إدارة الثغرات الأمنية - المزيد: الإدارة أو نقاط الضعف؟
في هذه المقالة ، نريد أن نشارك معك الحالات التي حدثت لعملائنا ، وأن نخبر / نظهر / نجيب على السؤال لماذا إدارة الثغرات لا تدور دائمًا حول الثغرات ، والشيء البسيط هو "سنقوم بتصفية 1،000،000 ثغرات لك الحد الأدنى المهم حقا "لا يكفي.الحالة رقم 1 "أوه ، نحن أنفسنا نعلم أن كل شيء سيئ معنا!"
الكائن: وحدة التحكم عن بعد (IPMI) مثبتة على الخوادم الهامة - أكثر من 500 جهاز كمبيوتر شخصى.القابلية للتأثر: مستوى الأهمية (نقاط CVSS) - 7.8CVE-2013−4786 - الثغرة الأمنية في بروتوكول IPMI والتي سمحت للمهاجمين بالوصول إلى تجزئات كلمة مرور المستخدم ، مما قد يؤدي إلى وصول غير مصرح به واختراق محتمل للحساب من قبل المهاجمين.وصف الحالة: كان العميل على علم بالثغرة نفسها ، ومع ذلك ، لعدد من الأسباب الموضحة أدناه ، لم يتجاوز الأمر "المخاطرة".تعقيد الحالة نفسها هو أن التصحيحات ليست لجميع اللوحات الأم التي تستخدم هذه الوحدة ، وتحديث البرامج الثابتة على مثل هذا العدد الكبير من الخوادم يتطلب الكثير من الموارد.كانت هناك طرق بديلة للتخفيف - قوائم الوصول (ACLs) على معدات الشبكة (من الصعب جدًا نظرًا لتوزيع المسؤولين بشكل كبير واستخدام IPMI من أين أتى) وتعطيل IPMI ، هنا ، أعتقد ، أن التعليقات غير ضرورية (فقط في حالة: 500 خادم موزّع يدير "الأرجل" بانتظام "من أجل الأمان ، لنينتهي أحد) هنا عادة بالقصة ، ولكن من جانبنا تم إجراء تحليل إضافي للثغرة الأمنية ، وأصبح من الواضح أن كلمة المرور تجزأ حسابًا أعاده الخادم فقط إذا كان الطلب على الخادم الحالي د الدخول ، لذلك تقرر ما يلي:1. تغيير المعرف على الحسابات الصعبة المستقاةبالطبع ، هذه ليست حلا سحريا. وإذا لم تكن على عجل ، حتى لا "تلمع" ، قم بالفرز عبر تسجيلات الدخول ، فسيكون من الممكن استلامها عاجلاً أم آجلاً. ولكن على الأرجح سيستغرق الكثير من الوقت لإتاحة الوقت لتنفيذ تدابير إضافية.2. قم بتغيير كلمة المرور بحيث يتم تجزئة التجزئة لفترة أطول.حالة مشابهة للبند 1 - لفرض تجزئة SHA1 لكلمة مرور مكونة من 16 حرفًا ستستمر إلى الأبد.ونتيجة لذلك ، تم إغلاق ثغرة خطيرة كانت معروفة ، والتي يمكن حتى استغلالها بواسطة سكريبت كيدي ، مع الحد الأدنى من الموارد.الحالة رقم 2 "يمكننا تنزيل OpenVAS بدونك!"
الكائن: جميع أجهزة التوجيه والمحولات داخل الشركة - أكثر من 350 جهازًا.القابلية للتأثر : مستوى الحرجة (نقاط CVSS) - 10.0CVE-2018-0171 - الضعف في وظائف Cisco Smart Install ، التي يؤدي تشغيلها إلى تغيير في تكوين الجهاز ، بما في ذلك تغيير كلمة المرور وفقدانها من قبل المسؤول القانوني ، أي فقدان التحكم في الجهاز. وبالتالي ، سيتمكن المهاجم من الوصول الكامل إلى الجهاز.وصف حالة:على الرغم من استخدام العديد من الماسحات الضوئية ، بما في ذلك الماسحات التجارية ، لم يظهر أي منها هذه الثغرة الأمنية. ربما كانت التوقيعات في ذلك الوقت بعيدة عن المثالية لهذه الثغرة الأمنية ، أو تأثر طوبولوجيا الشبكة ، بطريقة أو بأخرى - سابقة. نحن كشركة تقدم هذه الخدمة لفترة معينة ، لدينا قاعدتنا الخاصة مع نقاط ضعف خطيرة حقًا ، والتي نتحقق منها أيضًا.لم يستخدم العميل وظيفة التثبيت الذكي ، لذا فإن الحل نفسه ، بسبب تعقيد تحديث البرامج الثابتة (حتى مع مراعاة الجزء القديم من الجهاز) ، جاء لتزويد العميل بقائمة بعناوين IP حيث تم إيقاف الخدمة الضعيفة بواسطة البرنامج النصي.ونتيجة لذلك ، تم إصلاح الثغرة الحرجة في الغالبية العظمى من معدات الشبكة ، والتي يمكن أن تمر دون أن يلاحظها أحد ، وفي حالة وقوع هجوم سيؤدي إلى توقف كامل للشركة بأكملها.الحالة رقم 3 "إذا كنت ترغب في ذلك ، لكنا قد كسرنا بالفعل!"
الكائن: وحدة تحكم المجال ، خادم البريد وعدد من الأجهزة / الخوادم / المضيفات الأخرى الحرجة للشركةالضعف: مستوى الحرجة (نقاط CVSS) - 9.3CVE-2017-0144 - الضعف في بروتوكول SMB الذي يسمح بالتنفيذ البعيد للرمز التعسفي على الخادم (من خلال مجموعة تم توزيع الثغرات الأمنية ، والتي تتضمن واحدة في السؤال ، من قبل WannaCry Ransomware).وصف حالة: في بداية تقديم الخدمات أثناء المسح المجدول ، تم اكتشاف ثغرة خطيرة ، التوصية الوحيدة الممكنة هي تثبيت تحديثات نظام التشغيل. وافق العميل على هذا القرار ، ولكن نتيجة لمسح التحكم ، ظلت الثغرة قائمة. بعد تصعيد الموقف والاجتماع الشخصي مع العميل ، اتضح أن السبب كان العامل البشري - لم يتم تنفيذ المهمة من قبل أخصائي.العواقب: لعدة أيام ، نتيجة لتجاهل المهمة ، وصلت البرامج الضارة التي تنتشر بنجاح عبر الشبكة إلى محطة عمل المستخدم ، تم استغلال هذه الثغرة الأمنية ، مما أدى إلى فشل وحدة تحكم المجال.ونتيجة لذلك ، تكبدت الشركة خسائر فادحة (استغرقت أعمال ترميم البنية التحتية عدة أشهر). , , – , . – , , , , , .
دميتري جولوفنيا GolovnyaD
محلل SOC ، AcribiaSource: https://habr.com/ru/post/undefined/
All Articles