اهمیت پچ کردن نرم افزارها از زبان کارشناسان امنیت سایبری | قسمت اول

احتمالاً حداقل یک بار در زندگی به این موضوع توجه کرده‌اید که افرادی که علاقه و اشتیاق شدیدی نسبت به کار خودشان دارند، طوری در رابطه با موضوعات مربوط به کارشان صحبت می‌کنند که شور و اشتیاق زیادی را به مخاطب منتقل می‌کنند. وقتی با چنین افرادی صحبت می‌کنید دیدگاه عمیق‌تر و آگاهانه‌تری نسبت به موضوع مورد بحث پیدا می‌کنید.

به همین دلیل ما‌ این مطالب را گردآوری کردیم که شامل نظرات کارشناسان امنیتی خبره و توصیه‌ها‌یی است که برای همه مفید هستند.

پیش از این هم مطالب مشابهی را در این سایت منتشر کردیم که شامل نکات و ترفندهایی برای افزایش امنیت در فضای آنلاین و همچنین بزرگ‌ترین اشتباهاتی که کاربران در رابطه با امنیت اینترنتی مرتکب می‌شوند، بود و حالا وقت بررسی مسئله‌ای است که اکثر 3.3 میلیارد کاربر اینترنت آن را نادیده می‌گیرند: پچ کردن نرم‌افزارها.

به بیان ساده، پچ کردن نرم‌افزارها به معنی اعمال آپدیت‌ها‌ی موجود به ‌سیستم‌عامل‌ها‌ و اپلیکیشن‌ها‌یی مثل مرورگرها، پلاگین‌ها‌، اپلیکیشن‌ها‌ی دسک­تاپ و غیره است. معمولاً در این آپدیت‌ها‌ یا ویژگی‌ها‌ی جدیدی به اپلیکیشن‌ها‌ اضافه می‌شود یا مشکلات‌شان رفع می‌شود بنابراین در مجموع با اعمال‌ این آپدیت‌ها‌ نرم‌افزار مورد استفاده شما بهبود پیدا می‌کند یا مشکلات موجود در آن رفع می‌شود.

البته به‌روزرسانی نرم‌افزارها برای اکثر کاربران، کار خسته کننده و ناخوشایندی است اما مراجعه به پزشک هم همین‌طور است. اما‌ این به آن معنا نیست که هیچ‌وقت نیازی به مراجعه به پزشک نداریم. ‌P‌atc‌h کردن نرم‌افزارها از جمله اقدامات پیشگیرانه‌ای است که می‌توانیم برای ارتقای امنیت خودمان در فضای آنلاین انجام بدهیم.

در این مطلب توصیه‌ها‌ی مهمی در رابطه با به‌روزرسانی نرم‌افزارها از طرف بیش از 15 متخصص و کارشناس خبره حوزه امنیت سایبری از شرکت‌ها‌یی مثل Bitdefender، ESET، RAPID7، Avira، Sticky Password و غیره مطرح می‌کنیم. اگر‌ این توصیه‌ها‌ی واقع بینانه و کاربردی، شما را متقاعد نکرد که بروز رسانی نرم‌افزارها را برای خودتان تبدیل به یک عمل روتین کنید، احتمالاً هیچ چیز دیگری قادر به انجام این کار نخواهد بود (و با توجه به‌ این که ما اصرار داریم شما مخاطبین عزیز در فضای آنلاین از داده‌ها‌ و اطلاعات‌تان محافظت کامل به عمل آورید، این تاپیک را دائماً به‌روزرسانی و تکمیل خواهیم کرد).

 

ANDREI PETRUS

 

 

مدیر تولید در شرکت Avira

 

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

در تاریخ نه چندان طولانی کامپیوتر، داشتن آنتی‌ویروس برای حفظ امنیت داده‌ها‌ تا حدی کافی بود. و دلیل این امر این بود که اطلاعات و عملکرد شما محدود به کامپیوترهایی بود که هیچ ارتباطی با دنیای خارجی نداشتند (صرف‌نظر از رسانه‌ها‌ی ذخیره‌سازی و انتقال داده‌ها‌). با فراگیر شدن اینترنت و قابلیت اتصال به آن در هر نقطه از جهان، نرخ استفاده از اینترنت رشد چشمگیری پیدا کرد و داده‌ها‌ و اطلاعات از حالت “ایستا” به حالت “پویا” تغییر کردند.

برای مقابله با نشت داده‌ها‌ و رخنه‌ها‌ی اطلاعاتی که ممکن است به دلیل کیفیت نامناسب نرم‌افزارها یا به علت حملات معماری شده انجام شوند، نیاز به تلاش برای حفظ امنیت‌ ایجاد شد. به همین علت لازم است که تمام استراتژی‌ها‌ی امنیت سایبری مدرن شامل یک خط مشی قوی باشند که باعث شوند زمان نصب پچ‌های جدید برای تمام نرم‌افزارهای نصب شده بر روی هر سیستمی‌ به حداقل برسد و وقتی قرار است اولویتی به امنیت تخصیص بدهیم، این اولویت باید اولویت شماره 0 باشد.

• اهمیت پچ کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

سیستم اطلاعاتی، برای سرمایه‌ها‌ی دیجیتال شما (اسناد، تصاویر، بوک‌مارک‌ها، اطلاعات بانکی و غیره) حکم یک خانه فیزیکی را دارد. هر اپلیکیشنی که بر روی کامپیوتر خود نصب می‌کنید، حکم یک پل باز را دارد که به منزل شما متصل می‌شود تا بتوانید از زیرساخت‌ها‌ی مفید و کاربردی استفاده کنید.

با اتصال ساختارهای مختلف به ساختمان اصلی شما آن هم با یک راه ارتباطی مستقیم، سطح امنیت شما معادل با سطح امنیت ضعیف‌ترین ساختار بین این ساختارها خواهد شد؛ به طوریکه می‌توان از این نقاط ضعف به عنوان مسیر ورود به ساختمان اصلی استفاده کرد.

ممکن است یک روز، سازنده یکی از ساختمان‌ها‌ی ثانویه به شما اطلاع بدهد که متوجه شد‌ه یک حفره در یکی از دیوارهای خارجی پر نشده است؛ ما به چنین چیزی “آسیب‌پذیری” می‌گوییم که کل سیستم را در معرض خطر قرار می‌دهد. اگر شرکت سازنده به شما پیشنهاد بدهد که خودش این مشکل را اصلاح می‌کند، درواقع یک patc‌h به شما ارائه کرده که از طریق به‌روزرسانی به شما تحویل داده می‌شود.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

پاسخ کوتاه، ساده و منطقی به این سوال این است که هر نرم‌افزاری حاصل مستقیم کار و تلاش انسانی است و گاهی اوقات هر یک از ادراکات و تصورات انسانی به صورت ناخواسته باعث ‌ایجاد نواقصی در آن می‌شود که متأسفانه این امر فرصت‌ها‌یی را برای تبهکاران سایبری ایجاد می‌کند.

اما جنبه مثبت این موضوع این است که می‌توانید با اتخاذ به موقع یک استراتژی امنیتی خوب، تأثیرات منفی این نواقص را به حداقل برسانید.

• مهم‌ترین توصیه عملی شما برای کاربران در رابطه با پچ کردن نرم‌افزارها چیست؟

نرم‌افزارهای کامپیوتری را مستقیماً از وب‌سایت فروشندگان یا از فروشگاه‌ها‌ی رسمی ‌نرم‌افزاری تهیه کنید، به‌روزرسانی خودکار ‌سیستم‌عامل و اپلیکیشن‌ها‌یی که این قابلیت را دارند، فعال کنید و از راهکارهایی تخصصی استفاده کنید که به صورت خودکار تمام اپلیکیشن‌ها‌ را به روز نگه می‌دارند.

و نکته بسیار مهم این که، حتماً یک راهکار امنیتی مخصوص اینترنت روی کامپیوترتان نصب کنید.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌تواند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای پچ کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟

در محیط‌ها‌ی شرکتی، توصیه من استفاده‌ از دستگاه‌ها‌یی است که تحت مدیریت بخش فناوری اطلاعات (IT) قرار داشته باشند و یک تیم IT زیرساختی شایسته، پچ کردن نرم‌افزارها را به صورت دائم انجام بدهد.

نمی‌توان رویکرد BYOD را کاملاً کنار گذاشت اما لازم است شبکه‌ها‌یی را که امکان اتصال به دستگاه‌ها‌ی مختلف کارمندان یا مهمان‌ها‌ را دارند، از شبکه اصلی تفکیک کرد چون هر آسیب‌پذیری روی این دستگاه‌ها‌ – از جمله نرم‌افزارهای پچ نشده – در بزرگی را برای حمله به شبکه اصلی کمپانی باز می‌کند.

 

BRIAN DONOHUE

 

 

روزنامه‌نگار حوزه تکنولوژی و موضوعات امنیت شبکه در (Cyber4Sigh (Booz Allen Hamilton

•  شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

با توجه به پیشینه من به عنوان یک روزنامه‌نگار و تحلیل‌گر امنیت شبکه، تجربه من در زمینه پیاده‌سازی آپدیت‌های امنیتی و سیاست‌های اولویت‌بندی pa‌tch، محدود است. اما پوشش امنیت اینترنتی و پشتیبانی از چندین مرکز عملیات امنیتی باعث شده که مدام در حال خواندن، نوشتن و صحبت کردن درباره پژوهش‌ها‌ی امنیتی مختلف و اولویت دادن به پچ  کردن نرم‌افزارها باشم. به همین دلیل، کم کم تجربیاتی که از متخصصین فرایندهای p‌atch نرم‌افزاری مثل مدیر ارشد تکنولوژی شرکت Qualys، Wolfgang Kandek  کسب می‌کنم، مدام در حال افزایشند.

یکی از جالب‌ترین اطلاعاتی که من در مصاحبه اخیر با Kandek در رابطه با پچ کردن نرم‌افزارها کسب کردم این است که وی مدام در حال اولویت دادن به رفع آسیب‌پذیری‌ها‌ی Microsoft Silverlight است. ظاهراً این تغییر در واکنش به دسترسی کارمندان به Netflix انجام شده که برای پردازش محتوای ویدیویی روی کامپیوترهای این شرکت نیاز به Silverlight دارد. به این ‌ترتیب اولویت‌ها‌ی مربوط به pa‌t‌ch در سازمان‌ها‌ در حال تغییر است چون شرکت‌ها‌ در تلاش هستند تا انعطاف‌پذیری را برای کارمندان، افزایش داده و سیاست‌ها‌ی آزادانه‌تری جهت دسترس‌پذیری دائم و جابجایی آسان دستگاه‌ها‌ی مختلف بکار ببرند.

• اهمیت پچ کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

پچ کردن نرم‌افزارها مثل تعمیر و نگهداری ماشین است. شاید ماشین شما بدون تعمیر و نگهداری هم حرکت کند اما هر چه فاصله بین چکاپ‌ها‌ طولانی‌تر شود، رانندگی با ماشین خطرناک‌تر می‌شود.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

به نظر من “خیلی آسیب‌پذیر” توصیف کردن یک نرم‌افزار تا حدی اشتباه است. حتی Dan Greer و Bruce Schneier دو نفر از شناخته‌شده‌ترین کارشناسان این صنعت مطمئن نیستند که آسیب‌پذیری‌ها‌ به صورت پراکنده در نرم‌افزارهای مختلف قرار دارند یا فشرده و متراکم.

مشخصاً نرم‌افزارهای زیادی توسط افراد مختلف با مقاصد مختلف تولید می‌شوند، بنابراین وجود آسیب‌پذیری‌ها و نقاط ضعف در این نرم‌افزارها تقریباً امری حتمی است. بعلاوه حجم داده‌ها‌ی ارزشمندی که در نرم‌افزارهای مختلف قرار دارند آن‌قدر زیاد است که سوء استفاده از نقاط ضعف موجود در نرم‌افزارها توسط مجرمین سایبری واقعاً غیر قابل چشم پوشی است.

در مجموع، در رابطه با نرم‌افزارهای آسیب‌پذیر، کاربران دو راه دارند: توقف استفاده از نرم‌افزار که در اکثر موارد عملی نیست و یا استفاده از نرم‌افزار و نصب آپدیت‌ها‌ی امنیتی در اسرع وقت.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با پچ کردن نرم‌افزارها چیست؟

آپدیت امنیتی نرم‌افزارها را در اسرع وقت نصب کنید و سعی کنید از بکار بردن نرم‌افزارهایی که پشتیبانی از آن‌ها‌ متوقف شده و هیچ آپدیت امنیتی برای آن‌ها‌ ارائه نمی‌شود، خودداری کنید.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

نمی‌توانم هیچ ابزار خاصی را برای کاربران توصیه کنم. بخصوص برای اندروید که فرایند پچ کردن نرم‌افزارها در آن سخت‌تر است. سازندگان ‌سیستم‌عامل‌ها‌ی مهم کاملاً از اهمیت پچ کردن نرم‌افزارها آگاه هستند و نصب آپدیت‌ها‌ را برای کاربران بشدت ساده کرده‌اند.

برای ‌سیستم‌عامل ویندوز تقریباً تمام کاربران باید سیستم خودشان را طوری تنظیم کنند که آپدیت‌ها‌ را به صورت خودکار نصب کند. برای کاربران iOs و OS X خود شرکت اپل به خوبی اخطاریه‌ها‌ی لازم را هم برای اپلیکیشن‌ها‌ و هم ‌سیستم‌عامل‌ها‌ی مربوطه صادر می‌کند.

به عبارت دیگر، در بیشتر پلتفرم‌ها‌ فروشنده‌ها‌ی نرم‌افزار معمولاً هنگام انتشار آپدیت، اخطارهای لازم را صادر می‌کنند و ظاهراً بخشی از این فرایند که در اجرای آن کم و کاستی‌هایی پیش می‌آید ناشی از عدم آگاهی کاربران از ضرورت نصب آپدیت‌ها است.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌تواند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای pat‌ch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟

آموزش بهتر کارمندان چه مسئول اجرایی باشند و چه کارورز در رابطه با آسیب‌پذیری‌ها‌ی امنیتی و اهمیت پچ کردن سریع و کامل نرم‌افزارها، برای تمام مؤسسات و شرکت‌ها‌ مفید است.

حتی تحت بهترین برنامه‌ریزی‌ها‌ برای پچ کردن نرم‌افزارها، لازم است که بعضی از کارمندان خودشان به‌روزرسانی برخی از نرم‌افزارها را انجام بدهند. برای اطمینان از این که کارمندان از نیاز به نصب آپدیت‌ها‌ و چگونگی انجام این کار و زمان مناسب برای آن مطلع هستند، آموزش تاکتیکی کلیدی است.

در مجموع من بر این باور هستم که اگر کاربران از خطرات ناشی از بی‌توجهی به این موضوع آگاه باشند، در نصب آپدیت‌ها‌ و پایبندی به خط مشی‌ها‌ی امنیتی بهتر عمل می‌کنند.

 

DAN GOODIN

 

 

سردبیر بخش امنیت در Ars Technica

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

سعی می‌کنم که بعد از انتشار آپدیت‌ها‌، حداکثر ظرف 24 ساعت آن‌ها‌ را نصب کنم.

• اهمیت پچ کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

پچ کردن نرم‌افزارها برای پیشگیری از هک شدن خیلی خیلی مهم است.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

تمام نرم‌افزارها آسیب‌پذیر هستند. وقتی احتمال هک نشدن شما به حداکثر می‌رسد که تمام آپدیت‌ها‌ را در اسرع وقت نصب کنید.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با پچ کردن نرم‌افزارها چیست؟

پچ ، پچ و پچ .

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

من از هیچ ابزاری استفاده نمی‌کنم.

 

DAVE PISCITELLO

 

 

معاون رئیس، مسئول هماهنگی امنیت و ICT در شرکت ICANN

 

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

نصب به موقع پچ‌های نرم‌افزاری هم‌زمان با مدیریت پیکربندی‌ها‌ی امن، مسلماً مهم‌ترین اقدام امنیتی است که هر سازمانی باید انجام دهد. در روش محافظت چندلایه‌ای هیچ اقدامی ‌نمی‌تواند جایگزین شناسایی و کاهش آسیب‌پذیری‌ها‌ی موجود در ‌سیستم‌عامل و اپلیکیشن‌ها‌ شود.

سیستم‌ها‌یی که به درستی پچ شده باشند، آخرین خط دفاعی را در سیستم‌ها‌ی امنیتی که تنظیمات نامناسب یا نادرستی دارند‌ ایجاد می‌کنند.

• اهمیت پچ کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

اگر قرار باشد این کار را انجام بدهم، پچ کردن را به نگهداری و تعمیر روتین ماشین تشبیه می‌کنم. جایگزینی قطعات نرم‌افزاری که قابلیت سوء استفاده از آن‌ها‌ وجود دارد مثل جایگزینی قطعات کهنه و فرسوده ماشین است.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

آسیب‌پذیری نرم‌افزارها دلایل مختلفی دارد. معمولاً برای خیلی از ‌سیستم‌عامل‌ها‌ی پرکاربرد و تعداد زیادی از اپلیکیشن‌ها‌ی محبوب که از میلیون‌ها‌ خط کد تشکیل شده‌اند، زمان کافی جهت بررسی کد و شناسایی خطاهای منطقی، خطاهای مربوط به مدیریت حافظه و یا خطاهای برنامه‌نویسی که امکان سوء استفاده از آن‌ها‌ وجود دارد، صرف نمی‌شود. بررسی‌ ایمن بودن کدها کار زمان بری است، باعث افزایش زمان توسعه نرم‌افزارها می‌شود، باعث کاهش بودجه بخش‌ها‌ی توسعه امکانات و نوآوری می‌شود و در نهایت باعث تاخیر در تحویل محصول به بازار می‌شود.

اما باید توجه داشت که هزینه‌ها‌ی ناخواسته مربوط به عدم بازبینی کدها هم قابل توجه است که شامل هزینه‌ها‌ی مختلفی مثل هزینه عرضه پچ و آپدیت و همچنین هزینه‌ها‌ی ناملموسی مثل آسیب رسیدن به برند است.

امروزه خیلی از مردم بعضی از برندها را نه فقط برای شهرت‌شان بلکه به دلیل وجود کدهای آسیب‌پذیر در محصولات‌شان می‌شناسند که مجرمین سایبری می‌توانند از این آسیب‌پذیری‌ها‌ به نفع خودشان استفاده کنند.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با پچ کردن نرم‌افزارها چیست؟

برای کاربران معمولی توصیه می‌کنم که به‌روزرسانی خودکار ‌سیستم‌عامل‌ها‌ را فعال کنند. نرم‌افزارهای رایگان و غیر رایگان مختلفی هستند که عمل پچ کردن اپلیکیشن‌ها‌ را به صورت خودکار انجام می‌دهند. این نرم‌افزارها برای خیلی از ‌سیستم‌عامل‌ها‌ موجود هستند.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌تواند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای پچ کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟

راهکارهای امنیتی و ابزارهای مدیریت پچ می‌توانند به شدت مؤثر واقع شوند. نگاهی به KBOX KACE (DELL)، WSUS (MSFT)، SUS) Siemens) و سایر اپلیکیشن‌ها‌ و سرویس‌ها‌ی آپدیت نرم‌افزار داشته باشید.

 

DAVID HARLEY

 

 

محقق ارشد در شرکت ESET امریکای شمالی

 

David به عنوان متخصصی با سابقه‌ای غنی و طولانی در حوزه امنیت سایبری توصیه‌ها‌ی مختلفی در رابطه با پچ کردن نرم‌افزارها داشت.

• اهمیت پچ کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

کامپیوترها نسبت به اعتباری که ما برای آن‌ها قائل هستیم، مطمئن‌تر هستند. اما نرم‌افزارها توسط انسان نوشته می‌شوند و انسان‌ها‌ هم خطا می‌کنند. هر چه یک برنامه پیچیده‌تر باشد و امکانات بیشتری داشته باشد، امکان این که در آن خطایی باشد، بیشتر می‌شود. بعضی از این خطاها قابل توجه هستند، بعضی ناخوشایند هستند اما خیلی حیاتی نیستند و بعضی ممکن است تأثیرات چشمگیری داشته باشند،‌ اما معمولاً می‌توان آن‌ها‌ را به سرعت اصلاح کرد. بعضی از خطاها هم جزئی هستند و ممکن است اکثر کاربران یا هیچ کدام از کاربران متوجه این خطاها نشوند مگر تحت شرایطی خاص؛ به همین دلیل می‌توان گفت اهمیت چندانی ندارند.

اما بعضی از موارد ممکن است تا مدتی قابل مشاهده نباشند و کاربران معمولی متوجه این خطاها نشوند و تأثیراتی بر اجرای معمولی سیستم یا اپلیکیشن نداشته باشند اما کاربر و دستگاه او را در معرض نفوذ مجرمین سایبری قرار دهند. مجرمین سایبری به دلایل مختلفی تمایل دارند به سیستم شما و داده‌ها‌ی موجود در آن دسترسی پیدا کنند. ممکن است قصد این افراد فقط ‌ایجاد آسیب باشد، اما احتمال این که انگیزه‌ها‌ی اقتصادی داشته باشند، بیشتر است و می‌توانند به روش‌ها‌ی مختلفی با دسترسی غیر مجاز به سیستم‌ها‌ درآمدزایی کنند.

مسلماً افرادی که اپلیکیشن‌ها‌ی مجاز تولید می‌کنند،‌ عمداً در کدها نقص ‌ایجاد نمی‌کنند تا مجرمین سایبری از آن سوء استفاده کنند. اما گاهی اوقات یک لغزش و خطای کوچک در کدنویسی ممکن است یک حفره ‌ایجاد کند که به مجرمین امکان دسترسی به قسمت‌ها‌ی مختلف به خصوص قسمت‌ها‌ی مربوط به حافظه کامپیوتر را داده و این افراد بتوانند دستورات نامناسبی را به کامپیوتر صادر کنند. متأسفانه خیلی از افراد به دنبال چنین رخنه‌ها‌ی امنیتی در برنامه‌ها‌ هستند و همه این افراد هکرهای کلاه سفید نیستند.

• مهم‌ترین توصیه عملی شما برای کاربران در رابطه با p‌atc‌h کردن نرم‌افزارها چیست؟

به دلایل مختلفی باید درباره پچ کردن نرم‌افزارها حساس باشید. به دلیل اهمیت پچ کردن نرم‌افزارها، شرکت‌ها‌ و سازمان‌ها‌ی بزرگ مکانیزم‌ها‌ی آپدیت مرحله‌ای دارند که با تست روی سیستم‌ها‌یی که برای کارهای مهم و حساس استفاده نمی‌شوند، شروع می‌شود. گاهی اوقات به دلایلی، pa‌t‌ch کردن نرم‌افزارها با مشکل روبرو می‌شود و گاهی این مشکلات نتایج فاجعه باری را با خود به همراه دارند. اکثر کاربران خانگی تخصص یا منابع لازم برای پیاده‌سازی فرایند تغییر را به صورت مؤثر و کارآمد ندارند، اما حداقل می‌توانند احتیاط لازم را به عمل‌آورند تا از فجایعی که باعث آسیب دائم یا از دست رفتن یک سیستم یا حتی بیشتر از یک سیستم می‌شوند پیشگیری کرده و دسترسی به تمام داده‌ها‌ و اطلاعات موجود روی آن سیستم را از دست ندهند.

این توصیه فقط شامل پشتیبانی گیری از داده‌ها‌ نیست، هر چند انجام این کار حیاتی است بلکه لازم است اطمینان حاصل کنید که می‌توانید تمام اپلیکیشن‌ها‌ی مورد نیاز برای دسترسی به داده‌ها‌ی مهم خودتان را مجدداً نصب کنید. به هر حال، هر چند از دست دادن داده‌ها‌ به دلیل خطا در پچ اتفاق متداولی نیست، اما احتیاط و پشتیبان گیری از داده‌ها‌ یک راهکار دفاعی ضروری در برابر مشکلات امنیتی غیر متداول است؛ مثل قفل شدن داده‌ها‌ توسط باج افزار. به یاد داشته باشید که داشتن یک نسخه پشتیبان بهتر از نداشتن آن است اما تهیه بیش از یک نسخه پشتیبان که‌ ترجیحاً در محل‌ها‌ی مختلفی ذخیره شده باشد خیلی بهتر خواهد بود.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌تواند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای پچ کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟

مدیریت pac‌h و آپدیت می‌تواند برای سازمان‌ها‌ کار هزینه بری باشد، اما سرویس‌ها‌یی هستند که می‌توان این کار را به آن‌ها‌ برون سپاری کرد (که البته من به شخصه اخیراً هیچ کدام از این سرویس‌ها‌ را استفاده و ارزیابی نکردم). وقتی موارد زیر در سازمانی وجود داشته باشد، مشکل پیچیده‌تر می‌شود:

1. از چندین سیستم مجزا استفاده شود و هیچ استانداردسازی در رابطه با سخت‌افزار، ‌سیستم‌عامل و اپلیکیشن‌ها‌ی آن‌ها‌ صورت نگرفته باشد.
2. خط مشی BY‌OD در سازمان وجود داشته باشد، مگر این که طیف و عملکرد دستگاه‌ها‌یی که کارمندان با خود به سازمان می‌آورند، محدود شده و بر آن نظارت شود (مثلاً کارمندان فقط بتوانند دستگاه‌ها‌ و اپلیکیشن‌ها‌ی تایید شده را با خود به سازمان بیاورند).
3. کارمندان نسبت به مسئولیت‌ها‌ی خودشان در رابطه با امنیت (از جمله نگهداری و استفاده شایسته از سیستم‌ها‌ و سرویس‌ها‌) تحت یک خط مشی رسمی‌ مناسب و با آموزش دائم، آگاهی پیدا نکرده باشند.

تلاش برای کم کردن این مشکلات باعث می‌شود که استفاده از یک فرایند مناسب برای مدیریت تغییرات ساده‌تر شود. این کار کمک می‌کند تیم IT شما (چه در داخل سازمان چه از نیروهای خارجی) شامل کارمندانی باشد که از ضرورت نظارت بر مشکلات pa‌tching آگاه باشند و بتوانند در مواقعی که مشکلی ‌ایجاد می‌شود، اقدامات لازم را انجام دهند؛ چه این اقدامات شامل توزیع pat‌ch در محل‌ها‌ی لازم باشد یا مقابله با مشکلاتی مثل عدم سازگاری نسخه‌ها‌ی جدید یا سایر مشکلاتی که ممکن است پس از نصب پچ ایجاد شوند.

 

DUNCAN MCALYNN

 

 

مهندس ارشد امنیت و مبلغ امنیت در Ivanti

 

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

این کار برای من، فقط به منزله افزایش سطح امنیت نیست بلکه یک باید مطلق است! وقتی به این نکته توجه داشته باشید که تنها 16 درصد از تمام آسیب‌پذیری‌ها‌یی که در چند سال اخیر شناخته شده، در اپلیکیشن‌ها‌ و پلتفرم‌ها‌ی شرکت مایکروسافت کشف شده‌اند، کاملاً مشخص می‌شود که هر چند سعی شده فرایند Microsoft Pat‌ch Tuesday نهادینه شده و تکامل بیشتری پیدا کند، اما اکثر سازمان‌ها‌ هنوز اصرار دارند که بخشی از 84 درصد باقیمانده باشند! درواقع نیاز است که در حال حاضر توجه خودمان را به اپلیکیشن‌ها‌ی شخص ثالث و ‌سیستم‌عامل‌ها‌یی غیر از ‌سیستم‌عامل‌ها‌ی شرکت مایکروسافت جلب کنیم. در حقیقت بیشتر آسیب‌پذیری‌ها‌یی که اخیراً شناسایی شدند با به روز نگه داشتن Adobe، Java و مرورگرها قابل حل هستند.

• اهمیت پچ کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

مادربزرگ! قطعاً شما هیچ‌وقت جواهرات ارزشمندتان را جلوی در خانه رها نمی‌کنید یا هیچ‌وقت بدون قفل کردن در از خانه بیرون نمی‌روید! پچ کردن هم شبیه همین موضوع است. همیشه باید از اشیای گران‌قیمت خودتان محافظت کنید. در رابطه با این موضوع لازم است که هر ماه پچ های لازم را روی کامپیوتر خودتان نصب کنید تا در معرض خطرات مختلف قرار نداشته باشد. اگر همه عکس‌ها‌ و ویدیوهای مهم و جذابی که از نوه‌ها‌ی خودتان دارید را از دست بدهید، چه کار می‌کنید؟ پس همین حالا دست بکار شوید. من به شما کمک می‌کنم که از اطلاعات خودتان پشتیبان گیری کنید و این pa‌tchهای بروز را نصب کنید.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

نرم‌افزارها هم مثل هر چیز دیگری در زندگی ما کامل نیستند. متأسفانه ما نمی‌توانیم انسان‌ها‌ را پچ کنیم. چه توسعه‌دهندگان نرم‌افزار و چه کاربران نهایی هر دو دارای نقایصی هستند. ما در دنیایی زندگی می‌کنیم که به هیچ وجه کامل نیست. پس تنظیم کنید، تطبیق دهید و بر مشکلات غلبه کنید!

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

برای کاربران خانگی راهکارهای مناسب زیادی وجود دارد که به آن‌ها‌ کمک می‌کند این فرایند را به‌خوبی اتوماسیون کنند. من به شخصه Heimdal FREE یا P‌atchMyPC را توصیه می‌کنم. اما گزینه به‌روزرسانی خودکار توسط خود ارائه دهنده نرم‌افزار را هم فراموش نکنید.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌تواند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای پچ کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟

 

JOE SHENOUDA

 

 

مؤسس Cyber Consult

 

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

پچ کردن نرم‌افزارها به اندازه سایر سیاست‌ها‌ی امنیتی مهم است. اما لازم است که عمل پچ کردن در هر سازمانی تبدیل به یک رویه استاندارد شود. سازمان‌ها‌ باید از یک نرم‌افزار مدیریتی خوب برای بررسی اجمالی تمام دارایی‌ها‌ و نرم‌افزارهای خودشان استفاده کرده و اطمینان حاصل کنند که این نرم‌افزارها به صورت خودکار به‌روزرسانی ‌شوند.

• اهمیت پچ کردن را چطور توضیح می‌دهید که برای همه قابل فهم و درک باشد؟

عزیزان اگر نرم‌افزارهای خودتان را پچ نکنید، کار نمی‌کنند. سعی کنید به صورت منظم آن‌ها‌ را پچ کنید.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

نرم‌افزارها از صفر توسط برنامه‌نویس‌ها‌ تولید می‌شوند. ممکن است این افراد حین ارائه محصولی که باید تحویل بدهند (یک محصول نرم‌افزاری با قابلیت‌ها‌یی مشخص) از وجود حفره‌ها‌ی امنیتی در آن مطلع نباشند.

از طرفی توسعه‌دهندگان نرم‌افزارها را داریم که نسبت به مسائل امنیتی، بیشتر محتاط هستند و ممکن است از ابتدا نرم‌افزارهایی تولید کنند که کاملاً ‌ایمن باشند، اما آیا تمام خطاهای خودشان را پیدا می‌کنند؟ به احتمال زیاد توسعه‌دهندگان نرم‌افزارها نیاز به یک چشم دوم برای نظارت بر کارشان دارند. لازم است که این شرکت‌ها‌ با نهادهای بررسی امنیت، کار کنند تا تمام مواردی که نیاز به پچ دارند را به آن‌ها‌ انتقال داده و برای این موضوع دقت و اهمیت ویژه‌ای قائل باشند.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با پچ کردن نرم‌افزارها چیست؟

حتماً از پلتفرم‌ها‌ی مدیریتی برای پچ کردن خودکار یا نیمه خودکار نرم‌افزارهای خودتان استفاده کنید؛ کاری شبیه آنچه WSUS (خدمات به‌روزرسانی ویندوز سرور) در محیط‌ها‌ی مایکروسافت برای پچ انجام می‌دهد. لازم است این کار را برای تمام آپدیت‌ها‌ی ویندوز و مایکروسافت و مرورگرها و اساساً هر نرم‌افزاری که با اینترنت در ارتباط است، انجام دهید.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

کاربران خانگی می‌توانند از ابزارهای خاصی که برای کامپیوترهای مختلف و به ویژه برای ‌سیستم‌عامل ویندوز طراحی شده‌اند استفاده کنند و سازمان‌ها‌ نیز می‌توانند از ابزارهایی برای کل سازمان استفاده کنند که امکان نظارت و بررسی تمام سیستم‌ها‌ را از طریق یک کنسول فراهم می‌کنند.

ابزارهای مفید زیادی برای این کار وجود دارند، توصیه می‌کنم چند مور