمدون.
الاستنتاج من منظور المصلحة العامة
الاستنتاج من منظور المصلحة العامة هو أن حملة برامج الفدية ESXiArgs التي تستغل ثغرة VMware ESXi OpenSLP غير المُصححة CVE-2021-21974، عام 2023 يجب أن تُذكر كاختبار للسيطرة. اختبر الحدث ما إذا كانت المنظمة وعملاؤها يمكنهم التمييز بين الاحتواء التقني واستعادة الثقة. اختبر ما إذا كانت الإشعارات قابلة للتنفيذ. اختبر ما إذا تم تقليل السجلات الحساسة أو مواضيع الثقة. اختبر ما إذا تلقت الأطراف المعتمدة أدلة كافية لحماية نفسها.
أقوى استجابة لهذه الفئة من الحوادث ليست طمأنة أعلى صوتًا. إنها مسار خطر أضيق، ومسار احتواء أسرع، ومسار أدلة أكثر اكتمالاً، ومسار إجراءات عملاء أوضح. وهذا يعني بيانات أقل غير ضرورية، وامتيازات دعم أضيق، وحدود إدارية أشد، وفصل أقوى بين بيئات الأعمال والخدمات، وسجلات أفضل، واستعادة مُختبرة، وإلغاء أسرع لبيانات الاعتماد أو الشهادات عندما تكون الثقة غير مؤكدة.
أظهرت VMware ESXiArgs كيف تتحول التصحيحات القديمة للمراقب الافتراضي إلى واجبات استمرارية لأن المنظمة جلست في نقطة حيث كان على العديد من الآخرين الاعتماد على أدلتها. عندما يكون هذا صحيحًا، تتبع المساءلة سطح السيطرة العملي. يجب على الطرف الذي لديه أوضح رؤية وأفضل قدرة على تقليل الضرر أن يفعل أكثر من القول إن الحدث قد انتهى. يجب أن يُظهر لماذا يمكن أن تستمر علاقة الثقة بأمان.

