ايتنا - مدیریت پچ‌ها

نویسنده: جِیسون میلِر
مترجم: احمد شریفی
امروزه با مطالعه هر گونه گزارش مربوط به امنیت رایانه متوجه خواهید شد که همه آنها در پایان نتیجه‌گیری یکسانی می‌کنند: پچینگ (که از این پس تحت عنوان وصله کردن تعبیر می شود) سیستم‌های عامل و برنامه‌ها اقدامی اساسی است که همه سازمان‌ها باید برای بهبود پروفایل امنیتی خود انجام دهند.

بخش فناوری اطلاعات باید سیستم‌های عامل و برنامه‌ها از جمله برنامه‌های متفرقه را به منظور جلوگیری کامل از قرار گرفتن آنها در معرض آسیب‌پذیری‌ها به طور منظم وصله نمایند.

مؤسسه SANS، از جمله سازمان‌های معتبر در حوزه پژوهش درباره امنیت رایانه، با تأیید اینکه امروزه برنامه‌های سرویس‌گیرنده وصله نشده مهم‌ترین تهدید امنیتی برای سازمان‌ها به شمار می‌روند، بر این مسئله تاکید می‌کند.

همچنین در حالی که نرم‌افزار شرکت مایکروسافت به عنوان رایج‌ترین هدف حملات سایبری شناخته شده است، در واقع برنامه‌های دیگر فروشنده‌های نرم‌افزار مسئله‌سازتر هستند.

برای تضمین امنیت شبکه‌ سازمان‌های بزرگ یا در حال ظهور، تکیه بر نرم‌افزارهای مدیریت وصله SCCM (مدیر پیکربندی مرکز سیستم)، SCE (ضروریات مرکز سیستم) یا WSUS (خدمات بهنگام‌سازی سرور ویندوز) شرکت مایکروسافت کافی نیست.

برای تضمین اینکه همه نقاط پایانی شبکه به روشی زمان‌بندی شده و به نحو مقتضی وصله شده باشند و خط‌مشی‌های مطابقتی رعایت شده باشند (بسیاری از سازمان‌ها مانند FDIC مقررات امنیتی سختگیرانه را برای سازمان‌هایی نظیر بانک‌ها و شرکت‌های کارت اعتباری تعیین می‌کنند)، سازمان‌ها باید راهی را برای توسعه سیاست‌ها و رویه‌های وصله کردن بیابند.

با توجه به اینکه امروزه شرکت‌ها با مدیریت تعداد روزافزونی از برنامه‌های متفرقه روبرو هستند و با توجه به ظهور مجازی‌سازی و بودجه‌های محدود و حساب شده‌ای که شرکت‌ها را ملزم به انجام‌های کارهای بیشتر با امکانات کمتر می‌سازد، این کار ساده نیست.

تهدیدهای برنامه متفرقه
تهدیدها اگرنه بیشتر به همان اندازه در برنامه‌های شخص ثالث (غیر مایکروسافتی) نظیر ادوبی، اَپِل یا گوگل شایع هستند. در حقیقت، بنا بر گزارش‌های پایگاه داده ملی آسیب‌پذیری آمریکا، ۹ مورد از بیشترین تعداد تهدیدهای سال ۲۰۱۰ نه با برنامه‌های مایکروسافت بلکه با برنامه‌های ادوبی، اپل و گوگل مرتبط بوده‌اند.

مرورگر سافاری اپل و پس از آن موزیلای فایرفاکس و گوگل کروم بیشترین تعداد آسیب‌پذیری را دارا بودند. برنامه‌های متفرقه دیگر از جمله ادوبی فلش پلیر، ریدر، آکروبات، AIR و Java Runtime Environment (محیط اجرای جاوا) جزو ۱۰ برنامه‌ای بودند که بیشترین تعداد نقص امنیتی را به خود اختصاص دادند.

آسیب‌پذیری‌های موجود در این نوع برنامه‌ها همچنان تهدیدی برای امنیت شبکه‌ها محسوب می‌شود. شرکت Qualys که هر ماه فهرست ۱۰ مورد از بیشترین تعداد آسیب‌پذیری‌ها را منتشر می‌کند، در فهرست ژانویه خود عناوین پنج برنامه غیر مایکروسافتی را گنجاند.

گزارش اخیر SANS تحت عنوان «بیشترین تعداد خطرات امنیتی سایبری» بیان داشت که «در طول چند سال گذشته، تعداد آسیب‌پذیری‌های شناسایی شده در برنامه‌ها بیشتر از تعداد آسیب‌پذیری‌های شناسایی شده در سیستم‌های عامل است.»

این شرکت همچنین اشاره داشت که «وصله کردن آسیب‌پذیری‌های طرف سرویس‌گیرنده نسبت به آسیب‌پذیری‌های سیستم عامل به طور میانگین حداقل دو برابر وقت بیشتری را از سازمان‌های مهم می‌گیرد.»

مشکل اصلی در ارتباط با وصله کردن برنامه‌های متفرقه از عدم ایجاد بهنگام‌سازی‌های منظم توسط فروشنده‌های برنامه ناشی می‌شود؛ برخلاف شرکت مایکروسافت که بهنگام‌سازی‌های وصله‌ها را در سه‌شنبه دوم هر ماه به طور منظم منتشر می‌کند.

به منظور بهنگام بودن با جدیدترین وصله‌های برنامه شخص ثالث، مدیران فناوری اطلاعات هر روز باید وقت زیادی را برای یافتن اطلاعیه‌های وصله در اینترنت صرف نمایند.

این امر مستلزم جستجوی صدها وب‌گاه و وبلاگی است که فروشنده‌های برنامه برای گزارش آسیب‌پذیری‌ها و وصله‌های خود از آنها استفاده می‌کنند. بنابراین، فروشنده‌های شخص ثالث باید از شرکت مایکروسافت الگو بگیرند و وصله‌ها را به روشی قابل پیش‌بینی ارائه دهند تا در کاهش فشار کاری بر مدیران فناوری اطلاعات که برای جلوگیری از نفوذ تهدیدهای خارجی به سازمان‌های خود تلاش می‌کنند مؤثر باشند.

گرچه پچ کردن محصولات متفرقه با استفاده از فناوری‌هایی نظیر Group Policy امکان‌پذیر است، ممکن است مدیریت این بهنگام‌سازی‌ها برای مدیران فناوری اطلاعات بسیار دشوار و وقت‌گیر باشد.

به منظور اجرای موفقیت‌آمیز وصله‌های شخص ثالث، مدیران فناوری اطلاعات باید قبل از تأیید ماشین‌هایی که محصول روی آنها نصب است، ابتدا درباره محصول و نسخه‌های آسیب‌پذیر آن تحقیق نمایند.

مدیران فناوری اطلاعات با چالش‌هایی درباره پیچیدگی‌های موجود در وصله‌های برنامه شخص ثالث نیز مواجه می‌شوند. برخی وصله‌ها را نمی‌توان بدون بروز مشکل در سیستم‌های هدف به کار گرفت. این وصله‌ها وقفه‌هایی را ایجاد می‌کنند که مدیران فناوری اطلاعات را وادار به عیب‌یابی و حل مشکل می‌کنند.

این کار ممکن است وقت قابل‌توجهی از مدیران بگیرد. زیرا فروشنده‌ها همیشه برای کمک به حل مشکل در دسترس نیستند.

مجازی‌سازی
مجازی‌سازی، مدیران فناوری اطلاعات را با چالش‌های کاملاً جدیدی مواجه می‌سازد.

مجازی‌سازی آن قدر از آزادی عمل برخوردار شده است که کاربران یک شبکه قابلیت و فناوری ایجاد ماشین‌های خود بدون فراهم کردن امکان فهرست‌سازی آنها برای مدیر فناوری اطلاعات را دارند.

در نتیجه، ایجاد‌کننده ماشین مجازی همه خط‌مشی‌های موجود در یک شبکه از انتخاب وصله و ضد ویروس گرفته تا انتخاب برنامه‌ها را کنار می‌گذارد.

در حالی که مجازی‌سازی برای شرکت‌ها بی‌نهایت مفید است و اغلب به عنوان بهترین روش گسترش شبکه‌ها، بهبود کارایی شبکه و بهینه‌سازی امنیت داده در نظر گرفته می‌شود، شرکت‌ها در معرض خطر پراکندگی ماشین‌های مجازی یا VM sprawl قرار دارند. پراکندگی ماشین‌های مجازی به ماشین‌های کنترل نشده امکان اتصال به شبکه‌ها را می‌دهد و تهدیدهای امنیتی مهمی را مطرح می‌سازد.

برای ردیابی مؤثر ماشین‌های فیزیکی و مجازی در یک شبکه، شرکت‌ها باید کاربران را اعتبارسنجی کنند و خط‌مشی‌ها و رویه‌های کاملاً پیشرفته‌ای را اجرا نمایند.

علاوه بر این، برای شناسایی ماشین‌های افراد کلاهبردار که ممکن است اعتبارسنجی را تخریب کرده و در شبکه سیر کنند، شرکت‌ها باید برای پویش فضای آدرس IP خود، روی فناوری‌های بدون عامل یا agentless سرمایه‌گذاری نمایند.

شرکت‌ها همچنین باید زیرساخت فناوری اطلاعات خود را به روشی سازمان‌یافته و شفاف طراحی کنند. ترکیب ماشین‌های فیزیکی و مجازی که شرکت‌ها اکنون به آن متکی هستند، با یک نمودار ابتدایی فناوری اطلاعات که برنامه‌ای شبیه به Visio شرکت مایکروسافت ایجاد کرده است، سازگار نیست.

مدیران فناوری اطلاعات باید دقیقاً بدانند که چه چیزهایی در محیط مجازی شده موجود است. آنها به سیستم‌هایی برای مدیریت شبکه نیاز دارند که از نصب برنامه‌های ناشناس جلوگیری کند، وجود همه ماشین‌ها و نرم‌افزارها را شناسایی کند و به آنها امکان سنجش و مدیریت هایپرویزورها را به طور مستقل از شبکه‌های کاربر بدهد.

انجام کارهای بیشتر با امکانات کمتر
آنچه امروز مسئله را به خصوص برای شرکت‌های کوچک و متوسط پیچیده می‌سازد، محدودیت مداوم بودجه شرکت‌هاست که بخش‌های فناوری اطلاعات را ملزم به انجام اقدامات امنیتی وقت‌گیرتر با استفاده از منابع بسیار کمتر می‌کند.

وقتی کشوری با اثرات باقیمانده رکود مواجه می‌شود، شرکت‌ها به تنظیم بودجه خود ادامه می‌دهند و اغلب انجام دو یا سه کار را به یک شخص محول می‌کنند.

مدیران فناوری اطلاعات اکنون در قبال همه چیز از مدیریت وصله گرفته تا تعمیر چاپگر و عیب‌یابی تأسیسات مسئول هستند.

محدودیت بودجه همچنین بدین معناست که شرکت‌های کوچک و متوسط به دنبال ارزان‌ترین نرم‌افزارهای خودکار برای مدیریت وصله‌ها هستند. این مسئله برای خیلی از شرکت‌ها راه‌حلی جز استفاده از برنامه WSUS، خدمات خودکار رایگان شرکت مایکروسافت، باقی نمی‌گذارد. اما اتکای صرف به WSUS ممکن است مشکلاتی را به وجود آورد.

WSUS محصولات مایکروسافت را پوشش می‌دهد، نه وصله‌های شخص ثالث. بنابراین، سازمان در برابر حمله‌های شخص ثالث آسیب‌پذیر می‌ماند.
علاوه بر این، خیلی از شرکت‌ها باید برای اثبات مطابقت، گزارش‌هایی را به حسابرس‌ها ارائه دهند. از آنجا که WSUS گزارش‌دهی را فقط برای محصولات مایکروسافت فراهم می‌کند، مدیران فناوری اطلاعات باید بهنگام‌سازی‌های شخص ثالث را به طور دستی ردیابی کنند که کار فشرده دیگری را به فهرست طویل وظایف آنها می‌افزاید.

این امر همچنین موجب افزایش کارایی بخش فناوری اطلاعات یک شرکت در برطرف کردن مشکلات امنیتی بیشتر می‌شود.

مدیریت قدرتمند پچ‌ها
هزینه و نیروی لازم برای گنجاندن این برنامه‌های موروثی و شخص ثالث در زیرساخت SCCM/SCE ممکن است گران و بازدارنده باشد. SCUP (منتشر‌کننده بهنگام‌سازی‌های مرکز سیستم) شرکت مایکروسافت امکان ارائه بهنگام‌سازی‌های برنامه‌های شخص ثالث نظیر ادوبی ریدر، فایرفاکس و غیره را برای SCCM میسر می‌سازد، اما اجرایی کردن SCUP نیازمند تلاش قابل توجهی است: مدیران سیستم باید منطق شناسایی برای تعیین اینکه یک محصول در یک ماشین موجود است یا خیر را بنویسند.
این منطق هر بار که یک بهنگام‌سازی امنیتی منتشر شود، ترکیب می‌شود و مدیران سیستم را وادار می‌کند منطق شناسایی و به‌کارگیری را برای هر وصله‌ای که منتشر می‌شود، بازنویسی کنند.

این امر یک چرخه غیر قابل اجتناب و بی‌پایان تحقیق، ایجاد، آزمایش و به‌کارگیری را به وجود می‌آورد.

این مدیران سیستم باید روی نرم‌افزاری سرمایه‌گذاری کنند که بتواند این کار سنگین و وقت‌گیر را ساده و مؤثر سازد.
یک محصول جامع مدیریت وصله که برنامه‌های مایکروسافت و شخص ثالث را تحت پوشش قرار می‌دهد، می‌تواند محافظت بیشتری را در برابر انواع گسترده‌تری از تهدیدها برای شرکت‌ها فراهم کند، گزارش‌دهی لازم را ایجاد کند و ماشین‌های مجازی را جستجو کند.

در حالی که مشتریان می‌توانند فروشنده‌های ارائه‌دهنده ابزار را برای انجام این فرایند انتخاب کنند، چند خط‌مشی کلی وجود دارد که باید در هنگام انتخاب یک نرم‌افزار مدیریت وصله برای یک زیرساخت SCCM یا SCE در نظر بگیرید:
تخصص صنعتی. نرم‌افزاری را جستجو کنید که یک گروه متخصص در زمینه مدیریت وصله ایجاد کرده و از آن نگهداری می‌کند.

توسعه امنیت به فراتر از مایکروسافت. از آنجا که برنامه‌های شخص ثالث بخشی از بزرگترین تهدیدها برای امنیت شبکه محسوب می‌شوند، هر گونه نرم‌افزار باید برای مدیریت این برنامه‌های شخص ثالث به آسانی تنظیم شود.

یکپارچه‌سازی با SCCM. برای سادگی، سهولت در استفاده و بازگشت سرمایه، بهترین کار یافتن نرم‌افزاری است که بتواند برای مدیریت برنامه‌های شخص ثالث روی زیرساخت SCCM موجود اجرا شود.

حداقل هزینه. نرم‌افزارها برای داشتن کارایی حتماً نباید گران باشند. نرم‌افزارهایی که امروز در بازار وجود دارند می‌توانند بازگشت سرمایه‌گذاری روی SCCM را بهبود بخشند و به طور کمینه به هزینه کلی مدیریت وصله افزوده شوند.

شناسایی و به‌کارگیری دقیق وصله. ارائه‌دهنده نرم‌افزار باید یک روش اثبات شده و قابل توسعه را برای شناسایی و نصب وصله‌های مورد نیاز داشته باشد.

سهولت در اجرا. نرم‌افزار باید با استفاده از ابزارها و روش‌های موجود به آسانی در زیرساخت SCCM ادغام شود و امکان کار را برای مشتری ظرف مدت ۳۰ دقیقه یا کمتر فراهم کند.

منبع جداگانه اطلاعات بهنگام‌سازی. نرم‌افزار باید فهرستی را فراهم کند که شامل اطلاعات بهنگام‌سازی چند فروشنده در یک فایل جداگانه باشد.

زمان و فعالیت اجرایی کمتر. نرم‌افزار باید فعالیت فوق‌العاده دشوار و وقت‌گیر لازم برای ایجاد منطق شناسایی مورد نیاز SCCM را ساده سازد. نرم‌افزار باید این بار سنگین را از دوش مدیران فناوری اطلاعات بردارد و وقت آنها را برای انجام کارهای مفیدتر آزاد سازد.

کمک به بر آورده ساختن الزامات مطابقتی. نرم‌افزار باید به سازمان‌های دولتی در برآورده ساختن الزامات برنامه‌هایی نظیر FDCC، USGCB و PCI کمک کند و فرایندهای گزارش‌دهی را برای اثبات مطابقت بهبود بخشد.

از آنجا که تعداد تهدیدهای امنیت شبکه و شیوه‌های نفوذ آنها به یک سیستم در حال افزایش است، نگهداری از یک برنامه قوی و مؤثر مدیریت وصله به عنوان اولین و احتمالاً بهترین خط دفاعی در برابر این تهدیدها، ضروری است.

شرکت‌ها با ادغامِ یکپارچه نرم‌افزارهای شخص ثالث مدیریت وصله در زیرساخت SCE یا WSUS موجود می‌توانند کاملاً مطمئن باشند که همه برنامه‌هایی که کارمندان از آنها استفاده می‌کنند (برنامه‌های مایکروسافت و همچنین برنامه‌های موروثی و شخص ثالث مایکروسافت) شبکه‌های مهم و حساس تجاری را در معرض نقض‌های امنیتی قرار نخواهند داد.

درباره نویسنده: جیسون میلر مدیر گروه داده و امنیت در شرکت VMWare است. او گروه محافظت از پچ‌های این شرکت را در زمینه نظارت بر تهدیدها و آسیب‌پذیری‌های جدید رهبری می‌کند.

منبع: فصلنامه Secureview