پچ، از جمله اقداماتی است که در جهت بهبود و ارتقای امنیت سازمانها انجام میشود.
امروزه با مطالعه هر گونه گزارش مربوط به امنیت رایانه متوجه خواهید شد که همه آنها در پایان نتیجهگیری یکسانی میکنند: پچینگ (که از این پس تحت عنوان وصله کردن تعبیر می شود) سیستمهای عامل و برنامهها اقدامی اساسی است که همه سازمانها باید برای بهبود پروفایل امنیتی خود انجام دهند.
بخش فناوری اطلاعات باید سیستمهای عامل و برنامهها از جمله برنامههای متفرقه را به منظور جلوگیری کامل از قرار گرفتن آنها در معرض آسیبپذیریها به طور منظم وصله نمایند.
مؤسسه SANS، از جمله سازمانهای معتبر در حوزه پژوهش درباره امنیت رایانه، با تأیید اینکه امروزه برنامههای سرویسگیرنده وصله نشده مهمترین تهدید امنیتی برای سازمانها به شمار میروند، بر این مسئله تاکید میکند.
همچنین در حالی که نرمافزار شرکت مایکروسافت به عنوان رایجترین هدف حملات سایبری شناخته شده است، در واقع برنامههای دیگر فروشندههای نرمافزار مسئلهسازتر هستند.
برای تضمین امنیت شبکه سازمانهای بزرگ یا در حال ظهور، تکیه بر نرمافزارهای مدیریت وصله SCCM (مدیر پیکربندی مرکز سیستم)، SCE (ضروریات مرکز سیستم) یا WSUS (خدمات بهنگامسازی سرور ویندوز) شرکت مایکروسافت کافی نیست.
برای تضمین اینکه همه نقاط پایانی شبکه به روشی زمانبندی شده و به نحو مقتضی وصله شده باشند و خطمشیهای مطابقتی رعایت شده باشند (بسیاری از سازمانها مانند FDIC مقررات امنیتی سختگیرانه را برای سازمانهایی نظیر بانکها و شرکتهای کارت اعتباری تعیین میکنند)، سازمانها باید راهی را برای توسعه سیاستها و رویههای وصله کردن بیابند.
با توجه به اینکه امروزه شرکتها با مدیریت تعداد روزافزونی از برنامههای متفرقه روبرو هستند و با توجه به ظهور مجازیسازی و بودجههای محدود و حساب شدهای که شرکتها را ملزم به انجامهای کارهای بیشتر با امکانات کمتر میسازد، این کار ساده نیست.
تهدیدهای برنامه متفرقه
تهدیدها اگرنه بیشتر به همان اندازه در برنامههای شخص ثالث (غیر مایکروسافتی) نظیر ادوبی، اَپِل یا گوگل شایع هستند. در حقیقت، بنا بر گزارشهای پایگاه داده ملی آسیبپذیری آمریکا، ۹ مورد از بیشترین تعداد تهدیدهای سال ۲۰۱۰ نه با برنامههای مایکروسافت بلکه با برنامههای ادوبی، اپل و گوگل مرتبط بودهاند.
مرورگر سافاری اپل و پس از آن موزیلای فایرفاکس و گوگل کروم بیشترین تعداد آسیبپذیری را دارا بودند. برنامههای متفرقه دیگر از جمله ادوبی فلش پلیر، ریدر، آکروبات، AIR و Java Runtime Environment (محیط اجرای جاوا) جزو ۱۰ برنامهای بودند که بیشترین تعداد نقص امنیتی را به خود اختصاص دادند.
آسیبپذیریهای موجود در این نوع برنامهها همچنان تهدیدی برای امنیت شبکهها محسوب میشود. شرکت Qualys که هر ماه فهرست ۱۰ مورد از بیشترین تعداد آسیبپذیریها را منتشر میکند، در فهرست ژانویه خود عناوین پنج برنامه غیر مایکروسافتی را گنجاند.
«بیشترین تعداد خطرات امنیتی سایبری» بیان داشت که «در طول چند سال گذشته، تعداد آسیبپذیریهای شناسایی شده در برنامهها بیشتر از تعداد آسیبپذیریهای شناسایی شده در سیستمهای عامل است.»
این شرکت همچنین اشاره داشت که «وصله کردن آسیبپذیریهای طرف سرویسگیرنده نسبت به آسیبپذیریهای سیستم عامل به طور میانگین حداقل دو برابر وقت بیشتری را از سازمانهای مهم میگیرد.»
مشکل اصلی در ارتباط با وصله کردن برنامههای متفرقه از عدم ایجاد بهنگامسازیهای منظم توسط فروشندههای برنامه ناشی میشود؛ برخلاف شرکت مایکروسافت که بهنگامسازیهای وصلهها را در سهشنبه دوم هر ماه به طور منظم منتشر میکند.
به منظور بهنگام بودن با جدیدترین وصلههای برنامه شخص ثالث، مدیران فناوری اطلاعات هر روز باید وقت زیادی را برای یافتن اطلاعیههای وصله در اینترنت صرف نمایند.
این امر مستلزم جستجوی صدها وبگاه و وبلاگی است که فروشندههای برنامه برای گزارش آسیبپذیریها و وصلههای خود از آنها استفاده میکنند. بنابراین، فروشندههای شخص ثالث باید از شرکت مایکروسافت الگو بگیرند و وصلهها را به روشی قابل پیشبینی ارائه دهند تا در کاهش فشار کاری بر مدیران فناوری اطلاعات که برای جلوگیری از نفوذ تهدیدهای خارجی به سازمانهای خود تلاش میکنند مؤثر باشند.
گرچه پچ کردن محصولات متفرقه با استفاده از فناوریهایی نظیر Group Policy امکانپذیر است، ممکن است مدیریت این بهنگامسازیها برای مدیران فناوری اطلاعات بسیار دشوار و وقتگیر باشد.
به منظور اجرای موفقیتآمیز وصلههای شخص ثالث، مدیران فناوری اطلاعات باید قبل از تأیید ماشینهایی که محصول روی آنها نصب است، ابتدا درباره محصول و نسخههای آسیبپذیر آن تحقیق نمایند.
مدیران فناوری اطلاعات با چالشهایی درباره پیچیدگیهای موجود در وصلههای برنامه شخص ثالث نیز مواجه میشوند. برخی وصلهها را نمیتوان بدون بروز مشکل در سیستمهای هدف به کار گرفت. این وصلهها وقفههایی را ایجاد میکنند که مدیران فناوری اطلاعات را وادار به عیبیابی و حل مشکل میکنند.
این کار ممکن است وقت قابلتوجهی از مدیران بگیرد. زیرا فروشندهها همیشه برای کمک به حل مشکل در دسترس نیستند.
مجازیسازی
مجازیسازی، مدیران فناوری اطلاعات را با چالشهای کاملاً جدیدی مواجه میسازد.
مجازیسازی آن قدر از آزادی عمل برخوردار شده است که کاربران یک شبکه قابلیت و فناوری ایجاد ماشینهای خود بدون فراهم کردن امکان فهرستسازی آنها برای مدیر فناوری اطلاعات را دارند.
در نتیجه، ایجادکننده ماشین مجازی همه خطمشیهای موجود در یک شبکه از انتخاب وصله و ضد ویروس گرفته تا انتخاب برنامهها را کنار میگذارد.
در حالی که مجازیسازی برای شرکتها بینهایت مفید است و اغلب به عنوان بهترین روش گسترش شبکهها، بهبود کارایی شبکه و بهینهسازی امنیت داده در نظر گرفته میشود، شرکتها در معرض خطر پراکندگی ماشینهای مجازی یا VM sprawl قرار دارند. پراکندگی ماشینهای مجازی به ماشینهای کنترل نشده امکان اتصال به شبکهها را میدهد و تهدیدهای امنیتی مهمی را مطرح میسازد.
برای ردیابی مؤثر ماشینهای فیزیکی و مجازی در یک شبکه، شرکتها باید کاربران را اعتبارسنجی کنند و خطمشیها و رویههای کاملاً پیشرفتهای را اجرا نمایند.
علاوه بر این، برای شناسایی ماشینهای افراد کلاهبردار که ممکن است اعتبارسنجی را تخریب کرده و در شبکه سیر کنند، شرکتها باید برای پویش فضای آدرس IP خود، روی فناوریهای بدون عامل یا agentless سرمایهگذاری نمایند.
شرکتها همچنین باید زیرساخت فناوری اطلاعات خود را به روشی سازمانیافته و شفاف طراحی کنند. ترکیب ماشینهای فیزیکی و مجازی که شرکتها اکنون به آن متکی هستند، با یک نمودار ابتدایی فناوری اطلاعات که برنامهای شبیه به Visio شرکت مایکروسافت ایجاد کرده است، سازگار نیست.
مدیران فناوری اطلاعات باید دقیقاً بدانند که چه چیزهایی در محیط مجازی شده موجود است. آنها به سیستمهایی برای مدیریت شبکه نیاز دارند که از نصب برنامههای ناشناس جلوگیری کند، وجود همه ماشینها و نرمافزارها را شناسایی کند و به آنها امکان سنجش و مدیریت هایپرویزورها را به طور مستقل از شبکههای کاربر بدهد.
انجام کارهای بیشتر با امکانات کمتر
آنچه امروز مسئله را به خصوص برای شرکتهای کوچک و متوسط پیچیده میسازد، محدودیت مداوم بودجه شرکتهاست که بخشهای فناوری اطلاعات را ملزم به انجام اقدامات امنیتی وقتگیرتر با استفاده از منابع بسیار کمتر میکند.
وقتی کشوری با اثرات باقیمانده رکود مواجه میشود، شرکتها به تنظیم بودجه خود ادامه میدهند و اغلب انجام دو یا سه کار را به یک شخص محول میکنند.
مدیران فناوری اطلاعات اکنون در قبال همه چیز از مدیریت وصله گرفته تا تعمیر چاپگر و عیبیابی تأسیسات مسئول هستند.
محدودیت بودجه همچنین بدین معناست که شرکتهای کوچک و متوسط به دنبال ارزانترین نرمافزارهای خودکار برای مدیریت وصلهها هستند. این مسئله برای خیلی از شرکتها راهحلی جز استفاده از برنامه WSUS، خدمات خودکار رایگان شرکت مایکروسافت، باقی نمیگذارد. اما اتکای صرف به WSUS ممکن است مشکلاتی را به وجود آورد.
WSUS محصولات مایکروسافت را پوشش میدهد، نه وصلههای شخص ثالث. بنابراین، سازمان در برابر حملههای شخص ثالث آسیبپذیر میماند.
علاوه بر این، خیلی از شرکتها باید برای اثبات مطابقت، گزارشهایی را به حسابرسها ارائه دهند. از آنجا که WSUS گزارشدهی را فقط برای محصولات مایکروسافت فراهم میکند، مدیران فناوری اطلاعات باید بهنگامسازیهای شخص ثالث را به طور دستی ردیابی کنند که کار فشرده دیگری را به فهرست طویل وظایف آنها میافزاید.
این امر همچنین موجب افزایش کارایی بخش فناوری اطلاعات یک شرکت در برطرف کردن مشکلات امنیتی بیشتر میشود.
مدیریت قدرتمند پچها
هزینه و نیروی لازم برای گنجاندن این برنامههای موروثی و شخص ثالث در زیرساخت SCCM/SCE ممکن است گران و بازدارنده باشد. SCUP (منتشرکننده بهنگامسازیهای مرکز سیستم) شرکت مایکروسافت امکان ارائه بهنگامسازیهای برنامههای شخص ثالث نظیر ادوبی ریدر، فایرفاکس و غیره را برای SCCM میسر میسازد، اما اجرایی کردن SCUP نیازمند تلاش قابل توجهی است: مدیران سیستم باید منطق شناسایی برای تعیین اینکه یک محصول در یک ماشین موجود است یا خیر را بنویسند.
این منطق هر بار که یک بهنگامسازی امنیتی منتشر شود، ترکیب میشود و مدیران سیستم را وادار میکند منطق شناسایی و بهکارگیری را برای هر وصلهای که منتشر میشود، بازنویسی کنند.
این امر یک چرخه غیر قابل اجتناب و بیپایان تحقیق، ایجاد، آزمایش و بهکارگیری را به وجود میآورد.
این مدیران سیستم باید روی نرمافزاری سرمایهگذاری کنند که بتواند این کار سنگین و وقتگیر را ساده و مؤثر سازد.
یک محصول جامع مدیریت وصله که برنامههای مایکروسافت و شخص ثالث را تحت پوشش قرار میدهد، میتواند محافظت بیشتری را در برابر انواع گستردهتری از تهدیدها برای شرکتها فراهم کند، گزارشدهی لازم را ایجاد کند و ماشینهای مجازی را جستجو کند.
در حالی که مشتریان میتوانند فروشندههای ارائهدهنده ابزار را برای انجام این فرایند انتخاب کنند، چند خطمشی کلی وجود دارد که باید در هنگام انتخاب یک نرمافزار مدیریت وصله برای یک زیرساخت SCCM یا SCE در نظر بگیرید:
تخصص صنعتی. نرمافزاری را جستجو کنید که یک گروه متخصص در زمینه مدیریت وصله ایجاد کرده و از آن نگهداری میکند.
توسعه امنیت به فراتر از مایکروسافت. از آنجا که برنامههای شخص ثالث بخشی از بزرگترین تهدیدها برای امنیت شبکه محسوب میشوند، هر گونه نرمافزار باید برای مدیریت این برنامههای شخص ثالث به آسانی تنظیم شود.
یکپارچهسازی با SCCM. برای سادگی، سهولت در استفاده و بازگشت سرمایه، بهترین کار یافتن نرمافزاری است که بتواند برای مدیریت برنامههای شخص ثالث روی زیرساخت SCCM موجود اجرا شود.
حداقل هزینه. نرمافزارها برای داشتن کارایی حتماً نباید گران باشند. نرمافزارهایی که امروز در بازار وجود دارند میتوانند بازگشت سرمایهگذاری روی SCCM را بهبود بخشند و به طور کمینه به هزینه کلی مدیریت وصله افزوده شوند.
شناسایی و بهکارگیری دقیق وصله. ارائهدهنده نرمافزار باید یک روش اثبات شده و قابل توسعه را برای شناسایی و نصب وصلههای مورد نیاز داشته باشد.
سهولت در اجرا. نرمافزار باید با استفاده از ابزارها و روشهای موجود به آسانی در زیرساخت SCCM ادغام شود و امکان کار را برای مشتری ظرف مدت ۳۰ دقیقه یا کمتر فراهم کند.
منبع جداگانه اطلاعات بهنگامسازی. نرمافزار باید فهرستی را فراهم کند که شامل اطلاعات بهنگامسازی چند فروشنده در یک فایل جداگانه باشد.
زمان و فعالیت اجرایی کمتر. نرمافزار باید فعالیت فوقالعاده دشوار و وقتگیر لازم برای ایجاد منطق شناسایی مورد نیاز SCCM را ساده سازد. نرمافزار باید این بار سنگین را از دوش مدیران فناوری اطلاعات بردارد و وقت آنها را برای انجام کارهای مفیدتر آزاد سازد.
کمک به بر آورده ساختن الزامات مطابقتی. نرمافزار باید به سازمانهای دولتی در برآورده ساختن الزامات برنامههایی نظیر FDCC، USGCB و PCI کمک کند و فرایندهای گزارشدهی را برای اثبات مطابقت بهبود بخشد.
از آنجا که تعداد تهدیدهای امنیت شبکه و شیوههای نفوذ آنها به یک سیستم در حال افزایش است، نگهداری از یک برنامه قوی و مؤثر مدیریت وصله به عنوان اولین و احتمالاً بهترین خط دفاعی در برابر این تهدیدها، ضروری است.
شرکتها با ادغامِ یکپارچه نرمافزارهای شخص ثالث مدیریت وصله در زیرساخت SCE یا WSUS موجود میتوانند کاملاً مطمئن باشند که همه برنامههایی که کارمندان از آنها استفاده میکنند (برنامههای مایکروسافت و همچنین برنامههای موروثی و شخص ثالث مایکروسافت) شبکههای مهم و حساس تجاری را در معرض نقضهای امنیتی قرار نخواهند داد.