زمانی برای پچ کردن یا پچ نکردن؟ مساله این است!!

نویسنده : دپارتمان فنی شرکت ارتباط امن - جمعه 4 خرداد 1397 در ساعت 07:26:21

همانطور که نقض داده های Equifax در سال 2017 نشان می دهد، نرم افزار های پچ نشده امروزه یکی از چالش عظیم برای امنیت سایبری هستند. در این مورد، آسیب پذیری مورد نظر به خوبی شناخته شده بوده و پچ در دسترس بوده است، اما Equifax به سادگی این پچ را اعمال نکرده است.

در سطح، این “فاصله برای پچ کردن” – زمان بین در دسترس پذیر بودن یک پچ و اعمال آن پچ – نباید طولانی باشد. پس، چه موردی برای پیاده سازی پچ ها بسیار سخت و یا زمانبر می باشد؟

با این حال، در سازمان های بزرگ، پاسخ این است که – موارد بسیار زیاد. Sean Convery، VP و GM واحد کسب و کار امنیت در ServiceNow، توضیح می دهد “پچ کردن یک نبرد است. بسیاری از آسیب پذیری های باز وجود دارد – گاهی اوقات در میلیون ها سیستم. مردم به سختی از آسیب پذیری های فوری جلوتر بوده و آنها را از قبل نصب کرده اند.”

شرکت ها معمولا هزاران قطعه مختلف از نرم افزارها را دارند که شامل برنامه های تلفن همراه بر روی گوشی های هوشمند تا سیستم های ضبط وقایع در مراکز داده و همه چیز بین آنها می شود.

علاوه بر این، چنین نرم افزاری معمولا ترکیبی از بسته های تجاری (COTS)، نرم افزارهای منبع باز و برنامه های سفارشی است. آسیب پذیری ها در همه این موارد به طور منظم رخ می دهند.

با توجه به این جریان بی وقفه از تکه های موجود، همراه با کارکنان امنیتی محدود، اولویت بندی ضروری است. مطالعه اخیر Ponemon این نقطه را برجسته کرده است. “65 درصد از پاسخ دهندگان می گویند که اولویت بندی موارد برای انجام آنها کار بسیار سختی است.” مطالعه ای که توسط ServiceNow انجام شده است، وضعیت واکنش آسیب پذیری را توضیح می دهد: پچ کردن نیاز به توجه دارد. “برای تعیین دقیق آسیب پذیری های اولویت بندی، شما باید هر دو مورد درجه اهیمت- به عنوان مثال با نمره های سیستم امتیاز دهی آسیب پذیر رایج (CVVS) مشخص می شود، و هم انواع سیستم های کسب و کار که تحت تاثیر آن قرار می گیرند را بدانید.”

هرچند حتی با توجه به اولویت بندی مناسب، سرعت نیز بسیار مهم است و فرآیندهای پچ دستی همه چیز را آهسته می کند. با این وجود، اضافه کردن آدم های بیشتر برای انجام این کار نیز مشکل را برطرف نمی کند. Convery می گوید: “شرکت ها نمی توانند راه خود را برای امنیت بهتر با استخدام افراد بیشتر به پیش ببرند. کمبود منابع انسانی به معنای بودجه کمتر برای آنها نیست. این به معنی افراد جوانتر، آموزش بیشتر و کار بیشتر است. ”

تاثیر بر روی روند کاری کسب و کار

Convery می گوید: “پچ کردن موثر و به موقع بهترین کاری است که می توانید انجام دهید تا از هک شدن جلوگیری کنید. فرآیندهای دستی آنها را به عقب میراند.”

برای تعادل میان پچ کردن سریع در مقابل تاثیرات نامطلوب بر روی کسب و کار، بسیاری از سازمان ها فرآیند و سیاست های مدیریت پچ را اجرا می کنند که هر دو آنها اولویت بندی پچ های مختلف و همچنین توانایی ذینفعان کسب و کار برای ایجاد استثنا در سیستم های مختلف پچ برای اهداف تجاری را ممکن می سازد.

از کجا شروع کنیم

رژیم های پچ ممکن است تحت لایه های مختلف پیچیدگی قرار گیرند، اما نقطه شروع نسبتا ساده است. مطالعه Ponemon توصیه می کند: “با مواد اولیه مهم که می تواند به سرعت مورد توجه قرار گیرد، شروع شود. به عنوان مثال، اگر تیم های امنیتی، آسیب پذیری ها را اسکن نمی کنند، باید اولویت اول را برای به دست آوردن و گسترش اسکنر آسیب پذیری ایجاد کنند.”

همچنین مهم است بدانیم که آسیب پذیری های مهم ممکن است در هر زمان ظاهر شوند و بنابراین برخی از پچ ها ممکن است ناگهان تبدیل به اولویت فوری شوند. Alldrick می گوید: “هنگامی که شما پچ های اورژانسی دارید، پس باید نیروهای خود را جمع آوری کنید. اگر شما در یک هفته کاری استاندارد فعالیت می کنید، به منابعی نیاز دارید که در خارج از ساعت های معمولی آماده به کار باشند. این هزینه اضافی است، بنابراین شما باید بودجه آن را داشته باشید و از قبل آن را تأیید کنید.”

اتوماسیون نیز برای کاهش زمان لازم است و همچنین تعداد کارمندان. تحقیق Ponemon همچنان ادامه می دهد: “اتوماسیون راه پیشنهادی بهتری را ارائه می دهد. با بهینه سازی فرایندهای پاسخ های آسیب پذیری و افزایش کارکنان برای تمرکز بیشتر بر کارهای مهم، تیم های امنیتی می توانند به طور چشمگیری میزان شکست را کاهش داده در حالی که بیشترین تعداد کارکنان موجود را حفظ می کنند. و در نهایت، کسب و کار باید مدیریت پچ را در سیستم ریسک های مالی به سازمان قرار دهد.”

همانند سایر تلاش های تیم امنیت سایبری، سؤال اساسی ریسک در برابر هزینه های رفع آن است. هر سازمان باید تعادل مناسب بین این دو اولویت را که اهداف کسب و کار آن را برآورده می کند برقرار نماید تا به Equifax بعدی تبدیل نشود.

 

منبع: www.forbes.com

افزودن دیدگاه جدید

دیدگاههای شما

لطفا برای ما پیام بگذارید

در حال حاظر کارشناس افلاین میباشد برای ما ایمیل ارسال نمایید

سوالی دارید ؟ ما دوست داریم به شما کمک کنیم .

برای ورود به گفتگو کلیک نمایید