خبرمقالات

نکات الزامی برای برقراری ارتباط با محققان بیرونی، جهت گزارش آسیب‌پذیری‌های امنیتی

سازمان‌ها معمولاً زمانی متوجه نفوذ به سیستم‌هایشان می‌شوند که یک محقق امنیت سایبری یا شرکت امنیتی به آنها درباره این موضوع اطلاع‌رسانی کند. افزایش تعداد روش‌های حمله، استفاده از کدهای متن باز[۱] و همچنین بیشتر شدن میزان استفاده از سرویس‌های ابری منجر به گسترش سطح حمله در بسیاری از سازمان‌ها شده است.

متأسفانه بیشتر تیم‌های امنیتی به سختی می‌توانند نفوذها و رخنه های امنیتی را شناسایی کنند. مثلاً شرکت سولارویندز (Solarwinds) توسط شرکت امنیتی فایرآی (FireEye) از نفوذ مهاجمان سایبری به شبکه خود مطلع شد. با وجود اینکه مدت طولانی از نفوذ به سیستم‌های این شرکت می‌گذشت اما هیچ‌ کدام از کارکنان آن متوجه این موضوع نشده بودند.

بنابراین در سال‌های اخیر وجود فرایندهایی برای شناسایی و واکنش مناسب به تهدیدات امنیتی که توسط عوامل بیرونی شناسایی و گزارش می شوند (چه مربوط به هشدار نفوذ و چه اطلاعاتی باشند که درباره یک حادثه امنیتی مهم به دست آمده‌اند) اهمیت ویژه‌ای پیدا کرده است. Hellickson که مدیر ارشد تجربیات کاربری در شرکت امنیتی CloudFlare است، در این خصوص می گوید: «هر شخصی که محصول یا خدمتی ارایه می‌کند، ممکن است مورد هدف حملات سایبری قرار گیرد. از این رو باید راهکاری در نظر گرفت تا عوامل بیرونی با استفاده از آن بتوانند مشکلات امنیتی احتمالی خدمت یا محصول مربوطه را گزارش دهند».

Hellickson و بعضی از کارشناسان امنیت سایبری، نکاتی را برای پیاده‌سازی مؤثر رویکرد گزارش حوادث امنیتی توسط عوامل بیرونی بیان کرده اند که به شرح زیر هستند:

 

۱. وجود یک سیاست تعریف شده برای اعلام آسیب‌پذیری‌ها

Pete Lindstrom مدیر تحقیقات امنیتی شرکت IDC می‌گوید: «سازمان‌ها باید سیاست‌های اعلام آسیب‌پذیری و نحوه گزارش این آسیب‌پذیری‌ها را برای عوامل بیرونی اعلام کنند. همچنین آنها باید یک آدرس ایمیل، شماره تلفن یا راه ارتباطی دیگری را برای دریافت چنین هشدارها و گزارش‌هایی در نظر بگیرند».

شرکت‌ها می بایست نحوه مدیریت و بررسی گزارش‌های دریافتی توسط منابع بیرونی را تبیین کرده و این اطمینان را به عوامل بیرونی بدهند که اطلاعات ارایه شده توسط آنها نادیده گرفته نخواهد شد. بنا بر گفته Lindstrom: «مدیریت انتظارات اشخاص ثالث برای حفظ موفقیت و اعتبار سازمان اهمیت زیادی دارد. به همین خاطر آنها باید بدانند که وقتی با سازمان شما تماس می‌گیرند چه برخوردی در انتظارشان است».

Scott Crawford مدیر تحقیقات امنیت اطلاعات شرکت S&P Global Market Intelligence به سازمان‌ها توصیه می‌کند از مطالب راهنما مثل آنچه در استاندارد ISO/IEC 30111 (یک استاندارد بین المللی در خصوص نحوه مدیریت امنیت اطلاعات) وجود دارد برای طراحی روش‌های مدیریت آسیب‌پذیری استفاده نمایند. چنین استانداردهایی به سازمان‌ها کمک می‌کنند الزامات امنیتی را جهت برقراری ارتباط در زمینه افشای آسیب‌پذیری توسط اشخاص یا نهادهای بیرونی تعریف کنند.

 

۲. وجود طرحی برای مدیریت آسیب‌پذیری ها 

بنا بر گفته Lindstrom: «سازمان‌ها صرف نظر از اینکه انتظار دریافت اطلاعات از محققان بیرونی را دارند یا خیر، همیشه باید طرحی رسمی برای مدیریت آسیب‌پذیری ها و امنیت برنامه‌های کاربردی شان داشته باشند. آنها باید روش‌های توصیه شده برای کشف آسیب‌پذیری‌ها و نصب وصله‌های امنیتی را در اسرع وقت اجرا کنند».

 

۳. تعیین سازوکارهای واکنش به هشدارهای بیرونی 

سازمان ها باید مطمئن شوند تیم مدیریت حوادث آنها طرحی برای پاسخ به افشای آسیب‌پذیری‌ها از سمت عوامل بیرونی از جمله شکارچیان باگ، همکاران، مشتریان یا نهادهای قانونی داشته باشد. همان‌گونه که یک تیم مدیریت حوادث فرایندهایی برای واکنش به هشدارهای صادر شده از ابزارهای امنیتی، سیستم‌های رایانه‌ای، حسگرهای شبکه و سایر منابع داخلی دارد؛ بنابراین برای بررسی و واکنش به اطلاعات امنیتی دریافت شده از سوی عوامل بیرونی هم باید سیاست‌های مشخصی در نظر گرفته شود. طبق گفته Hellickson: «هر فرایند بررسی و واکنشی باید شامل سیاست مشخصی برای اولویت‌دهی، بررسی و رسیدگی به اطلاعات دریافت شده از طرف منابع بیرونی باشد».

در این سیاست، راهکارهایی باید تعریف شده باشد که نقش و وظایف اعضای تیم را مشخص کند. با توجه به افزایش تعداد رخدادهای امنیتی، هر سازمانی باید یک طرح مدیریت و واکنش به حوادث داشته باشد که در آن مراحل دریافت اطلاعات از منابع بیرونی و رسیدگی به آنها را به خوبی تعریف کرده باشد.

تیم‌های مدیریت حوادث نیز باید آمادگی های لازم جهت واکنش به آسیب‌پذیری‌های افشا شده را داشته باشند. بنا بر گفته Kevin Dunne، مدیرعامل شرکت Pathlock: «اگر چنین آسیب‌پذیری‌هایی برطرف نشوند، معمولاً در بازار سیاه به فروش رسیده و امکان سوءاستفاده از آنها وجود دارد».

 

۴. جلب مشارکت طرف‌های مختلف 

بخش امنیت یا فناوری اطلاعات سازمان باید یک شماره تماس یا آدرس ایمیل برای دریافت هشدار از سوی منابع بیرونی و همچنین در صورت نیاز، طرحی برای اطلاع رسانی به سایر اعضای سازمان در نظر بگیرد. مثلاً اگر محققان بیرونی خواهان دریافت پاسخ برای یک آسیب‌پذیری گزارش داده شده هستند باید حداقل کارشناس امنیتی سازمان با او مذاکره نماید.

در صورت عدم واکنش صحیح و اصولی به افشای آسیب‌پذیری‌های امنیتی احتمال دارد به برند و اعتبار سازمان لطمه جدی وارد شود. در نتیجه وجود افراد متخصص در زمینه برقراری ارتباطات می‌تواند در این خصوص بسیار مفید باشد. بر اساس گفته های Lindstrom: «جنبه‌های ارتباطی، یکی از مواردی است که نقش مهمی در افشای آسیب‌پذیری‌ها دارد».

 

۵. عضویت در طرح شکار باگ یا تشخیص آسیب‌پذیری

سازمان‌های بزرگ باید در مؤسساتی مثل”HackerOne” و “BugCrowd” که اقدام به گزارش آسیب‌پذیری‌ها و نفوذ‌های امنیتی می کنند، عضو شوند. در این طرح‌ها محققان بیرونی و شکارچیان باگ اقدامات اولیه در زمینه دریافت و واکنش به هشدارها را مدیریت نموده، خطاهای موجود در سرویس‌ها و برنامه‌های کاربردی سازمان را به روشی ساخت‌یافته شناسایی کرده و آنها را گزارش می‌دهند. گرچه سازمان‌ها بایستی همواره یک تیم امنیتی برای واکنش به حوادث داشته باشند اما با عضویت در چنین مؤسساتی می‌توانند بخشی از وظایف این تیم را برون‌سپاری کنند.

امروزه بسیاری از سازمان‌ها با اجرای طرح‌های شکار باگ یا جستجوی آسیب‌پذیری ها به دنبال کسب اطلاعات از محققان مستقل بیرونی هستند. بنا بر گفته Dunne: «شرکت‌هایی که یک یا چند سرویس ارتباط با مشتری داشته باشند به راحتی می‌توانند اطلاعات مورد نیاز خود را از منابع بیرونی کسب نمایند. از این رو مشاغلی مانند هتل‌داری، فروش اینترنتی، گردشگری و فعالیت های اقتصادی از قوی‌ترین طرح‌ها در این حوزه برخوردار هستند».

Dunne همچین گفته که: «سازمان‌ها باید فرایندی نیز برای رسیدگی به اطلاعاتی که از سوی محققان بیرونی دریافت می‌کنند، داشته باشند». حتی اگر سازمانی پاداشی را برای گزارش آسیب‌پذیری ها در نظر نگیرد باز هم باید برنامه‌ای برای پاسخ به این موارد و انتقال آنها به محققان و مشتریان خود داشته باشد. او معتقد است: «هنگامی که یک آسیب پذیری، گزارش داده شده ولی اقدامی برای مقابله با آن صورت نپذیرد به این معنا است که سازمان، امنیت را جدی نگرفته و حفاظت از حریم خصوصی مشتریان برای آن اهمیتی ندارد».

 

۶. هنگام درخواست اطلاعات، محدوده‌ها را به صورت شفاف تعریف کنید.

سازمان هایی که با یک مؤسسه شکار باگ قرارداد همکاری دارند یا از محققان بیرونی و شکارچیان باگ مستقل، درخواست اطلاعات می‌کنند باید موارد زیر را در نظر داشته باشند:

  • آیا کارمندان آنها هم قابلیت مشارکت در چنین طرح هایی را داشته یا اینکه فقط محققان طرف قراردادشان می‌توانند در چنین طرح هایی همکاری داشته باشند.
  • نوع مشکلات امنیتی که باید شناسایی شوند را مشخص نمایند.
  • طرحی برای ارزیابی مشکلات گزارش شده داشته باشند.

Dunne می گوید: «سازمان‌ها باید مشخص کنند آیا ارزیابی آسیب‌پذیری‌های شناسایی شده باید در محیط عملیاتی انجام شود یا در محیطی مجزا که برای محققان در نظر گرفته شده است؟». در نهایت اینکه بهتر است سازمان ها برای افشای آسیب‌پذیری‌ها و گزارش آنها مبلغی را به عنوان پاداش در نظر بگیرند. این مبلغ می‌تواند ثابت یا بر اساس شدت آسیب‌پذیری گزارش شده متغیر باشد. آنها باید به این نکته توجه داشته باشند آیا این مبلغ از هزینه‌ای که با فروش اطلاعات کسب شده در بازار سیاه به دست می‌آید، بیشتر است یا خیر؟

 

[۱] Open Source

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

12 − هفت =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.