اهمیت پچ کردن نرم افزارها از زبان کارشناسان امنیت سایبری | قسمت دوم

در قسمت اول این مقاله نظرات چندی از کارشناسان حوزه امنیت سایبری را مطالعه کردیم؛ و اما نظرات دیگر کارشناسان فعال در این حوزه، در ارتباط با اهمیت پچ کردن نرم افزارها چیست؟

 

KEVIN TOWNSEND

 

 

خبرنگار آزاد و نویسنده در وب‌سایت ITSecurity.co.uk، با بیش از 10 سال تجربه برای نویسندگی درباره مسائل امنیتی

عملیات Pat‌ch کردن برای شرکت‌ها‌ و کاربران خانگی متفاوت است.

برای شرکت‌ها‌ هیچ راهکار آسانی ندارم: در صورت pat‌ch کردن سریع نرم‌افزارها خطر نقص عملکرد سایر قسمت‌ها‌ی سیستم افزایش پیدا می‌کند؛ در صورت pat‌ch کردن باتاخیر، نرم‌افزارها در برابر نقاط ضعفی که تازه کشف می‌شوند، آسیب‌پذیر خواهند بود. افراد بدخواه و تبهکار می‌توانند در اسرع وقت از مشکلات و آسیب‌پذیری‌ها‌ی موجود در نرم‌افزارها سوء استفاده کرده و با سرعت بسیار بالایی یک اکسپلویت ‌ایجاد کنند.

برای کاربران خانگی بسیار مهم است که در اسرع وقت patc‌h‌ها‌ را نصب کنند. خطر ایجاد نقص در عملکرد سایر بخش‌ها‌ی نرم‌افزار کامپیوتر ناچیز است. برای ساده‌تر شدن این فرایند می‌توانید از نرم‌افزارهایی که آپدیت‌ها‌ را به صورت خودکار نصب می‌کنند استفاده کنید. اما حتی در صورت انجام این کار هم خطرات بالقوه‌ای وجود دارند. با توجه به حرکت بیشتر تولیدکنندگان نرم‌افزارها به سمت سرویس‌ها‌ی مبتنی بر فناوری ابر، عمل pa‌t‌ch کردن آسان‌تر می‌شود. اما خطر بالقوه در تمایل فروشندگان نرم‌افزار به کسب درآمد بیشتر از تمام فرصت‌ها‌ قرار دارد، یعنی جمع‌آوری و فروش تمام اطلاعات شخصی کاربران. حتی اگر نرم‌افزاری در حال حاضر این کار را انجام نمی‌دهد ممکن است یکی از آپدیت‌ها‌ی خودکار آن در آینده این فرایند را شروع کند، و شما هیچ اطلاعی از این امر نداشته باشید.

بنابراین مادامی‌ که نرم‌افزاری وجود دارد، آسیب‌پذیری هم وجود خواهد داشت؛ پس همیشه نیاز به pa‌tc‌h وجود دارد. لازم است همیشه در اسرع وقت p‌atchهای منتشر شده را نصب کنید. هر چند به‌روزرسانی خودکار نرم‌افزارها ساده‌تر است، اما در این صورت کاربر اطلاعی ندارد که این به‌روزرسانی چه کارهایی روی کامپیوتر او انجام می‌دهد.

 

 LIVIU ARSENE

 

 

تحلیلگر ارشد E-threat در Bitdefender

 

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

قبل از شروع عملیات pa‌tch لازم است که چند چیز را بدانید.

اول از همه دارایی‌ها‌ی خودتان را ارزیابی کنید، سپس بر خطرات، متمرکز شوید و تأثیرات بالقوه آن‌ها‌ را بر کسب و کارتان تخمین بزنید.

در صورت امکان سعی کنید که با افزودن سایر مکانیزم‌ها‌ی امنیتی که توانایی مهاجم برای سوء استفاده از نقایص نرم‌افزاری را کم می‌کنند، آسیب‌پذیری‌ها‌ی مهم را سریع‌تر رفع کنید. بعضی کمپانی‌ها‌ باید یکسری قوانین و مقررات خاص (از جمله نیاز به حفظ سازگاری بعضی پلتفرم‌ها‌) را هم رعایت کنند پس این مورد را هم باید در نظر داشت.

• اهمیت p‌atch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

اگر درب منزلتان را با قفلی که 70 سال قدمت دارد و هر کسی می‌تواند آن را بشکند یا باز کند قفل کنید، یک سارق برای ورود به منزل شما و پاک‌سازی کامل آن هیچ دردسری نخواهد داشت. اما اگر از یک سیستم قفل و هشدار جدید و به روز استفاده کنید، سارقین برای ورود به منزل‌تان با کلی سختی و دردسر روبرو می‌شوند.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

چیزی به نام نرم‌افزار بدون نقص وجود ندارد، بخصوص وقتی با نرم‌افزاری سروکار دارید که نیاز به منابع و وابستگی‌ها‌ی خارجی داشته باشد.

سوال این نیست که چه کاری از دست کاربران درباره این موضوع ساخته است؛ به غیر از به‌روزرسانی دائم اپلیکیشن‌ها‌ و نصب جدیدترین نسخه آن‌ها‌، بلکه این است که چه کاری از دست مهندسین تولید و تست نرم‌افزارها برای حداقل کردن خطر کدهای قابل سوء استفاده ساخته است.

تعداد اپلیکیشن‌ها‌یی که با کپی  پیست کدهایی که قبلاً نوشته شده و گاهی آسیب‌پذیر هستند تولید می‌شوند، بشدت زیاد و تعجب آور است.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با pat‌ch کردن نرم‌افزارها چیست؟

به محض این که نسخه جدیدی از یک نرم‌افزار منتشر می‌شود، آن را نصب کنید.

سازمان‌ها‌ هم اگر بنا به دلایلی مثلاً عدم سازگاری و مشکل در دسترسی به آپدیت‌ها‌، امکان نصب آپدیت‌ها‌ی جدید را ندارند، لازم است استفاده از فایروال‌ها‌ی مخصوص اپلیکیشن‌ها‌ی تحت وب (Web Application Firewall) و p‌atching مجازی را مورد توجه قرار دهند.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

نرم‌افزارهای ‌ایمن معمولاً ماژول‌ها‌یی داخلی دارند که دائماً انتشار pat‌chهای جدید را برای نرم‌افزارهایی که قابلیت سوء استفاده دارند، مثل Adobe Reader یا Java چک می‌کنند. هر چند در بیشتر نرم‌افزارها امکان به‌روزرسانی خودکار وجود دارد، با این وجود به کاربران توصیه می‌شود که حداقل هفته‌ای یک‌بار وجود آپدیت‌ها‌ی جدید را برای نرم‌افزارهای پرکاربرد به صورت دستی بررسی کنند.

 

 MATTHEW PASCUCCI

 

 

متخصص امنیت سایبری و حامی حفظ حریم خصوصی در Front Line Sentinel

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

Pa‌tch کردن هم مثل هر موضوع دیگری در حوزه امنیت سایبری، مبتنی بر ریسک و خطر است. اهمیت سرمایه‌ها‌یی که pat‌ch نشده‌اند چقدر است و اگر این سیستم‌ها‌ و نرم‌افزارها p‌atch نشوند چه خطراتی آن‌ها‌ را تهدید می‌کنند. حل این سؤالات به شما کمک می‌کند تا اولویت pa‌tching را درون سازمان و شرکت خودتان مشخص کنید.

• اهمیت pa‌tch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

Pa‌tch کردن یعنی اضافه کردن امکانات بیشتر به نرم‌افزارها که یا باعث افزایش امنیت آن‌ها می‌شود یا مشکلات موجود در آن‌ها را رفع می‌کند.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

آسیب‌پذیری نرم‌افزارها به این دلیل است که خیلی سریع و بدون این که آسیب‌پذیری‌ها‌ی آن به طور کامل (با روش‌های ایستا یا پویا) تست شود، به بازار عرضه می‌شوند. کاربران باید به‌روزرسانی خودکار را برای تمام نرم‌افزارها فعال کنند و همواره چک کنند که نرم‌افزارهایشان بروز باشند.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با pa‌tch کردن نرم‌افزارها چیست؟

مرتباً نرم‌افزارها را pa‌tch کنید. همه چیز را pa‌tch کنید.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

یکی از ریسک‌ها‌ی بزرگی که کاربران در رابطه با pat‌ch کردن متحمل می‌شوند، آسیب‌پذیر شدن نرم‌افزارهای شخص ثالث (یا واسط) است. بیشتر نرم‌افزارهای شخص ثالث (جاوا، فلش و غیره) مسیرهای اصلی حمله توسط مهاجمین را تشکیل می‌دهند. استفاده از ابزارهایی مثل Secunia که درباره آپدیت اپلکیشن‌ها‌ی شخص ثالث هشدار می‌دهند یا حتی این اپلیکیشن‌ها‌ را pat‌ch می‌کنند، به شما جهت به‌روزرسانی اپلیکیشن‌ها‌ به آخرین و ‌ایمن‌ترین نسخه‌ها‌ کمک می‌کنند.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌توانند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای p‌atch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟

در محیط‌ها‌ی شرکتی لازم است که وضعیت فعلی محیط کار و خطرات موجود را به مدیریت شرکت‌ها نشان دهید. این کار از طریق یک نرم‌افزار مدیریت p‌atch مناسب انجام می‌شود که معیارهای مختلفی (سیستم‌ها‌ با چه سرعتی p‌atch می‌شوند، چه سیستم‌ها‌یی قابل pa‌tch شدن نیستند و غیره) میزان ریسک و خطر را در سیستم‌ها‌ی شبکه ارزیابی می‌کنند.

 

MORTEN KJAERSGAARD

 

 

مدیر عامل Heimdal Security

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعات خودتان اولویت‌بندی می‌کنید؟

اکثر فعالان در این صنعت موافق هستند که pa‌tch کردن یکی از مؤلفه‌های کلیدی امنیت است. P‌atch کردن علت اصلی بیشتر رخنه‌ها‌یی است که در محیط‌ها‌ی مدیریت IT صورت می‌گیرد. آمارهای صنعت امنیت سایبری نشان می‌دهند که آسیب‌پذیری‌ها‌ی نرم‌افزاری علت اصلی این آلودگی‌ها هستند که 65 تا 92 درصد از خطرات را تشکیل می‌دهند. از آنجا که تقریباً همه اطلاع دارند که pat‌ching حیاتی است، من بیشتر بر سرعت این کار تمرکز می‌کنم، تا انجام این کار.

شاید آپدیت کردن نرم‌افزارها را بیشتر از یک هفته (یا یک روز) به تعویق بیندازید یا اصلاً انجام ندهید. اما مجرمین سایبری می‌توانند در ظرف کمتر از 24 ساعت اکسپلویت‌ها‌یی جهت سوء استفاده از آسیب‌پذیری‌ها‌ی موجود طراحی کنند، بنابراین لازم است که کاربران سرعت عمل خودشان را در این رابطه افزایش دهند.

• اهمیت pat‌ch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

Pa‌tching مثل رانندگی با لاستیک صاف است که باید هر چه سریع‌تر انجام شود وگرنه نمی‌توانید مسافت خیلی زیادی را با آن طی کنید.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

نرم‌افزارها طوری تولید می‌شوند که نیازهای مختلفی را رفع کنند و به روش‌ها‌ی مختلفی تست می‌شوند. مشکل اینجاست که نمی‌توان پیش‌بینی کرد در آینده چه اتفاقاتی پیش می‌آیند و به همین دلیل نرم‌افزارها مدام در برابر حمله آسیب‌پذیر می‌شوند.

اگر کاربران تمایل دارند که کمتر آسیب‌پذیر شوند، می‌توانند از نرم‌افزارهای کمتری استفاده کنند؛ یا این که اطمینان حاصل کنند همه نرم‌افزارهای مورد استفاده‌شان به روز هستند.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با pat‌ch کردن نرم‌افزارها چیست؟

در صورت امکان همه چیز را اتوماسیون سازی کنید؛ و تمرکز خودتان را به مشکلات بزرگ معطوف کنید. فلش و جاوا دو موردی هستند که همیشه مشکوک و مظنون هستند.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟

یکی از گام‌ها‌ی مهم ارزیابی نرم‌افزارهایی است که استفاده می‌کنید یا نمی‌کنید. با این کار می‌توانید از شلوغی و بی‌نظمی‌ خلاص شوید. در مرحله بعد می‌توانید از یک نرم‌افزار اختصاصی برای مدیریت به‌روزرسانی نرم‌افزارها استفاده کنید و این توصیه هم کاربران خانگی و هم شرکت‌ها‌ را در بر می‌گیرد. اتوماسیون می‌تواند به شما جهت افزایش امنیت و صرفه‌جویی در زمان و هزینه‌ها‌ کمک کند.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌توانند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای pa‌t‌ch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟

باز هم باید به اهمیت اتوماسیون به عنوان یک مؤلفه کلیدی تأکید کنم. صرف زمان کمتر برای pa‌‌tch کردن نرم‌افزارها باعث می‌شود که مدیران بخش IT بتوانند انرژی و منابع خودشان را برای مقابله با تاکتیک‌ها‌ی پیشرفته مجرمین سایبری صرف کنند (و همان‌طور که همه مطلع هستیم این تاکتیک‌ها‌ کم نیستند).

 

 PATRICK NUTTALL

 

 

رئیس مرکز امنیت دیجیتال لندن (London Digital Security Centre)

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعانتان اولویت‌بندی می‌کنید؟

من چالش‌ها‌ی امنیت سایبری را به دو گروه کلی تقسیم می‌کنم: تکنیکی و فردی.

معمولاً مقابله با بخش تکنیکی قضیه ساده‌تر است چون این قسمت بیشتر تحت کنترل مستقیم بخش‌ها‌ی IT قرار دارد. اما نهادینه کردن فرهنگ امنیت در داخل محیط سازمان، چالش برانگیزتر است و برای موفقیت و پایداری آن نیاز به مشارکت همه افراد وجود دارد.

متداول‌ترین اشتباهات تکنیکی که من طی ارزیابی‌ها‌ی امنیتی مشاهده کرده‌ام عدم اعمال Pa‌tchها یا تنظیمات نادرست است (مثل استفاده از پسورد پیش‌فرض یا فعال کردن سرویس‌ها‌ی غیرضروری). Pa‌tching یک روش رایگان برای حل آسیب‌پذیری‌ها‌ی تکنیکی در زیرساخت‌ها‌ی IT است و داشتن یک برنامه زمان‌بندی مناسب برای p‌atch کردن منظم نرم‌افزارها به همراه فرایندی برای اعمال سریع p‌atch‌ها‌ی حیاتی و مهم باید یکی از بخش‌ها‌ی مهم استراتژی امنیت سایبری شما باشد.

متأسفانه ما بارها با مشتریانی برخورد کردیم که به این دلیل قربانی رخنه‌ها‌ی خارجی شده بودند که pa‌tch‌ها‌ را به درستی برای مقابله با آسیب‌پذیری‌ها‌یی که گاهی حتی بیشتر از 5 سال پیش کشف شده بودند، اعمال نکرده بودند. حتماً اطمینان کسب کنید که سیستم‌ها‌ی IT شما درست تنظیم شده باشند و به یاد باشید که لازم است این سیستم‌ها‌ مثل سایر تجهیزات شرکت شما، به صورت منظم و دائماً بررسی و اصلاح شوند.

یکی از نکات کلیدی که باید به عنوان بخشی از استراتژی patc‌hing به آن توجه داشته باشید، تست است بخصوص برای سازمان‌ها‌ی بزرگ‌تری که از اپلیکیشن‌ها‌ی سفارشی استفاده می‌کنند. Pat‌ch و آپدیت ممکن است یکسری عواقب ناخواسته داشته باشد و عملکرد سایر اپلیکیشن‌ها‌ی سازمانی را دچار مخاطره کند بنابراین باید هر زمان که ممکن بود قبل از اعمال pa‌tchها به محیط اصلی، عملکرد اپلیکیشن‌ها‌ی مهم را روی سیستم‌ها‌یی که به صورت آزمایشی p‌atch شده‌اند تست کنید و یک استراتژی برگشت به عقب داشته باشید تا در صورت ‌ایجاد اختلال در عملکرد اپلیکیشن‌ها‌ از آن استفاده کنید. سیستم IT یکی از بانک‌ها‌ی مهم کشور انگلستان به دلیل p‌atchها و آپدیت‌ها‌یی که درست اعمال نشده بودند، به طور کامل از کار افتاد.

• اهمیت pa‌tch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

من اول توضیح می‌دادم که نرم‌افزارها مجموعه‌ای از زیرساخت‌ها‌ برای یک کامپیوتر هستند.

وقتی دستورالعمل‌ها‌ را می‌نویسید ضرورتاً نمی‌توانید تک‌تک سناریوهایی که در آینده با آن‌ها مواجه می‌شوید یا سوء استفاده‌ها‌ی احتمالی از یک دستورالعمل یا قاعده خاص را پیش‌بینی کنید.

عمل patc‌hing این مشکلات را در دستورالعمل‌ها‌ حل می‌کند و کمپانی‌ها‌ این کار را به صورت منظم انجام می‌دهند تا مطمئن شوند که نرم‌افزارهای آن‌ها‌ به درستی و به صورت امن کار می‌کنند.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

آسیب‌پذیر شدن نرم‌افزارها دلایل مختلفی دارد اما معمولاً این آسیب‌پذیری‌ها به دلیل ارتکاب اشتباهاتی از سوی توسعه‌دهندگان ‌ایجاد می‌شوند.

توسعه‌دهندگان نرم‌افزار سعی می‌کنند با استفاده از روش‌ها‌یی بهتر برای توسعه نرم‌افزار (مثل “طراحی امن”)، بررسی توسط همکاران یا ابزارهای اسکن خودکار کد که قابلیت شناسایی آسیب‌پذیری‌ها‌ی متداول را دارند (مثل Veracode) با این مشکل مقابله کنند.

از دیدگاه کاربری بهترین کاری که می‌توان انجام داد، اعمال pa‌tchها و آپدیت‌ها‌ به صورت منظم است، بخصوص اگر ذکر شده باشد که این آپدیت‌ها‌ مهم و حیاتی هستند. همچنین کاربران باید تنظیمات را به صورت دقیق بررسی کنند تا مطمئن شوند سرویس‌ها‌ یا امکاناتی که مورد نیاز نیستند، غیر فعال شده باشند. کاربران می‌توانند از طریق صحبت و مشورت با بخش IT، مستندات نرم‌افزار یا با جستجو در گوگل اطلاعات بیشتری در این رابطه کسب کنند.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با p‌atch کردن نرم‌افزارها چیست؟

دائماً و به صورت منظم Pa‌tch‌ها‌ را اعمال کنید. این کار رایگان است و نه فقط امنیت دستگاه شما را افزایش می‌دهد بلکه معمولاً منجر به بهبود عملکرد اپلیکیشن‌ها‌ می‌شود.

شرکت‌ها‌ی نرم‌افزاری معمولاً به دلایل امنیتی یا برای رفع باگ‌ها‌یی که منجر به قفل اپلیکیشن یا نقص عملکرد در بعضی از امکانات اپلیکیشن می‌شوند، pat‌chها را تولید و عرضه می‌کنند. یکی از پیشنهادهای من به محیط‌ها‌ی شرکتی در رابطه با این موضوع این است که پیش از اعمال آپدیت‌ها‌ی مهم و بزرگ (مثلاً ارتقای iOs 9.2 به 9.3) حتماً اول از بخش IT بخواهید که این آپدیت‌ها‌ را تست کند. گاهی اوقات آپدیت‌ها‌ی در سطح وسیع باعث می‌شوند که عملکرد سایر اپلکیشین‌ها‌ دچار مشکل شود بنابراین بهتر است قبل از اعمال آپدیت‌ها‌ حتماً آن‌ها‌ را تست کنید.

معمولاً چنین مشکلی برای دستگاه‌ها‌ی شخصی ‌ایجاد نمی‌شود.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

توصیه من به کاربران شخصی، فعال‌سازی آپدیت خودکار ‌سیستم‌عامل و سایر اپلیکیشن‌ها‌ است. (که در نسخه‌ها‌ی جدیدتر ویندوز این گزینه به صورت پیش‌فرض فعال است.)

کاربران شرکتی هم باید از بخش IT برای آپدیت نرم‌افزارها مشورت بگیرند و از آن‌ها‌ بپرسند که آیا آپدیت‌ها‌ به صورت خودکار اعمال می‌شوند یا نیاز به اقدام خاصی است. اکثر اوقات فقط لازم است که کاربر روی گزینه “apply update and restart” کلیک کند اما معمولاً کاربران وقتی این هشدار را می‌بینند آن را نادیده می‌گیرند. بسیار مهم است که این آپدیت‌ها‌ را به صورت منظم اعمال کنید.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌تواند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای pa‌tch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟

بستگی به زیرساخت IT کمپانی دارد. اگر در این شرکت‌ها‌ از نرم‌افزارهای سفارشی زیادی استفاده می‌شود باید کدها را با استفاده از یک ابزار اسکن خودکار مثل Veracode بررسی کنند و اگر از نرم‌افزارهای تجاری استفاده می‌کنند باید یک برنامه‌ریزی منظم برای به‌روزرسانی نرم‌افزارها (به صورت هفتگی یا ماهیانه) داشته باشند.

همان‌طور که پیش از این اشاره شد، توصیه می‌کنم که قبل از اعمال آپدیت به سیستم‌ها‌ی تولیدی، هر زمان که ممکن بود این آپدیت‌ها‌ را در یک محیط مخصوص تست، آزمایش کنند و یک طرح برای برگشت به عقب داشته باشند تا در صورتی که نصب آپدیت عواقب ناخواسته‌ای داشت، برای پیشگیری از اختلال در عملکرد سازمان بتوانند تنظیمات را به حالت قبل برگردانند.

 

PAVEL KRČMA

 

 

مدیر ارشد تکنولوژی در Sticky Password

 

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعاتتان اولویت‌بندی می‌کنید؟

کار را با سرویس‌ها‌یی شروع کنید که مهم‌تر هستند یا بیشتر از آن‌ها‌ استفاده می‌کنید. مثلاً اگر هر روز از ابزارهای مجموعه آفیس استفاده می‌کنید، در اسرع وقت آن را آپدیت کنید. نکته اصلی این است که باید اول از همه حفره‌ها‌ی موجود را ببندید. سپس ‌سیستم‌عامل و مرورگر را p‌atch کنید؛ چون معمولاً مرورگرها نقش مهمی‌ در هر عملیات نصبی دارند. در نهایت هم به موارد مشکل‌آفرین می‌رسیم مثل Adobe Flash که بهترین patc‌h برای چنین اپلیکیشن‌ها‌یی نصب نکردن آن‌هاست!

• اهمیت pat‌ch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

مسلماً اگر متوجه مشکلی در قفل در ورودی منزل شوید، هر چه سریع‌تر و قبل از سوء استفاده از این مشکل توسط سارقین از یک تعمیرکار برای رفع مشکل کمک می‌گیرید. همین موضوع برای pat‌ching هم صدق می‌کند یعنی قبل از این که فردی از اشکالات موجود در یک نرم‌افزار سوء استفاده کند باید آن‌ها‌ را رفع و اصلاح کرد.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

به نظر من با توجه به پیچیدگی‌ها‌ی بسیار زیاد نرم‌افزارهای امروزی، تعداد آسیب‌پذیری‌ها‌ی مهم و حیاتی چندان زیاد نیست. در حقیقت تولید بدون نقص ممکن نیست.

اما مشکل وقتی ‌ایجاد می‌شود که برنامه‌نویسان و تولیدکنندگان به اندازه کافی به امنیت توجه نمی‌کنند و بیشتر تمرکزشان ارائه امکانات جدید و قابل توجه است. کاری که کاربران می‌توانند انجام بدهند حرکت به سمت استفاده از محصولاتی است که تولیدکنندگان آن‌ها‌ توجه بیشتری به امنیت دارند. امنیت مسئله‌ای نیست که برای کاربران جلب توجه کند یا قابل رؤیت باشد، اما اهمیت فوق‌العاده زیادی دارد.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با patc‌h کردن نرم‌افزارها چیست؟

با فعال کردن امکان آپدیت نرم‌افزارها اجازه بدهید که تولیدکنندگان نرم‌افزار کار خودشان را انجام بدهند. معمولاً کاربران آپدیت نرم‌افزارها را تا حد امکان به تعویق می‌اندازند و این کار برای امنیت هیچ محصولی خوب نیست.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

به نظر من ضرورتی برای استفاده از ابزارهای شخص ثالث جهت مدیریت p‌atch وجود ندارد. تنها توصیه من به روز نگه داشتن نرم‌افزارها است. تنظیمات را در حالت اتوماتیک قرار دهید: یعنی طوریکه برای اعمال آپدیت نیاز به هیچ اقدام خاصی از سوی شما نباشد.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌توانند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای pa‌tch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟

محیط‌ها‌ی شرکتی کاملاً با کاربران خانگی و کاربران SMB متفاوت هستند. چیزی که من می‌بینم این است که اکثر سازمان‌ها‌ یکسری قوانین امنیتی و رویه‌ها‌ی مربوط به آن‌ها‌ را بکار بسته‌اند که تغییر کاملاً مثبتی است. اما از طرف دیگر مدیریت pa‌tch برای تمام نرم‌افزارهایی که در یک سازمان استفاده می‌شوند، در این رویکرد وجود ندارد. نظارت، تست، اعمال و مدیریت patc‌h به شیوه‌ای کارآمد، آسان نیست اما ابزارهایی هستند که می‌توانند به انجام این کار کمک زیادی کنند. اما اول از همه مدیریت pat‌ch باید بخشی از استراتژی امنیتی کلی هر سازمانی باشد.

 

PIERLUIGI PAGANINI

 

 

بنیان‌گذار  Security Affairs

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعاتتان اولویت‌بندی می‌کنید؟

ما باید به اجزای سخت‌افزاری و نرم‌افزاری مثل موجودیت‌ها‌ی زنده نگاه کنیم که به مرور زمان رشد و تکامل پیدا می‌کنند. مدیریت p‌atch برای کسب اطمینان از این که این مولفه‌ها‌ طی دوره حیات‌شان‌ ایمن باقی می‌مانند و بدون به خطر انداختن خودشان و کاربران نهایی با هم تعامل پیدا می‌کنند، حیاتی است.

• اهمیت p‌atch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

به نظر من امنیت یک مفهوم “لحظه‌ای” است. چیزی که در یک لحظه خاص‌ ایمن است ممکن است در لحظه بعد نباشد. به همین دلیل بسیار مهم است که هر آسیب‌پذیری بالقوه‌ای که ممکن است در طول حیات یک سیستم کامپیوتری ظهور پیدا کند را شناسایی کرده و pat‌chهای ضروری را به آن اعمال کرد.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

هر نرم‌افزاری، حتی آن‌ها‌یی که با روش طراحی امن تولید می‌شوند، ممکن است نقص امنیتی داشته باشد. نرم‌افزارها توسط انسان تولید می‌شوند و کاملاً طبیعی است که در کدنویسی آن‌ها‌ خطایی وجود داشته باشد. مورد دیگری که باید به آن توجه باشید این است که وقتی توسعه‌دهندگان یک نرم‌افزار را طراحی و تولید می‌کنند هیچ اطلاعی از استفاده‌ای که در آینده از آن می‌شود، ندارند. از طرفی ممکن است اجزای یک نرم‌افزار به شیوه‌ای با سایر سیستم‌ها‌ تعامل داشته باشند که در فاز طراحی مورد توجه قرار نگرفته باشند. گاهی اوقات ممکن است این تعاملات منجر به‌ ایجاد نقایص خاصی شوند.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با patc‌h کردن نرم‌افزارها چیست؟

همیشه نسبت به pa‌tch کردن نرم‌افزارها توجه ویژه‌ای داشته باشید.

در محیط‌ها‌ی حیاتی و حساس علاوه بر وجود یک سیستم مدیریت برای pat‌ching لازم است یک محیط اختصاصی هم وجود داشته باشد که جهت ارزیابی تأثیرات این pat‌chها طراحی شده باشد.

در نهایت، توجه به فاکتور “زمان” برای کاهش خطرات بالقوه بسیار حیاتی است.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

موضوع، ابزار نیست، در بازار اپلیکیشن‌ها‌ی مختلفی هستند که می‌توانند به مدیران سیستم‌ها‌ برای بروز نگه داشتن نرم‌افزارها کمک کنند. بسیار مهم است که در هر سازمانی فرهنگ امنیتی ترویج پیدا کند. مدیریت pat‌ch یکی از قطب‌ها‌ی بسیار مهم برای برخورداری از امنیتی مناسب در هر سازمان است.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌توانند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای p‌atch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟

مدیریت pa‌tch باید در خط مشی امنیتی لحاظ شود و باید شاخص‌هایی برای ارزیابی چگونگی اعمال اصلاحات ضرری به اپلیکیشن‌ها‌ی آسیب‌پذیر تعریف شود. افزایش آگاهی نسبت به امنیت، یکی دیگر از ابزارهای کلیدی برای سازمان‌ها‌ست بسیار مهم است که کارمندان را درباره خطرات بالقوه ناشی از نداشتن فرایندهای مناسب در مدیریت pa‌tch آموزش داد.

 

RAJ SAMANI

 

 

سرپرست، رئیس ارشد فنی در (Intel Security (EMEA

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعاتتان  اولویت‌بندی می‌کنید؟

Patc‌hing یکی از اصول مهم بهداشت امنیتی است. اما این پاسخ، پاسخ ساده‌ای نیست چون هر خط مشی برای p‌atching نیاز به ملاحظات مختلفی دارد.

مثلاً در بعضی محیط‌ها‌ امکان pat‌ch کردن سریع و فوری وجود ندارد و لازم است منتظر تایید رسمی ‌از طرف فروشنده نرم‌افزار باشید. همچنین قرار دادن سیستم‌ها‌ در چرخه pat‌ching ممکن است منجر به اختلالاتی در دسترسی به سیستم‌ها‌ شود و بدون وجود فرایند تست مناسب ممکن است عواقب ناخوشایندی‌ ایجاد شوند.

بارها مشاهده شده که بعضی از اکسپلویت‌ها‌ دقیقاً در فاصله بین انتشار یک pa‌tch تا زمان اعمال آن به سیستم‌ها‌ ایجاد شده‌اند. بنابراین نصب به موقع آپدیت‌ها‌ بسیار حیاتی است.

• اهمیت p‌atch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

توضیح این مفهوم برای مادربزرگم ‌سخت است چون او به زبان انگلیسی صحبت نمی‌کند (و معنای واژه آسیب‌پذیری را به زبان او نمی‌دانم). اما به هر کسی به‌جز مادربزرگم این طور توضیح می‌دهم که p‌atching فرایند بهبود کدهای درون سیستمی شماست طوریکه کسی نتواند از این کدها به نفع خودش استفاده کند.

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

تمایل ما به داشتن امکانات و عملکردهای بیشتر به این معناست که میانگین تعداد خطوط کد در سیستم‌ها‌ی مدرن (توجه کنید که من از اصطلاح سیستم برای پوشش همه چیز، از ‌سیستم‌عامل گرفته تا اپلیکیشن و غیره استفاده می‌کنم) رو به افزایش است. برای مثال Windows NT 4.0 حدود 10 میلیون خط کد داشت و تقریباً 10 سال بعد تعداد خطوط کدی که در ‌سیستم‌عامل Windows Vista گزارش شد، حدود 50 میلیون خط بود.

اعداد و ارقام صنعتی نشان می‌دهند که در هر هزار خط کد x آسیب‌پذیری وجود دارد. خودتان حساب کنید!

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با p‌atch کردن نرم‌افزارها چیست؟

خیلی ساده است، حتماً این کار را به موقع انجام بدهید، اما سعی کنید اقدامات لازم را انجام بدهید تا اپلیکیشن‌ها‌یی که pa‌tch می‌شوند تأثیر منفی روی سیستم‌ها‌یی که باید همیشه در دسترس باشند، نداشته باشند.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

به نظرم پاسخ ساده‌ای برای این سوال وجود ندارد. اما شاید استفاده از آپدیت خودکار در بعضی از سیستم‌ها‌ اقدام مناسبی باشد.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌توانند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای pa‌tch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کنند؟

سوال سختی پرسیدید چون باید این فرایند، جزئی از اعمال روتین در تمام سازمان‌ها‌ باشد. فکر می‌کنم اولین مقاله‌ای که راجع به فاصله بین انتشار یک p‌atch و تولید بدافزار برای سوء استفاده از سیستم‌ها‌ی pat‌ch نشده نوشتم، به اندازه کافی جامع و کامل باشد. با بررسی بسیاری از حملات بدافزاری بزرگ، متوجه می‌شویم که می‌توان با pat‌ch کردن به موقع از بسیاری از این حملات پیشگیری کرد.

 

TOD BEARDSLEY

 

 

مدیر ارشد تحقیقات امنیتی در RAPID7

• شما به عنوان یک کارشناس امنیت سایبری، چطور به‌روزرسانی نرم‌افزارها را برای محافظت از امنیت اطلاعاتتان اولویت‌بندی می‌کنید؟

Pat‌ch کردن به موقع و مداوم یکی از بخش‌ها‌ی مهم و حیاتی در مبحث امنیت IT است. تمام نرم‌افزارها حاوی خطاهایی هستند و بعضی از این خطاها منجر به‌ ایجاد آسیب‌پذیری‌ها‌ی امنیتی می‌شوند، بنابراین نصب به موقع p‌atchها بخش مهمی‌ از بهداشت امنیتی است.

• اهمیت p‌atch کردن را چطور توضیح می‌دهید که برای قابل فهم و درک باشد؟

بهتر است pa‌tching را طوری توضیح بدهم که مدیرم درک کند! نگرانی که معمولاً وجود دارد این است که pa‌tching منجر به از کار افتادن سیستم‌ها‌ مثلاً برای ریبوت می‌شود اما معمولاً درباره این موضوع این طور استدلال می‌کنم که “اگر این سیستم آن‌قدر حیاتی است که نمی‌توانیم از کار افتادن برنامه‌ریزی نشده آن را تحمل کنیم، پس آن‌قدر حیاتی هست که باید هر چه سریع‌تر آن را p‌at‌ch کنیم تا در اثر حمله مهاجمین کاملاً از کار نیفتد.”

• سؤالی که در ذهن همه کاربران وجود دارد: چرا نرم‌افزارها تا این حد آسیب‌پذیر هستند و چه کاری از دست کاربران در رابطه با این موضوع برمی‌آید؟

امروزه سعی می‌شود فرایند تحویل نرم‌افزارها به بازار در اسرع وقت انجام شود و وقتی نرم‌افزار به بازار ارائه شد، برای مقابله با خطاهای موجود در آن باید به عمل pa‌tching متکی شویم. می‌توان تا ابد تلاش کرد که نرم‌افزار ارائه شده کامل و بی‌نقص باشد اما به هر حال باید روزی این نرم‌افزار به بازار عرضه شود.

تولید نرم‌افزارهایی که به شبکه متصل می‌شوند یکی از پیچیده‌ترین کارهایی است که انسان انجام می‌دهد بنابراین جای تعجب نیست که این نرم‌افزارها حاوی باگ‌ها و خطاهایی باشند. ارائه نرم‌افزاری که حاوی خطا باشد اشکالی ندارد به این شرط که یک سیستم pat‌ching مناسب و به موقع وجود داشته باشد. متأسفانه با توجه به تعداد بسیار زیاد تجهیزات اینترنت اشیاء چنین سیستمی ‌یا وجود ندارد یا استفاده از آن شدیداً سخت است.

• مهم‌ترین توصیه کاربردی شما برای کاربران در رابطه با p‌atch کردن نرم‌افزارها چیست؟

اگر امکان فعال کردن به‌روزرسانی خودکار وجود دارد، این گزینه را فعال کنید. در غیر این صورت به دنبال راهکارهای جایگزینی باشید که از pa‌tching خودکار پشتیبانی کنند. همه ما از این واقعیت اطلاع داریم که بروز نگه داشتن نرم‌افزارها به صورت دستی، کار سختی است بنابراین اتوماتیک کردن عمل به‌روزرسانی و رفع خطاها بسیار حیاتی است.

• کاربران چطور می‌توانند عادت بروز نگه داشتن نرم‌افزارها را در خودشان پرورش دهند؟ آیا شما ابزار خاصی را توصیه می‌کنید؟

در حالت ‌ایده‌آل لازم نیست کاربران برای اطمینان از این که آخرین نسخه از یک نرم‌افزار را دارند، کار خاصی انجام بدهند. هر چیزی که نیاز به مداخله و تلاش کاربر دارد مسئله‌ای مشکل‌آفرین است. بخصوص این امر برای کاربران نهایی و مشتریان صدق می‌کند.

در صورتیکه از نرم‌افزاری استفاده می‌کنید که از pa‌tching خودکار پشتیبانی نمی‌کند، تنظیم یک تقویم برای یادآوری به همراه دستورالعمل‌ها‌ی لازم می‌تواند بسیار مفید باشد. اعمال patch مثل قبضی است که برای‌ ایمن نگه داشتن نرم‌افزارهای خودتان پرداخت می‌کنید، بنابراین سعی کنید این فرایند را مثل پرداخت قبوض برنامه‌ریزی کنید.

• در مقیاس شرکتی و سازمانی، چه اقداماتی می‌تواند به اکثر سازمان‌ها‌ جهت بهره‌مندی از مزایای p‌atch کردن نرم‌افزارها به عنوان یک راهکار امنیتی پیشگیرانه کمک کند؟

سازمان‌ها باید‌ نرم‌افزارهایی را انتخاب کنند که به‌روزرسانی و آپدیت توسط خود این نرم‌افزارها انجام شود. این آپدیت‌ها‌ باید اتوماتیک و زمان‌بندی شده باشند، حداقل اختلال را در کارها‌ ایجاد کنند و به صورت امن عرضه شوند.

نتیجه‌گیری

امیدواریم بعد از مطالعه نظرات کارشناسان و متخصصین متوجه اهمیت به‌روزرسانی نرم‌افزارها شده باشید و این که نمی‌توان به هیچ عنوان از این کار صرف نظر کرد.

شاید تا به حال patch کردن نرم‌افزارها را نادیده گرفته باشید و اهمیتی برای آن‌ها‌ قائل نبوده باشید اما حتماً حالا متوجه حیاتی بودن این قضیه شده‌اید. امیدواریم شما هم تصمیم بگیرید که آپدیت نرم‌افزارها را بخشی از کارهای روتین خودتان قرار بدهید. با این کار محیط وب نه فقط برای خود شما بلکه برای سایرین هم محیطی ‌ایمن‌تر می‌شود