اهمیت پچ کردن نرم افزارها از زبان کارشناسان امنیت سایبری | قسمت دوم
بعد از خواندن این مقاله، هیچوقت هشدار آپدیت نرمافزارها را نادیده نمیگیرید.

در قسمت اول این مقاله نظرات چندی از کارشناسان حوزه امنیت سایبری را مطالعه کردیم؛ و اما نظرات دیگر کارشناسان فعال در این حوزه، در ارتباط با اهمیت پچ کردن نرم افزارها چیست؟
KEVIN TOWNSEND
خبرنگار آزاد و نویسنده در وبسایت ITSecurity.co.uk، با بیش از 10 سال تجربه برای نویسندگی درباره مسائل امنیتی
عملیات Patch کردن برای شرکتها و کاربران خانگی متفاوت است.
برای شرکتها هیچ راهکار آسانی ندارم: در صورت patch کردن سریع نرمافزارها خطر نقص عملکرد سایر قسمتهای سیستم افزایش پیدا میکند؛ در صورت patch کردن باتاخیر، نرمافزارها در برابر نقاط ضعفی که تازه کشف میشوند، آسیبپذیر خواهند بود. افراد بدخواه و تبهکار میتوانند در اسرع وقت از مشکلات و آسیبپذیریهای موجود در نرمافزارها سوء استفاده کرده و با سرعت بسیار بالایی یک اکسپلویت ایجاد کنند.
برای کاربران خانگی بسیار مهم است که در اسرع وقت patchها را نصب کنند. خطر ایجاد نقص در عملکرد سایر بخشهای نرمافزار کامپیوتر ناچیز است. برای سادهتر شدن این فرایند میتوانید از نرمافزارهایی که آپدیتها را به صورت خودکار نصب میکنند استفاده کنید. اما حتی در صورت انجام این کار هم خطرات بالقوهای وجود دارند. با توجه به حرکت بیشتر تولیدکنندگان نرمافزارها به سمت سرویسهای مبتنی بر فناوری ابر، عمل patch کردن آسانتر میشود. اما خطر بالقوه در تمایل فروشندگان نرمافزار به کسب درآمد بیشتر از تمام فرصتها قرار دارد، یعنی جمعآوری و فروش تمام اطلاعات شخصی کاربران. حتی اگر نرمافزاری در حال حاضر این کار را انجام نمیدهد ممکن است یکی از آپدیتهای خودکار آن در آینده این فرایند را شروع کند، و شما هیچ اطلاعی از این امر نداشته باشید.
بنابراین مادامی که نرمافزاری وجود دارد، آسیبپذیری هم وجود خواهد داشت؛ پس همیشه نیاز به patch وجود دارد. لازم است همیشه در اسرع وقت patchهای منتشر شده را نصب کنید. هر چند بهروزرسانی خودکار نرمافزارها سادهتر است، اما در این صورت کاربر اطلاعی ندارد که این بهروزرسانی چه کارهایی روی کامپیوتر او انجام میدهد.
LIVIU ARSENE
تحلیلگر ارشد E-threat در Bitdefender
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعات خودتان اولویتبندی میکنید؟
قبل از شروع عملیات patch لازم است که چند چیز را بدانید.
اول از همه داراییهای خودتان را ارزیابی کنید، سپس بر خطرات، متمرکز شوید و تأثیرات بالقوه آنها را بر کسب و کارتان تخمین بزنید.
در صورت امکان سعی کنید که با افزودن سایر مکانیزمهای امنیتی که توانایی مهاجم برای سوء استفاده از نقایص نرمافزاری را کم میکنند، آسیبپذیریهای مهم را سریعتر رفع کنید. بعضی کمپانیها باید یکسری قوانین و مقررات خاص (از جمله نیاز به حفظ سازگاری بعضی پلتفرمها) را هم رعایت کنند پس این مورد را هم باید در نظر داشت.
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
اگر درب منزلتان را با قفلی که 70 سال قدمت دارد و هر کسی میتواند آن را بشکند یا باز کند قفل کنید، یک سارق برای ورود به منزل شما و پاکسازی کامل آن هیچ دردسری نخواهد داشت. اما اگر از یک سیستم قفل و هشدار جدید و به روز استفاده کنید، سارقین برای ورود به منزلتان با کلی سختی و دردسر روبرو میشوند.
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
چیزی به نام نرمافزار بدون نقص وجود ندارد، بخصوص وقتی با نرمافزاری سروکار دارید که نیاز به منابع و وابستگیهای خارجی داشته باشد.
سوال این نیست که چه کاری از دست کاربران درباره این موضوع ساخته است؛ به غیر از بهروزرسانی دائم اپلیکیشنها و نصب جدیدترین نسخه آنها، بلکه این است که چه کاری از دست مهندسین تولید و تست نرمافزارها برای حداقل کردن خطر کدهای قابل سوء استفاده ساخته است.
تعداد اپلیکیشنهایی که با کپی پیست کدهایی که قبلاً نوشته شده و گاهی آسیبپذیر هستند تولید میشوند، بشدت زیاد و تعجب آور است.
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
به محض این که نسخه جدیدی از یک نرمافزار منتشر میشود، آن را نصب کنید.
سازمانها هم اگر بنا به دلایلی مثلاً عدم سازگاری و مشکل در دسترسی به آپدیتها، امکان نصب آپدیتهای جدید را ندارند، لازم است استفاده از فایروالهای مخصوص اپلیکیشنهای تحت وب (Web Application Firewall) و patching مجازی را مورد توجه قرار دهند.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه میکنید؟
نرمافزارهای ایمن معمولاً ماژولهایی داخلی دارند که دائماً انتشار patchهای جدید را برای نرمافزارهایی که قابلیت سوء استفاده دارند، مثل Adobe Reader یا Java چک میکنند. هر چند در بیشتر نرمافزارها امکان بهروزرسانی خودکار وجود دارد، با این وجود به کاربران توصیه میشود که حداقل هفتهای یکبار وجود آپدیتهای جدید را برای نرمافزارهای پرکاربرد به صورت دستی بررسی کنند.
MATTHEW PASCUCCI
متخصص امنیت سایبری و حامی حفظ حریم خصوصی در Front Line Sentinel
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعات خودتان اولویتبندی میکنید؟
Patch کردن هم مثل هر موضوع دیگری در حوزه امنیت سایبری، مبتنی بر ریسک و خطر است. اهمیت سرمایههایی که patch نشدهاند چقدر است و اگر این سیستمها و نرمافزارها patch نشوند چه خطراتی آنها را تهدید میکنند. حل این سؤالات به شما کمک میکند تا اولویت patching را درون سازمان و شرکت خودتان مشخص کنید.
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
Patch کردن یعنی اضافه کردن امکانات بیشتر به نرمافزارها که یا باعث افزایش امنیت آنها میشود یا مشکلات موجود در آنها را رفع میکند.
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
آسیبپذیری نرمافزارها به این دلیل است که خیلی سریع و بدون این که آسیبپذیریهای آن به طور کامل (با روشهای ایستا یا پویا) تست شود، به بازار عرضه میشوند. کاربران باید بهروزرسانی خودکار را برای تمام نرمافزارها فعال کنند و همواره چک کنند که نرمافزارهایشان بروز باشند.
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
مرتباً نرمافزارها را patch کنید. همه چیز را patch کنید.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه میکنید؟
یکی از ریسکهای بزرگی که کاربران در رابطه با patch کردن متحمل میشوند، آسیبپذیر شدن نرمافزارهای شخص ثالث (یا واسط) است. بیشتر نرمافزارهای شخص ثالث (جاوا، فلش و غیره) مسیرهای اصلی حمله توسط مهاجمین را تشکیل میدهند. استفاده از ابزارهایی مثل Secunia که درباره آپدیت اپلکیشنهای شخص ثالث هشدار میدهند یا حتی این اپلیکیشنها را patch میکنند، به شما جهت بهروزرسانی اپلیکیشنها به آخرین و ایمنترین نسخهها کمک میکنند.
- در مقیاس شرکتی و سازمانی، چه اقداماتی میتوانند به اکثر سازمانها جهت بهرهمندی از مزایای patch کردن نرمافزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟
در محیطهای شرکتی لازم است که وضعیت فعلی محیط کار و خطرات موجود را به مدیریت شرکتها نشان دهید. این کار از طریق یک نرمافزار مدیریت patch مناسب انجام میشود که معیارهای مختلفی (سیستمها با چه سرعتی patch میشوند، چه سیستمهایی قابل patch شدن نیستند و غیره) میزان ریسک و خطر را در سیستمهای شبکه ارزیابی میکنند.
MORTEN KJAERSGAARD
مدیر عامل Heimdal Security
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعات خودتان اولویتبندی میکنید؟
اکثر فعالان در این صنعت موافق هستند که patch کردن یکی از مؤلفههای کلیدی امنیت است. Patch کردن علت اصلی بیشتر رخنههایی است که در محیطهای مدیریت IT صورت میگیرد. آمارهای صنعت امنیت سایبری نشان میدهند که آسیبپذیریهای نرمافزاری علت اصلی این آلودگیها هستند که 65 تا 92 درصد از خطرات را تشکیل میدهند. از آنجا که تقریباً همه اطلاع دارند که patching حیاتی است، من بیشتر بر سرعت این کار تمرکز میکنم، تا انجام این کار.
شاید آپدیت کردن نرمافزارها را بیشتر از یک هفته (یا یک روز) به تعویق بیندازید یا اصلاً انجام ندهید. اما مجرمین سایبری میتوانند در ظرف کمتر از 24 ساعت اکسپلویتهایی جهت سوء استفاده از آسیبپذیریهای موجود طراحی کنند، بنابراین لازم است که کاربران سرعت عمل خودشان را در این رابطه افزایش دهند.
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
Patching مثل رانندگی با لاستیک صاف است که باید هر چه سریعتر انجام شود وگرنه نمیتوانید مسافت خیلی زیادی را با آن طی کنید.
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
نرمافزارها طوری تولید میشوند که نیازهای مختلفی را رفع کنند و به روشهای مختلفی تست میشوند. مشکل اینجاست که نمیتوان پیشبینی کرد در آینده چه اتفاقاتی پیش میآیند و به همین دلیل نرمافزارها مدام در برابر حمله آسیبپذیر میشوند.
اگر کاربران تمایل دارند که کمتر آسیبپذیر شوند، میتوانند از نرمافزارهای کمتری استفاده کنند؛ یا این که اطمینان حاصل کنند همه نرمافزارهای مورد استفادهشان به روز هستند.
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
در صورت امکان همه چیز را اتوماسیون سازی کنید؛ و تمرکز خودتان را به مشکلات بزرگ معطوف کنید. فلش و جاوا دو موردی هستند که همیشه مشکوک و مظنون هستند.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟
یکی از گامهای مهم ارزیابی نرمافزارهایی است که استفاده میکنید یا نمیکنید. با این کار میتوانید از شلوغی و بینظمی خلاص شوید. در مرحله بعد میتوانید از یک نرمافزار اختصاصی برای مدیریت بهروزرسانی نرمافزارها استفاده کنید و این توصیه هم کاربران خانگی و هم شرکتها را در بر میگیرد. اتوماسیون میتواند به شما جهت افزایش امنیت و صرفهجویی در زمان و هزینهها کمک کند.
- در مقیاس شرکتی و سازمانی، چه اقداماتی میتوانند به اکثر سازمانها جهت بهرهمندی از مزایای patch کردن نرمافزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟
باز هم باید به اهمیت اتوماسیون به عنوان یک مؤلفه کلیدی تأکید کنم. صرف زمان کمتر برای patch کردن نرمافزارها باعث میشود که مدیران بخش IT بتوانند انرژی و منابع خودشان را برای مقابله با تاکتیکهای پیشرفته مجرمین سایبری صرف کنند (و همانطور که همه مطلع هستیم این تاکتیکها کم نیستند).
PATRICK NUTTALL
رئیس مرکز امنیت دیجیتال لندن (London Digital Security Centre)
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعانتان اولویتبندی میکنید؟
من چالشهای امنیت سایبری را به دو گروه کلی تقسیم میکنم: تکنیکی و فردی.
معمولاً مقابله با بخش تکنیکی قضیه سادهتر است چون این قسمت بیشتر تحت کنترل مستقیم بخشهای IT قرار دارد. اما نهادینه کردن فرهنگ امنیت در داخل محیط سازمان، چالش برانگیزتر است و برای موفقیت و پایداری آن نیاز به مشارکت همه افراد وجود دارد.
متداولترین اشتباهات تکنیکی که من طی ارزیابیهای امنیتی مشاهده کردهام عدم اعمال Patchها یا تنظیمات نادرست است (مثل استفاده از پسورد پیشفرض یا فعال کردن سرویسهای غیرضروری). Patching یک روش رایگان برای حل آسیبپذیریهای تکنیکی در زیرساختهای IT است و داشتن یک برنامه زمانبندی مناسب برای patch کردن منظم نرمافزارها به همراه فرایندی برای اعمال سریع patchهای حیاتی و مهم باید یکی از بخشهای مهم استراتژی امنیت سایبری شما باشد.
متأسفانه ما بارها با مشتریانی برخورد کردیم که به این دلیل قربانی رخنههای خارجی شده بودند که patchها را به درستی برای مقابله با آسیبپذیریهایی که گاهی حتی بیشتر از 5 سال پیش کشف شده بودند، اعمال نکرده بودند. حتماً اطمینان کسب کنید که سیستمهای IT شما درست تنظیم شده باشند و به یاد باشید که لازم است این سیستمها مثل سایر تجهیزات شرکت شما، به صورت منظم و دائماً بررسی و اصلاح شوند.
یکی از نکات کلیدی که باید به عنوان بخشی از استراتژی patching به آن توجه داشته باشید، تست است بخصوص برای سازمانهای بزرگتری که از اپلیکیشنهای سفارشی استفاده میکنند. Patch و آپدیت ممکن است یکسری عواقب ناخواسته داشته باشد و عملکرد سایر اپلیکیشنهای سازمانی را دچار مخاطره کند بنابراین باید هر زمان که ممکن بود قبل از اعمال patchها به محیط اصلی، عملکرد اپلیکیشنهای مهم را روی سیستمهایی که به صورت آزمایشی patch شدهاند تست کنید و یک استراتژی برگشت به عقب داشته باشید تا در صورت ایجاد اختلال در عملکرد اپلیکیشنها از آن استفاده کنید. سیستم IT یکی از بانکهای مهم کشور انگلستان به دلیل patchها و آپدیتهایی که درست اعمال نشده بودند، به طور کامل از کار افتاد.
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
من اول توضیح میدادم که نرمافزارها مجموعهای از زیرساختها برای یک کامپیوتر هستند.
وقتی دستورالعملها را مینویسید ضرورتاً نمیتوانید تکتک سناریوهایی که در آینده با آنها مواجه میشوید یا سوء استفادههای احتمالی از یک دستورالعمل یا قاعده خاص را پیشبینی کنید.
عمل patching این مشکلات را در دستورالعملها حل میکند و کمپانیها این کار را به صورت منظم انجام میدهند تا مطمئن شوند که نرمافزارهای آنها به درستی و به صورت امن کار میکنند.
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
آسیبپذیر شدن نرمافزارها دلایل مختلفی دارد اما معمولاً این آسیبپذیریها به دلیل ارتکاب اشتباهاتی از سوی توسعهدهندگان ایجاد میشوند.
توسعهدهندگان نرمافزار سعی میکنند با استفاده از روشهایی بهتر برای توسعه نرمافزار (مثل “طراحی امن”)، بررسی توسط همکاران یا ابزارهای اسکن خودکار کد که قابلیت شناسایی آسیبپذیریهای متداول را دارند (مثل Veracode) با این مشکل مقابله کنند.
از دیدگاه کاربری بهترین کاری که میتوان انجام داد، اعمال patchها و آپدیتها به صورت منظم است، بخصوص اگر ذکر شده باشد که این آپدیتها مهم و حیاتی هستند. همچنین کاربران باید تنظیمات را به صورت دقیق بررسی کنند تا مطمئن شوند سرویسها یا امکاناتی که مورد نیاز نیستند، غیر فعال شده باشند. کاربران میتوانند از طریق صحبت و مشورت با بخش IT، مستندات نرمافزار یا با جستجو در گوگل اطلاعات بیشتری در این رابطه کسب کنند.
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
دائماً و به صورت منظم Patchها را اعمال کنید. این کار رایگان است و نه فقط امنیت دستگاه شما را افزایش میدهد بلکه معمولاً منجر به بهبود عملکرد اپلیکیشنها میشود.
شرکتهای نرمافزاری معمولاً به دلایل امنیتی یا برای رفع باگهایی که منجر به قفل اپلیکیشن یا نقص عملکرد در بعضی از امکانات اپلیکیشن میشوند، patchها را تولید و عرضه میکنند. یکی از پیشنهادهای من به محیطهای شرکتی در رابطه با این موضوع این است که پیش از اعمال آپدیتهای مهم و بزرگ (مثلاً ارتقای iOs 9.2 به 9.3) حتماً اول از بخش IT بخواهید که این آپدیتها را تست کند. گاهی اوقات آپدیتهای در سطح وسیع باعث میشوند که عملکرد سایر اپلکیشینها دچار مشکل شود بنابراین بهتر است قبل از اعمال آپدیتها حتماً آنها را تست کنید.
معمولاً چنین مشکلی برای دستگاههای شخصی ایجاد نمیشود.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه میکنید؟
توصیه من به کاربران شخصی، فعالسازی آپدیت خودکار سیستمعامل و سایر اپلیکیشنها است. (که در نسخههای جدیدتر ویندوز این گزینه به صورت پیشفرض فعال است.)
کاربران شرکتی هم باید از بخش IT برای آپدیت نرمافزارها مشورت بگیرند و از آنها بپرسند که آیا آپدیتها به صورت خودکار اعمال میشوند یا نیاز به اقدام خاصی است. اکثر اوقات فقط لازم است که کاربر روی گزینه “apply update and restart” کلیک کند اما معمولاً کاربران وقتی این هشدار را میبینند آن را نادیده میگیرند. بسیار مهم است که این آپدیتها را به صورت منظم اعمال کنید.
- در مقیاس شرکتی و سازمانی، چه اقداماتی میتواند به اکثر سازمانها جهت بهرهمندی از مزایای patch کردن نرمافزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟
بستگی به زیرساخت IT کمپانی دارد. اگر در این شرکتها از نرمافزارهای سفارشی زیادی استفاده میشود باید کدها را با استفاده از یک ابزار اسکن خودکار مثل Veracode بررسی کنند و اگر از نرمافزارهای تجاری استفاده میکنند باید یک برنامهریزی منظم برای بهروزرسانی نرمافزارها (به صورت هفتگی یا ماهیانه) داشته باشند.
همانطور که پیش از این اشاره شد، توصیه میکنم که قبل از اعمال آپدیت به سیستمهای تولیدی، هر زمان که ممکن بود این آپدیتها را در یک محیط مخصوص تست، آزمایش کنند و یک طرح برای برگشت به عقب داشته باشند تا در صورتی که نصب آپدیت عواقب ناخواستهای داشت، برای پیشگیری از اختلال در عملکرد سازمان بتوانند تنظیمات را به حالت قبل برگردانند.
PAVEL KRČMA
مدیر ارشد تکنولوژی در Sticky Password
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعاتتان اولویتبندی میکنید؟
کار را با سرویسهایی شروع کنید که مهمتر هستند یا بیشتر از آنها استفاده میکنید. مثلاً اگر هر روز از ابزارهای مجموعه آفیس استفاده میکنید، در اسرع وقت آن را آپدیت کنید. نکته اصلی این است که باید اول از همه حفرههای موجود را ببندید. سپس سیستمعامل و مرورگر را patch کنید؛ چون معمولاً مرورگرها نقش مهمی در هر عملیات نصبی دارند. در نهایت هم به موارد مشکلآفرین میرسیم مثل Adobe Flash که بهترین patch برای چنین اپلیکیشنهایی نصب نکردن آنهاست!
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
مسلماً اگر متوجه مشکلی در قفل در ورودی منزل شوید، هر چه سریعتر و قبل از سوء استفاده از این مشکل توسط سارقین از یک تعمیرکار برای رفع مشکل کمک میگیرید. همین موضوع برای patching هم صدق میکند یعنی قبل از این که فردی از اشکالات موجود در یک نرمافزار سوء استفاده کند باید آنها را رفع و اصلاح کرد.
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
به نظر من با توجه به پیچیدگیهای بسیار زیاد نرمافزارهای امروزی، تعداد آسیبپذیریهای مهم و حیاتی چندان زیاد نیست. در حقیقت تولید بدون نقص ممکن نیست.
اما مشکل وقتی ایجاد میشود که برنامهنویسان و تولیدکنندگان به اندازه کافی به امنیت توجه نمیکنند و بیشتر تمرکزشان ارائه امکانات جدید و قابل توجه است. کاری که کاربران میتوانند انجام بدهند حرکت به سمت استفاده از محصولاتی است که تولیدکنندگان آنها توجه بیشتری به امنیت دارند. امنیت مسئلهای نیست که برای کاربران جلب توجه کند یا قابل رؤیت باشد، اما اهمیت فوقالعاده زیادی دارد.
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
با فعال کردن امکان آپدیت نرمافزارها اجازه بدهید که تولیدکنندگان نرمافزار کار خودشان را انجام بدهند. معمولاً کاربران آپدیت نرمافزارها را تا حد امکان به تعویق میاندازند و این کار برای امنیت هیچ محصولی خوب نیست.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه میکنید؟
به نظر من ضرورتی برای استفاده از ابزارهای شخص ثالث جهت مدیریت patch وجود ندارد. تنها توصیه من به روز نگه داشتن نرمافزارها است. تنظیمات را در حالت اتوماتیک قرار دهید: یعنی طوریکه برای اعمال آپدیت نیاز به هیچ اقدام خاصی از سوی شما نباشد.
- در مقیاس شرکتی و سازمانی، چه اقداماتی میتوانند به اکثر سازمانها جهت بهرهمندی از مزایای patch کردن نرمافزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟
محیطهای شرکتی کاملاً با کاربران خانگی و کاربران SMB متفاوت هستند. چیزی که من میبینم این است که اکثر سازمانها یکسری قوانین امنیتی و رویههای مربوط به آنها را بکار بستهاند که تغییر کاملاً مثبتی است. اما از طرف دیگر مدیریت patch برای تمام نرمافزارهایی که در یک سازمان استفاده میشوند، در این رویکرد وجود ندارد. نظارت، تست، اعمال و مدیریت patch به شیوهای کارآمد، آسان نیست اما ابزارهایی هستند که میتوانند به انجام این کار کمک زیادی کنند. اما اول از همه مدیریت patch باید بخشی از استراتژی امنیتی کلی هر سازمانی باشد.
PIERLUIGI PAGANINI
بنیانگذار Security Affairs
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعاتتان اولویتبندی میکنید؟
ما باید به اجزای سختافزاری و نرمافزاری مثل موجودیتهای زنده نگاه کنیم که به مرور زمان رشد و تکامل پیدا میکنند. مدیریت patch برای کسب اطمینان از این که این مولفهها طی دوره حیاتشان ایمن باقی میمانند و بدون به خطر انداختن خودشان و کاربران نهایی با هم تعامل پیدا میکنند، حیاتی است.
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
به نظر من امنیت یک مفهوم “لحظهای” است. چیزی که در یک لحظه خاص ایمن است ممکن است در لحظه بعد نباشد. به همین دلیل بسیار مهم است که هر آسیبپذیری بالقوهای که ممکن است در طول حیات یک سیستم کامپیوتری ظهور پیدا کند را شناسایی کرده و patchهای ضروری را به آن اعمال کرد.
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
هر نرمافزاری، حتی آنهایی که با روش طراحی امن تولید میشوند، ممکن است نقص امنیتی داشته باشد. نرمافزارها توسط انسان تولید میشوند و کاملاً طبیعی است که در کدنویسی آنها خطایی وجود داشته باشد. مورد دیگری که باید به آن توجه باشید این است که وقتی توسعهدهندگان یک نرمافزار را طراحی و تولید میکنند هیچ اطلاعی از استفادهای که در آینده از آن میشود، ندارند. از طرفی ممکن است اجزای یک نرمافزار به شیوهای با سایر سیستمها تعامل داشته باشند که در فاز طراحی مورد توجه قرار نگرفته باشند. گاهی اوقات ممکن است این تعاملات منجر به ایجاد نقایص خاصی شوند.
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
همیشه نسبت به patch کردن نرمافزارها توجه ویژهای داشته باشید.
در محیطهای حیاتی و حساس علاوه بر وجود یک سیستم مدیریت برای patching لازم است یک محیط اختصاصی هم وجود داشته باشد که جهت ارزیابی تأثیرات این patchها طراحی شده باشد.
در نهایت، توجه به فاکتور “زمان” برای کاهش خطرات بالقوه بسیار حیاتی است.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه میکنید؟
موضوع، ابزار نیست، در بازار اپلیکیشنهای مختلفی هستند که میتوانند به مدیران سیستمها برای بروز نگه داشتن نرمافزارها کمک کنند. بسیار مهم است که در هر سازمانی فرهنگ امنیتی ترویج پیدا کند. مدیریت patch یکی از قطبهای بسیار مهم برای برخورداری از امنیتی مناسب در هر سازمان است.
- در مقیاس شرکتی و سازمانی، چه اقداماتی میتوانند به اکثر سازمانها جهت بهرهمندی از مزایای patch کردن نرمافزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟
مدیریت patch باید در خط مشی امنیتی لحاظ شود و باید شاخصهایی برای ارزیابی چگونگی اعمال اصلاحات ضرری به اپلیکیشنهای آسیبپذیر تعریف شود. افزایش آگاهی نسبت به امنیت، یکی دیگر از ابزارهای کلیدی برای سازمانهاست بسیار مهم است که کارمندان را درباره خطرات بالقوه ناشی از نداشتن فرایندهای مناسب در مدیریت patch آموزش داد.
RAJ SAMANI
سرپرست، رئیس ارشد فنی در (Intel Security (EMEA
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعاتتان اولویتبندی میکنید؟
Patching یکی از اصول مهم بهداشت امنیتی است. اما این پاسخ، پاسخ سادهای نیست چون هر خط مشی برای patching نیاز به ملاحظات مختلفی دارد.
مثلاً در بعضی محیطها امکان patch کردن سریع و فوری وجود ندارد و لازم است منتظر تایید رسمی از طرف فروشنده نرمافزار باشید. همچنین قرار دادن سیستمها در چرخه patching ممکن است منجر به اختلالاتی در دسترسی به سیستمها شود و بدون وجود فرایند تست مناسب ممکن است عواقب ناخوشایندی ایجاد شوند.
بارها مشاهده شده که بعضی از اکسپلویتها دقیقاً در فاصله بین انتشار یک patch تا زمان اعمال آن به سیستمها ایجاد شدهاند. بنابراین نصب به موقع آپدیتها بسیار حیاتی است.
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
توضیح این مفهوم برای مادربزرگم سخت است چون او به زبان انگلیسی صحبت نمیکند (و معنای واژه آسیبپذیری را به زبان او نمیدانم). اما به هر کسی بهجز مادربزرگم این طور توضیح میدهم که patching فرایند بهبود کدهای درون سیستمی شماست طوریکه کسی نتواند از این کدها به نفع خودش استفاده کند.
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
تمایل ما به داشتن امکانات و عملکردهای بیشتر به این معناست که میانگین تعداد خطوط کد در سیستمهای مدرن (توجه کنید که من از اصطلاح سیستم برای پوشش همه چیز، از سیستمعامل گرفته تا اپلیکیشن و غیره استفاده میکنم) رو به افزایش است. برای مثال Windows NT 4.0 حدود 10 میلیون خط کد داشت و تقریباً 10 سال بعد تعداد خطوط کدی که در سیستمعامل Windows Vista گزارش شد، حدود 50 میلیون خط بود.
اعداد و ارقام صنعتی نشان میدهند که در هر هزار خط کد x آسیبپذیری وجود دارد. خودتان حساب کنید!
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
خیلی ساده است، حتماً این کار را به موقع انجام بدهید، اما سعی کنید اقدامات لازم را انجام بدهید تا اپلیکیشنهایی که patch میشوند تأثیر منفی روی سیستمهایی که باید همیشه در دسترس باشند، نداشته باشند.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه میکنید؟
به نظرم پاسخ سادهای برای این سوال وجود ندارد. اما شاید استفاده از آپدیت خودکار در بعضی از سیستمها اقدام مناسبی باشد.
- در مقیاس شرکتی و سازمانی، چه اقداماتی میتوانند به اکثر سازمانها جهت بهرهمندی از مزایای patch کردن نرمافزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟
سوال سختی پرسیدید چون باید این فرایند، جزئی از اعمال روتین در تمام سازمانها باشد. فکر میکنم اولین مقالهای که راجع به فاصله بین انتشار یک patch و تولید بدافزار برای سوء استفاده از سیستمهای patch نشده نوشتم، به اندازه کافی جامع و کامل باشد. با بررسی بسیاری از حملات بدافزاری بزرگ، متوجه میشویم که میتوان با patch کردن به موقع از بسیاری از این حملات پیشگیری کرد.
TOD BEARDSLEY
مدیر ارشد تحقیقات امنیتی در RAPID7
- شما به عنوان یک کارشناس امنیت سایبری، چطور بهروزرسانی نرمافزارها را برای محافظت از امنیت اطلاعاتتان اولویتبندی میکنید؟
Patch کردن به موقع و مداوم یکی از بخشهای مهم و حیاتی در مبحث امنیت IT است. تمام نرمافزارها حاوی خطاهایی هستند و بعضی از این خطاها منجر به ایجاد آسیبپذیریهای امنیتی میشوند، بنابراین نصب به موقع patchها بخش مهمی از بهداشت امنیتی است.
- اهمیت patch کردن را چطور توضیح میدهید که برای قابل فهم و درک باشد؟
بهتر است patching را طوری توضیح بدهم که مدیرم درک کند! نگرانی که معمولاً وجود دارد این است که patching منجر به از کار افتادن سیستمها مثلاً برای ریبوت میشود اما معمولاً درباره این موضوع این طور استدلال میکنم که “اگر این سیستم آنقدر حیاتی است که نمیتوانیم از کار افتادن برنامهریزی نشده آن را تحمل کنیم، پس آنقدر حیاتی هست که باید هر چه سریعتر آن را patch کنیم تا در اثر حمله مهاجمین کاملاً از کار نیفتد.”
- سؤالی که در ذهن همه کاربران وجود دارد: چرا نرمافزارها تا این حد آسیبپذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمیآید؟
امروزه سعی میشود فرایند تحویل نرمافزارها به بازار در اسرع وقت انجام شود و وقتی نرمافزار به بازار ارائه شد، برای مقابله با خطاهای موجود در آن باید به عمل patching متکی شویم. میتوان تا ابد تلاش کرد که نرمافزار ارائه شده کامل و بینقص باشد اما به هر حال باید روزی این نرمافزار به بازار عرضه شود.
تولید نرمافزارهایی که به شبکه متصل میشوند یکی از پیچیدهترین کارهایی است که انسان انجام میدهد بنابراین جای تعجب نیست که این نرمافزارها حاوی باگها و خطاهایی باشند. ارائه نرمافزاری که حاوی خطا باشد اشکالی ندارد به این شرط که یک سیستم patching مناسب و به موقع وجود داشته باشد. متأسفانه با توجه به تعداد بسیار زیاد تجهیزات اینترنت اشیاء چنین سیستمی یا وجود ندارد یا استفاده از آن شدیداً سخت است.
- مهمترین توصیه کاربردی شما برای کاربران در رابطه با patch کردن نرمافزارها چیست؟
اگر امکان فعال کردن بهروزرسانی خودکار وجود دارد، این گزینه را فعال کنید. در غیر این صورت به دنبال راهکارهای جایگزینی باشید که از patching خودکار پشتیبانی کنند. همه ما از این واقعیت اطلاع داریم که بروز نگه داشتن نرمافزارها به صورت دستی، کار سختی است بنابراین اتوماتیک کردن عمل بهروزرسانی و رفع خطاها بسیار حیاتی است.
- کاربران چطور میتوانند عادت بروز نگه داشتن نرمافزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه میکنید؟
در حالت ایدهآل لازم نیست کاربران برای اطمینان از این که آخرین نسخه از یک نرمافزار را دارند، کار خاصی انجام بدهند. هر چیزی که نیاز به مداخله و تلاش کاربر دارد مسئلهای مشکلآفرین است. بخصوص این امر برای کاربران نهایی و مشتریان صدق میکند.
در صورتیکه از نرمافزاری استفاده میکنید که از patching خودکار پشتیبانی نمیکند، تنظیم یک تقویم برای یادآوری به همراه دستورالعملهای لازم میتواند بسیار مفید باشد. اعمال patch مثل قبضی است که برای ایمن نگه داشتن نرمافزارهای خودتان پرداخت میکنید، بنابراین سعی کنید این فرایند را مثل پرداخت قبوض برنامهریزی کنید.
- در مقیاس شرکتی و سازمانی، چه اقداماتی میتواند به اکثر سازمانها جهت بهرهمندی از مزایای patch کردن نرمافزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟
سازمانها باید نرمافزارهایی را انتخاب کنند که بهروزرسانی و آپدیت توسط خود این نرمافزارها انجام شود. این آپدیتها باید اتوماتیک و زمانبندی شده باشند، حداقل اختلال را در کارها ایجاد کنند و به صورت امن عرضه شوند.
نتیجهگیری
امیدواریم بعد از مطالعه نظرات کارشناسان و متخصصین متوجه اهمیت بهروزرسانی نرمافزارها شده باشید و این که نمیتوان به هیچ عنوان از این کار صرف نظر کرد.
شاید تا به حال patch کردن نرمافزارها را نادیده گرفته باشید و اهمیتی برای آنها قائل نبوده باشید اما حتماً حالا متوجه حیاتی بودن این قضیه شدهاید. امیدواریم شما هم تصمیم بگیرید که آپدیت نرمافزارها را بخشی از کارهای روتین خودتان قرار بدهید. با این کار محیط وب نه فقط برای خود شما بلکه برای سایرین هم محیطی ایمنتر میشود