الإعداد

في هذا القسم، سنناقش بالتفصيل كيفية إعداد مؤسستك لإطلاق برنامج إفشاء ناجح للثغرات الأمنية وتشغيله، بما في ذلك نصائح عملية حول كيفية سد الفجوات التي حددتها.

جارٍ البحث عن أخطاء

جارٍ البحث عن أخطاء

تُعد تعزيز برنامج الأمان الحالي بالباحثين الأمنيين الخارجيين طريقة رائعة للعثور على المشكلات المعقدة والثغرات الأمنية الغامضة. ومع ذلك، يُعدّ استخدام VDP لاكتشاف مشاكل الأمان الأساسية التي يمكن اكتشافها داخليًا هدرًا للموارد.

إدارة الأصول

عندما يتعلق الأمر بالعثور على أخطاء، فإن الطريقة الوحيدة لمعرفة نقطة البداية هي إذا كانت لديك فكرة جيدة عن الأشياء الموجودة هناك. يمكنك شراء المئات من أدوات الأمان، ولكن لن يحدث أي فرق إذا كانت الفِرق تقف تطبيقات وأنظمة وأنظمة مخصصة للإعلانات بدون علمك، لا سيما إذا لم تكن لديك طريقة لاكتشاف تقييمات الأمان وتنفيذها باستخدام مواد العرض هذه. راجع أفرادًا وفِرقًا مسؤولين عن المساعدة في الوقوف على التطبيقات والأنظمة والخدمات الجديدة لمعرفة ما إذا كانت هناك عملية مُطبَّقة لإنشاء مستودع من العناصر التي تم إنفاقها، ومن تملكه. إذا لم تكن هناك عملية حالية، فهذه فرصة رائعة للتعاون مع هذه الفرق لإنشاء واحدة. ويُعد التعرف على أصول مؤسستك أفضل مكان للبدء عند تحديد الهجوم. كجزء من هذه العملية، يجب أن يشارك فريق الأمان في تطوير تنفيذ البنية الأساسية الجديدة لتقديم مراجعات الأمان. من الممارسات الجيدة أن يكون لديك مستودع كبير من مواد العرض والمالكين. ويكون هذا النوع من المستودع مفيدًا عند تطبيق تصحيحات جديدة تتطلب إيقاف تشغيل أنظمة معينة مؤقتًا. وهو يوفّر خريطة طريق للأفراد أو الفِرق التي يجب معرفتها والأنظمة المتأثرة. ويضمن تطبيق عملية إدارة أصول فعّالة تحديد المالكين في مرحلة مبكرة من العملية، وتحديثهم بشكل منتظم، وضمان عمل جميع الأنظمة في المؤسسة على النحو المنشود.

بالإضافة إلى الإدارة الاستباقية لمواد العرض، فكّر في الإجراءات التفاعلية التي يمكنك تنفيذها أيضًا لتحديد مواد العرض التي تنتمي إلى مؤسستك، ولكن انزلقت خلال الثغرات في عمليات إدارة مواد العرض الموحّدة. ويمكن أن يتضمن هذا استخدام عمليات "الاستكشاف" نفسها التي يستخدمها الباحثون في مجال الأمان الذين يشاركون في برامج VDP وبرامج تصحيح الأخطاء. على سبيل المثال، يمكنك الاستفادة من الأدوات مفتوحة المصدر والمجانية التي تعمل على فحص وإحصاء نطاقات أو عناوين IP التي قد تنتمي إلى مؤسستك والتي قد تنتمي إلى الإنترنت. سيقدّم لك بحث Google عن أداة رصد أخطاء مكافآت متنوّعة لمساعدتك في التعرّف على مواد العرض في مؤسستك التي لم تكن على دراية بها.

فحص الثغرات الأمنية الأساسية

والآن بعد أن أصبح لديك أساس متين من حيث تحتاج إلى البحث عن مشكلات الأمان، دعنا نتعمق في كيفية كيفية القيام بذلك. هناك العديد من مستويات العمق التي يمكنك الوصول إليها بناءً على موارد مؤسستك ولكن يجب تحقيق التوازن بين جهود الأمان الداخلية ومنتدى القرصنة الخارجية من خلال برنامج الكشف عن الثغرات الأمنية. يختلف هذا الرصيد لكل مؤسسة، بناءً على الموارد المتاحة.

اختيار الأدوات

هناك العديد من الأدوات المختلفة للمساعدة في تحديد الثغرات الأمنية. وتتوفر بعض أدوات فحص الثغرات الأمنية مجانًا، بينما تتوفر أدوات أخرى بتكلفة إضافية. يعتمد تحديد الأدوات التي تختارها على احتياجاتك الفردية.

  • متطلبات مؤسستك
  • مدى استيفاء كل أداة لهذه المتطلبات
  • إذا كانت فوائد الأداة تفوق التكاليف (المالية والتنفيذية).

يمكنك استخدام نموذج المتطلبات هذا (OpenDocument .ods، Microsoft Excel .xlsx) لتقييم الأدوات المختلفة وفقًا لمتطلباتك. يتضمّن النموذج بعض المتطلبات، ولكن يجب مناقشة هذه التغييرات مع فِرق الأمان وتكنولوجيا المعلومات والهندسة لديك للتوافق مع الإمكانات المطلوبة. على الأقل قبل إطلاق برنامج الكشف عن الثغرات الأمنية، يجب أن يكون بمقدورك إجراء عمليات فحص للثغرات الأمنية مقابل أي مواد عرض مواجهة للخارج (مثل المواقع الإلكترونية وواجهات برمجة التطبيقات وتطبيقات الجوّال). سيساعدك هذا في العثور على الثغرات الأمنية التي يمكن اكتشافها بسهولة وإصلاحها قبل دعوة الباحثين الخارجيين في مجال الأمان لاختبار هذه الأصول والخدمات.

إعداد البحث

يمكن أن تجد عمليات الفحص التلقائية للثغرات الأمنية الكثير من المشكلات، ولكن يمكنها أيضًا أن تنتج نتائج إيجابية خاطئة. لهذا السبب، من الضروري أن تتوفّر لديك موارد للتحقق من صحة النتائج قبل مشاركتها مع الفرق المتأثرة. ستحتاج إلى تنفيذ عمليات لضمان تشغيل عمليات الفحص بشكل منتظم، والتأكد من معالجة نتائج عمليات الفحص هذه. سيبدو هذا مختلفًا لكل مؤسسة، ولكن على الأقل، ستحتاج إلى تحديد:

  • معدل البحث
    • مستمر
    • أسبوعي
    • شهريًا
  • مواد العرض التي يتم فحصها
  • بيانات الاعتماد
    • عمليات الفحص التي تمت مصادقتها مقابل عمليات الفحص التي لم تتم مصادقتها
    • (نصيحة: في حال لم تكن تجري الفحص باستخدام بيانات الاعتماد، سيختبِر أحد الباحثين الأمنيين باستخدام بيانات الاعتماد عند بدء VDP، وقد تحصل على موجة كبيرة من الثغرات الأمنية المُحدَّدة.)
  • الأدوار والمسؤوليات
    • تحديد أعضاء الفريق المسؤولين عن إجراء عمليات الفحص
    • إعداد التناوب إذا لزم الأمر
  • مسح النتائج ضوئيًا
    • التحقق من نتائج الفحص
    • الإبلاغ عن الأخطاء للثغرات الأمنية التي تم التحقق منها
    • تحديد هوية المالكين لإصلاح الأخطاء
    • المتابعة مع المالكين بشأن معالجة المشاكل

سنتناول بمزيد من التفصيل كيفية ضمان إصلاح مشاكل الأمان المُحددة في قسم إصلاح الأخطاء لاحقًا في هذا الدليل.

عملية مراجعة الأمان

على الرغم من أن فحص الثغرات الأمنية يُعد طريقة رائعة لتحديد مشاكل الأمان بشكل تفاعلي في مؤسستك، يمكن أن يساعد تنفيذ عمليات مراجعة الأمان في منع ظهور الثغرات الأمنية في المقام الأول. لأغراض هذا الدليل، يشير مصطلح مراجعة الأمان إلى أي موقف يؤدي إلى إجراء مراجعة يدوية لأحد أعضاء فريق الأمان. ويشمل ذلك عادةً الحصول على تفويض بحظر إجراء تغيير إذا اعتبرنا أنه خطير للغاية. إذا لم يكن لدى فريق الأمان إمكانية منع التغييرات التي تنطوي على خطورة، فستحتاج إلى إجراء عمليات لتوثيق المخاطر. ويمكن أن يساعد ذلك في ضمان معرفة من يدافع عن التغيير بالمخاطر التي ينطوي عليها هذا التغيير، ويقبل هذه المخاطر مسبقًا.

معايير مراجعة الأمان

متى يجب إجراء مراجعات الأمان؟ يساعد إنشاء مجموعة من المعايير التي تؤدي إلى إجراء مراجعة الأمان في التأكد من أن جميع المستخدمين على نفس الصفحة. في ما يلي بعض الأمثلة على السيناريوهات التي قد تؤدي إلى إجراء مراجعة أمنية.

  • تم اقتراح وظائف جديدة متعلقة ببيانات المستخدمين الحساسة
    • ميزة جديدة تتيح للمستخدمين مشاركة موقعهم الجغرافي على الخريطة
    • طلب معلومات حساسة من المستخدمين، مثل عنوان المنزل أو تاريخ الميلاد أو رقم الهاتف
  • إجراء تحديثات رئيسية للوظائف الحالية
    • الحصول على بيانات المستخدمين الحالية واستخدامها بطريقة جديدة قد لا يتوقعها المستخدمون بدون منحهم فرصة للتعطيل
    • التغييرات على أي ميزات ذات صلة بالمصادقة والتفويض وإدارة الجلسة
  • التغييرات التي تطرأ على بيئة إنتاج الشركة
    • تغييرات تهيئة الشبكة، خصوصًا التغييرات التي قد تؤدي إلى كشف الخدمات خارجيًا
    • تثبيت برامج جديدة تعالج بيانات المستخدمين الحساسة، إذا تم اختراقها يمكن استخدامها بشكل غير مباشر للوصول إلى بيانات المستخدم الحساسة
    • وضع أنظمة أو خدمات جديدة
  • التفاعل مع مورد جديد أو تغيير كيفية العمل مع المورد الحالي
    • إعداد مورد جديد سيعالج بيانات المستخدم الحساسة
    • التغييرات في طريقة تعاملك مع مورّد حالي يؤدي إلى معالجة المورّد لبيانات المستخدم الحسّاسة

وهذه القائمة ليست شاملة، ولكن يجب أن تفكر في أنواع التغييرات التي يجب أن تتطلب مراجعة الأمان. بينما تحدد معايير ما يتطلبه وما لا يتطلبه إجراء مراجعة أمنية، ناقشه مع الجهات المعنية الرئيسية في جميع أنحاء المؤسسة لضمان:

  • لدى الجهات المعنيّة الفرصة لمراجعة المعايير وتقديم تعليقات عليها
  • توافق الجهات المعنيّة على المعايير
  • توافق الجهات المعنية على طلب مراجعات الأمان بشكل استباقي.

وثِّق هذه المعايير وكذلك كيفية طلب إجراء مراجعة أمنية (على سبيل المثال، تقديم تقرير عن الخطأ إلى قائمة انتظار يراقبها فريق الأمان) لتسهيل اتّباع هذه العملية قدر الإمكان لمؤسستك.

إسناد عملية مراجعة الأمان

على عكس عمليات الفحص التلقائية، يمكن أن تكون مراجعات الأمان أكثر كثافة في استخدام الموارد. يتوفر لكل فريق أمان الكثير من الوقت فقط خلال اليوم لإنجاز عدد كبير من المهام، لذا ستحتاج إلى تقدير عدد مراجعات الأمان التي قد يتم إنشاؤها استنادًا إلى معاييرك. إذا وجدت فريق العمل عبئًا كبيرًا وتأخرت في أداء مهامه، سيشعر من ينتظر منهم إطلاق ميزاتهم بالانزعاج من فريق الأمان. قد يتسبب هذا في تحوّل ثقافي في المؤسسة مما يؤدي إلى اعتبار فريق الأمان أداة حظر بدلاً من شريك. إذا لم تكن عملية مراجعة الأمان فعالة، سيحاول العديد من الأفراد والفرق تجاوزها بالكامل. إذا كانت الموارد محدودة، فجرّب تخفيف معاييرك لطلب إجراء مراجعة أمنية، والاستعداد لقبول بعض المخاطر المتبقية. إذا حدثت الحوادث نتيجة لنقص الموارد لإجراء مراجعات الأمان، فإن هذا سيساعد في تبرير الحاجة إلى المزيد من موارد الأمان.

إجراء مراجعات الأمان

عندما يتعلق الأمر بتحديد تعليقات الأمان التي يجب تنفيذها وكيفية تنفيذها، ستحتاج إلى قائمة انتظار ذات أولوية للحصول عليها. يمكنك إنشاء طريقة موحّدة للآخرين في مؤسستك لطلب إجراء مراجعة أمنية باستخدام أي معلومات ستحتاج إليها لتحديد أولويتها بشكل مناسب. على سبيل المثال، يمكنك ملء استبيان يتضمن عناصر مثل طبيعة التغيير، بما في ذلك ملخص سريع للتغيير وأنواع بيانات المستخدمين التي قد تتأثر. يمكنك تصنيف مراجعات الأمان المحتملة تلقائيًا إلى تغييرات عالية أو متوسطة أو منخفضة المخاطر بناءً على الإجابات عن هذه الأسئلة. إذا كان التغيير عالي الخطورة، فقد تحتاج إلى إجراء عملية مراجعة أمنية تفصيلية أكثر. إذا كان التغيير أقل خطورة، فقد تتمكن من تنفيذ عملية مراجعة أمنية أكثر بساطة للمساعدة في تقليل الموارد المطلوبة وتسريع العملية، مما يؤدي إلى تمكين النشاط التجاري بشكل أفضل. يمكنك إعداد التناوب داخل فريقك لتكون مسؤولاً عن إدارة قائمة انتظار مراجعة الأمان، وضمان انتقاء تعليقات الأمان الجديدة من قبل أعضاء فريقك، ومتابعة تقدم مراجعات الأمان الحالية. ستختلف العملية الفعلية لمراجعة الأمان حسب ما يتم فحصه. على سبيل المثال، قد تتطلب ميزة جديدة في تطبيق الجوّال من مهندس الأمان مراجعة الشفرة والبحث عن الثغرات الأمنية المحتملة. قد تحتاج البرامج الجديدة التي يتم تثبيتها إلى مراجعة للتأكد من إعداد التحكم في الدخول بشكل صحيح. يمكن أن يؤدي العمل مع موردين خارجيين إلى تقديم عملية مختلفة تمامًا. يمكنك الرجوع إلى استبيان تقييم أمان المورّد من Google للاطّلاع عليه.

إصلاح الأخطاء

من المهم العثور على الأخطاء، ولكن لن يتحسن الأمان إلا بعد إصلاح هذه الأخطاء. من المفيد معرفة المخاطر التي تتعرض لها مؤسستك، ولكن من الأفضل التعامل مع هذه المخاطر بفعالية.

إدارة الثغرات الأمنية

تأتي الثغرات الأمنية من مجموعة متنوعة من الموارد، بما في ذلك الجهود الداخلية (على سبيل المثال، عمليات فحص الثغرات الأمنية ومراجعات الأمان)، أو اختبارات وتدقيق اختراق الجهات الخارجية، أو حتى الباحثين الخارجيين في مجال الأمان الذين يرسلون إشعارات إليك من خلال قنوات الدعم قبل إطلاق VDP بشكل رسمي. تحتاج مؤسستك إلى طريقة لتصنيف الثغرات الأمنية الحالية والجديدة لضمان نقلها إلى الجهات المعنية المناسبة، وتحديد أولوياتها بشكل صحيح، ومعالجتها في الوقت المناسب. عند إطلاق VDP، سيكون لديك تدفق جديد من الثغرات الأمنية التي تدخل عمليات إدارة الثغرات الأمنية لديك. ويساعدك اتباع إجراءات راسخة في التعامل مع هذه الثغرات الأمنية على تتبع مدى التقدم نحو المعالجة والاستجابة لطلبات باحثي الأمان الخارجيين للحصول على التحديثات. ستؤدي القدرة على تحديد أولويات الثغرة الأمنية بسرعة والتواصل مع المشاركين في VDP حول المخطط الزمني للمعالجة إلى زيادة التفاعل مع منتدى الباحثين في مجال الأمان، بالإضافة إلى تحسين سمعة أمان مؤسستك. توضّح الأقسام التالية الجوانب المختلفة لبرنامج إدارة الثغرات الأمنية الذي ستحتاج إلى تطبيقه قبل إطلاق برنامج VDP.

وضع معايير الخطورة والمخططات الزمنية لمعالجة المشاكل

إنّ إنشاء لغة مشترَكة حول درجة خطورة الثغرات الزمنية والمخططات الزمنية المثالية لحلّ المشاكل المرتبطة بكل درجة من الخطورة يساعد في تسهيل عملية تحديد التوقّعات العادية لدى مؤسستك. إذا تم التعامل مع جميع الثغرات الأمنية كحالات طوارئ، فستستنفد مؤسستك مواردها وتزداد احتقارها تجاه فريق الأمان. إذا تم اعتبار كل ثغرة أمنية ذات أولوية منخفضة، فلن يتم إصلاح الثغرات الأمنية أبدًا، وسيزيد خطر الخرق. لكل مؤسسة موارد محدودة، لذا ستحتاج إلى إنشاء درجة خطورة. ويوفر هذا الترتيب معايير تساعد مؤسستك في فهم مدى خطورة الثغرة الأمنية والمخططات الزمنية المتوقّعة لإصلاحها والمرتبطة بكل درجة من الخطورة. يمكنك إعداد مجموعة من إرشادات الخطورة ومشاركتها مع الجهات المعنيّة الأساسية في مؤسستك للحصول على تعليقات. على سبيل المثال، إذا كانت الهندسة مشمولة في صياغة معايير الخطورة، فمن المرجّح أن يشتركون في هذه المعايير ويتقيدون بها عندما يحين وقت إصلاح إحدى الثغرات الأمنية خلال إطار زمني محدّد. وقد تختلف إرشادات درجة الخطورة هذه استنادًا إلى المخاطر الخاصة بنشاطك التجاري. قد تحتاج إلى التفكير في تمرين نمذجة التهديدات للتفكير في التهديدات الأكثر احتمالاً وتأثيرًا على مؤسستك، وتضمين أمثلة للمشكلات التي قد تندرج ضمن كل فئة من فئات الخطورة. في ما يلي مثال على معايير الخطورة والمخططات الزمنية للإصلاحات في مؤسسة مالية.

درجة الخطورة الوصف المخطط الزمني للمعالجة أمثلة
مشاكل ملحّة المشاكل التي تشكّل تهديدًا وشيكًا لمستخدمينا أو نشاطنا التجاري المالك: يجب تحديد المالك الأساسي لضمان إصلاح الثغرة الأمنية في غضون 8 ساعات. يمكنك الاتصال بموارد الصفحات كما يلزم، حتى خارج ساعات العمل العادية.
الحل: يجب حل المشكلة نفسها، أو على الأقل تخفيف المخاطر في أقرب وقت ممكن، أو على الأكثر، في غضون ثلاثة أيام عمل.		 اختراق قاعدة بيانات الإنتاج التي تتضمن جميع السجلات المالية للمستخدمين.

يتمكن أي مهاجم من الوصول إلى الأسرار التجارية، مثل خوارزميات الاستثمار الخاصة بنا.

حادثة نشطة تشمل مهاجمًا يحصل على إذن الوصول إلى شبكتنا الداخلية أو أنظمة إنتاج حساسة
مرتفعة المشاكل التي قد تؤدي إلى حدوث ضرر كبير في حال استغلالها المالك: يجب تحديد المالك الأساسي في غضون يوم عمل واحد.
الحل: في غضون 10 أيام عمل (أسبوعان تقريبًا).		 الثغرات الأمنية التي قد تؤدي إلى الوصول إلى بيانات المستخدم الحساسة أو وظائفه (مثل قدرة أي مستخدم على سرقة الأموال من مستخدم آخر).
الوسيط المشاكل التي يصعب استغلالها أو التي لا تؤدي إلى ضرر مباشر. المالك: يجب تحديد المالك الأساسي في غضون خمسة أيام عمل.
الحل: خلال مدة تتراوح بين 20 و40 يوم عمل (من شهر إلى شهرين تقريبًا)		 المشاكل التي تم التحقق منها والتي حددتها برامج الفحص التلقائية، مثل رموز تصحيح الأمان بدون استغلال الثغرات المعروفة.

المشاكل المتعلّقة بالإفصاح عن المعلومات والتي قد تساعد في المزيد من الهجمات

الحدّ من المشاكل التي قد يتمّ استغلالها (مثل القدرة على تخمين كلمات المرور بشكل مستمر لمستخدم)
منخفض المشاكل ذات التأثير البسيط، وتُستخدم بشكل أساسي لتسجيل المشاكل المعروفة. لا توجد متطلبات للبحث عن مالك أو إصلاحه خلال مخطط زمني محدد. الإفصاح عن المعلومات الذي لا يشكّل خطرًا محتملاً، ولكنه ليس من الضروري أن يكون الوصول إلى المعلومات خارجيًا.

حشرات العناية

نحن لا نتحدث عن قصات الشعر هنا، بل نتحدث عن ضمان تنسيق الأخطاء بشكل صحيح بحيث يمكن إصلاحها بسهولة. استخدِم الجدول السابق كدليل إرشادي، وحدِّد تعريفات الخطورة الخاصة بك. تُستخدم هذه التعريفات لتصنيف الأخطاء إلى أقسام مختلفة وإبلاغ المالكين بها.

بالإضافة إلى تعيين كل درجة من الخطورة، يجب التأكد من أن الأخطاء بتنسيق قياسي يسهل على الفِرق عملية المعالجة. ستدخل الثغرات الأمنية عمليات إدارة الثغرات الأمنية لديك بتنسيقات متنوعة (مثل نتائج الفحص التلقائي أو عمليات الكتابة اليدوية من مراجعات الأمان). إن تخصيص بعض الوقت لتحويل كل ثغرة أمنية إلى تنسيق قياسي سيزيد من فرص تمكن الفريق المتلقي من استيعاب المشكلة ومعالجتها بسرعة.

قد يختلف هذا التنسيق أو النموذج حسب مؤسستك والمعلومات الأكثر صلة لمساعدة المالكين في إصلاح الأخطاء التي تم تعيينها لهم، ولكن إليك مثالاً على نموذج يمكنك استخدامه. وستتمكن من إعادة استخدام هذا النموذج لاحقًا عند إنشاء نموذج إرسال برنامج الكشف عن الثغرات الأمنية للباحثين.

Title: وصف المشكلة المكوّن من سطر واحد، وعادةً ما يكون نوع الثغرة الأمنية ومادة العرض/الخدمة/الخ

في ما يلي مثال على ثغرة أمنية محتملة عالية الخطورة:

العنوان: [مرتفع] مرجع الكائن غير الآمن (IDOR) في صفحات الملف الشخصي الملخص: تم اكتشاف معرّف في وظيفة صفحات الملف الشخصي في التطبيق، والذي من شأنه أن يسمح لأي مستخدم بالوصول غير المصرح به لعرض الملف الشخصي لمستخدم آخر وتعديله، بما في ذلك الاسم الكامل للمستخدم وعنوان المنزل ورقم الهاتف وتاريخ الميلاد. لقد راجعنا السجلات ويبدو أن هذه المشكلة لم يتم استغلالها بعد. تم اكتشاف هذه المشكلة على المستوى الداخلي. خطوات إعادة الإنتاج:

  1. إعداد خادم وكيل مثل Burp Suite) لاعتراض عدد الزيارات على جهاز جوّال تم تثبيت التطبيق عليه.
  2. انتقل إلى صفحة ملفك الشخصي واعترض طلب HTTP المرتبط.
  3. عدّل profileID=###### ليصبح profileID=000000 (هذا مستخدم تجريبي) وأرسله عبر طلب HTTP.
  4. سيعرض التطبيق الملف الشخصي للمستخدم 000000، وستتمكن من عرض معلوماته وتعديلها.

سيناريو الهجوم أو تأثيره: يمكن لأي مستخدم استخدام هذه الثغرة الأمنية لعرض الملف الشخصي لمستخدم آخر وتعديله. في أسوأ الحالات، يمكن لأي مهاجم تنفيذ عملية استرداد معلومات الملف الشخصي لكل مستخدم في نظامنا بالكامل تلقائيًا. على الرغم من أننا لا نعتقد أن هذا قد تم استغلاله حتى الآن، فمن المهم أن نتعامل مع هذه المشكلة على أنها مشكلة قياسية عالية الخطورة. إذا لاحظنا وجود أدلة على الاستغلال، فقد يؤدي ذلك إلى تصعيد إلى خطورة بالغة. خطوات المعالجة: نفِّذ عمليات التحقق من جانب الخادم للتأكد من إمكانية وصول المستخدم الذي يقدم الطلب إلى إمكانية عرض/تعديل الملف الشخصي المطلوب من خلال قيمة profileID. على سبيل المثال، إذا سجّلت نبيلة الدخول وفي ملفها الشخصي معرّف الملف الشخصي 123456، ولكن لوحظ أن نبيلة طلبت ملفًا شخصيًا لرقم التعريف 333444، فمن المفترض أن يظهر للمستخدم خطأ ويجب تسجيل هذه المحاولة للوصول إلى الملف الشخصي لمستخدم آخر. لمزيد من المعلومات حول IDOR وكيفية إصلاحه، يرجى الاطلاع على مواد OWASP حول هذا الخطأ.

يمكنك توفير الوقت والجهد اليدوي عن طريق البحث عن طرق لتحويل الثغرات الأمنية تلقائيًا من مصادر مختلفة إلى التنسيق القياسي. وكلما زاد عدد الثغرات الأمنية، قد تجد موضوعات شائعة في خطوات المعالجة. بالإضافة إلى النموذج العام لتنسيق الأخطاء، يمكنك إنشاء نماذج إضافية لأنواع الثغرات الأمنية الشائعة.

العثور على المالكين

قد يكون أحد أصعب جوانب إدارة الثغرات الأمنية هو تحديد المالكين للمساعدة في إصلاح الأخطاء، بالإضافة إلى حثهم على الاشتراك في مواردهم من أجل تخصيص الموارد لإصلاح الأخطاء البرمجية في الوقت المحدد فعليًا. إذا كنت قد أعددت عمليات إدارة الأصول، فسيكون هذا أسهل قليلاً. إذا لم يكن الأمر كذلك، قد يكون هذا دافعًا للقيام بذلك. وبناءً على حجم مؤسستك، قد يكون العثور على مالك أمرًا بسيطًا إلى حد ما، أو معقدًا بشكل مذهل. ومع نمو مؤسستك، تزداد أيضًا الجهود التي تبذلها لتحديد من هو المسؤول عن إصلاح مشاكل الأمان التي تم اكتشافها حديثًا. فكّر في تنفيذ تناوب تشغيلي أثناء العمل. ويُعد كل مَن يتولى مسؤولية العمل مسؤولاً عن مراجعة الثغرات الأمنية التي لم يتم تعيينها، وتتبع المالكين، وإعطاء الأولوية استنادًا إلى درجة الخطورة. حتى إذا كان بمقدورك تحديد الشخص المسؤول عن إصلاح ثغرة أمنية وتعيينها للخلل، فيجب عليك أيضًا إقناعه باستثمار الوقت في إصلاحها فعليًا. قد تختلف هذه الطريقة استنادًا إلى الفريق أو الفرد والعناصر الأخرى التي يعمل عليها. إذا سبق لك الموافقة على معايير الجودة والمخططات الزمنية لمعالجة المشاكل، يمكنك الرجوع إلى هذه المعايير، ولكن في بعض الأحيان قد يتطلب الأمر إقناعًا إضافيًا لإصلاح المشكلة. في ما يلي بعض النصائح العامة لمعالجة الثغرات الأمنية:

  • توضيح السبب: عندما يتم تخصيص ثغرة أمنية لأحد الأشخاص، عادةً ما يكون ذلك عملاً غير متوقَّع. اشرح سبب أهمية حل هذه المشكلة في الوقت المناسب (على سبيل المثال، سيناريو التأثير / الهجوم) وتأكد من استيعاب المالك.
  • جمع السياق: في بعض الحالات، يكون لدى مستخدم واحد فقط المعرفة اللازمة لإصلاح خطأ، وقد يكون لديه مهام أخرى يعمل عليها. خصّص بعض الوقت لمعرفة المقصود بها - ومن الممكن أن تكون المهام الأخرى أكثر أهمية من إصلاح هذه الثغرة الأمنية على المدى القريب. إن إظهار التعاطف والمرونة في المخططات الزمنية للمعالجة يساعد في كسب حسن النية وتعزيز علاقتك بالأشخاص الذين تحتاج إليهم لإصلاح الثغرات الأمنية. ولكن احذر من ترك الكثير من الوقت، وإلا فلن تتعامل مؤسستك مع المخططات الزمنية للمعالجة بجدية.
  • توضيح كيفية التنفيذ: حتى في حال تضمين نصيحة إصلاحية في الخطأ، قد يختلط الأمر على مالك المشكلة أو يحتاج إلى مساعدة في التعرّف على كيفية إصلاح الخطأ. إذا كانوا بحاجة إلى مساعدة في معرفة كيفية إصلاح ذلك، فساعدهم في تعليمهم. فالقاء الحشرات على المالكين بدون مساعدتهم يُلحق الضرر بعلاقة المؤسسة مع فريق الأمان. فمساعدة الآخرين قدر الإمكان ستمكّنهم من إصلاح الثغرات الأمنية الحالية والمستقبلية، بالإضافة إلى المساعدة في تعليم الآخرين.
  • تعديل طلبك: قد يتضمّن العديد من الفِرق والأفراد عمليات حالية تتعلق بكيفية قبول طلبات العمل الواردة وترتيبها حسب الأولوية. قد ترغب بعض الفِرق في أن تأتي جميع الطلبات الواردة من خلال مدراءها. بينما يرغب آخرون في إرسال طلبات المساعدة بتنسيق قياسي. لن يعمل بعضها إلا مع ما تم تحديده مسبقًا في سباق السرعة. ومهما كانت الحالة، فإن تخصيص بعض الوقت الإضافي لملاءمة طلبك ليناسب التنسيق الذي يستخدمه الفريق أو الفرد عادةً لتلقي طلبات المساعدة يزيد من احتمالية إعطاء الأولوية لطلبك واتخاذ إجراء بشأنه.
  • التصعيد كمحاولة أخيرة: إذا كنت قد حاولت كل ما سبق، ولم يكن الشخص أو الفريق المسؤول عن إصلاح إحدى الثغرات الأمنية يستغرق وقتًا كافيًا لإصلاح مشكلة أمنية خطيرة، فكّر في التصعيد إلى القيادة بحسب الحاجة. يجب أن يكون ذلك ملاذًا أخيرًا، لأنه قد يضر بعلاقتك بالفرد أو الفريق المعني.

تحليل السبب الرئيسي

بالإضافة إلى العثور على الثغرات الأمنية الفردية وإصلاحها، يمكن أن يساعدك تحليل الأسباب الجذرية (RCA) في تحديد مشاكل الأمان المنهجية ومعالجتها. لدى الجميع موارد محدودة، لذا من المغري تخطي هذه الخطوة. ومع ذلك، يمكن أن يؤدي استثمار الوقت في تحليل المؤشرات في بيانات الثغرات الأمنية، وكذلك دراسة المزيد من الأخطاء الحرجة والخطيرة، إلى توفير الوقت وتقليل المخاطر على المدى الطويل. على سبيل المثال، لنفترض أنك لاحظت أن نوع الثغرات الأمنية نفسه (على سبيل المثال، إعادة التوجيه عن قصد يظهر مرارًا وتكرارًا في أنحاء تطبيقك. ولذلك قررت التحدث إلى الفرق التي تضيف هذه الثغرة الأمنية إلى تطبيقك، ولا تدرك أن الغالبية العظمى منهم لا يفهمون المقصود من إعادة التوجيه، أو سبب أهميتها، أو كيفية منعها. لقد اجتمعت مع بعضهم البعض ودليل للمساعدة في تثقيف مطوري البرامج في مؤسستك بشأن هذه الثغرة الأمنية. ومن المحتمل ألا تختفي هذه الثغرة الأمنية تمامًا، ولكن من المرجح أن يقل معدل ظهورها. عند إطلاق VDP، إنّ كل ثغرة أمنية كانت تُبلغك عنها جهة خارجية هي مجرّد انحدار في عمليات الأمان الداخلية الحالية. سيؤدي توفير RCA على الأخطاء البرمجية من VDP إلى توفير المزيد من الإحصاءات حول كيفية تحسين برنامج الأمان بشكل منهجي.

الكشف والاستجابة

يشير الاكتشاف والاستجابة إلى أي أدوات وعمليات قد تكون موجودة لاكتشاف الهجمات المحتملة ضد مؤسستك والاستجابة لها. ويمكن أن يكون هذا الحل في صورة حلول تم شراؤها أو حلول تم تطويرها ذاتيًا وتحلّل البيانات لتحديد السلوك المشبوه. وكمثال على ذلك، تحدثنا في قسم أخطاء الحلاقة عن التسجيل في كل مرة يحاول فيها المستخدم الوصول بشكل غير مصرح به إلى الملف الشخصي لمستخدم آخر. قد تكون لديك إشارة أو تنبيه يتم إنشاؤه إذا لاحظت أن مستخدمًا يُنشئ عددًا كبيرًا من المحاولات الفاشلة للوصول إلى الملفات الشخصية لمستخدم آخر في فترة زمنية قصيرة. يمكنك أيضًا تشغيل عملية حظر هذا المستخدم من الدخول تلقائيًا إلى أي من خدماتك لفترة زمنية معينة أو إلى أجل غير مسمى حتى تتم مراجعة الموقف واستعادة إمكانية الدخول يدويًا. إذا لم يكن لديك بالفعل آليات الكشف والاستجابة، يمكنك العمل مع مستشار خبير لمساعدتك في إنشاء دليل الطب الشرعي الرقمي والاستجابة للحوادث (DFIR) في مؤسستك. إذا كانت لديك آليات الكشف والاستجابة، يمكنك دراسة النتائج المترتبة على اختبار خمسة أو حتى حتى مئة باحث أمني على أسطح الهجوم التي تواجه الإنترنت. ويمكن أن يكون لذلك تأثير كبير على أي أنظمة الكشف عن التسلل وIPS التي تستخدمها.

تشمل المخاطر المحتملة ما يلي:

  • حِمل التنبيهات: فيضان من التنبيهات أو الإشارات التي تبدو كهجمات ضارة، ولكنها في الواقع اختبار معتمد ومعتمَد من الباحثين في مجال الأمن المشاركين في برنامج VDP. ويمكن أن ينشأ الكثير من الضوضاء بحيث يصبح من الصعب تمييز الهجمات الفعلية عن الاختبار الأمني الشرعي.
  • استجابة المنبّهات غير الصحيحة للحوادث: إذا كانت لديك عمليات في مكان الساعة على الصفحة عند الساعة 2:00 صباحًا يوم السبت، فلن يكون من دواعي سروره أن يستيقظ ويحقق في اختراق محتمل كان في الواقع مجرد باحث أمني يجري اختبارًا مشروعًا.
  • حظر الباحثين عن الأمان: إذا كانت لديك أنظمة IPS قوية (أنظمة اقتحام) سارية، فقد ينتهي بك الأمر إلى حظر عنوان IP لباحث الأمان الذي يحاول إجراء عمليات الفحص والاختبارات اليدوية، إلخ. لتحديد الثغرات الأمنية والإبلاغ عنها لك. في حالة وجود VDP تحديدًا، إذا تم حظر باحث الأمان بعد خمس دقائق من الاختبار، فقد يفقد الاهتمام والتركيز بدلاً من ذلك على برنامج مؤسسة أخرى. وقد يؤدي ذلك إلى عدم تفاعل الباحثين الأمنيين مع برنامجك بشكل عام، ما يزيد من احتمالات استمرار وجود ثغرات أمنية غير قابلة للاكتشاف (وبالتالي لا تعرفها مؤسستك). في حين أنك قد لا تريد تقليل سرعة IPS نفسها، إلا أن هناك بعض الإجراءات الأخرى التي يمكنك اتخاذها للحد من خطر فصل الباحثين.

تعتمد طريقة معالجة هذه المخاطر بدرجة كبيرة على المنهج الذي تريد اتخاذه للتعامل مع الباحثين الخارجيين في مجال الأمان. إذا أردت استخدام أسلوب المربع الأسود الخاص بالاختبارات والذي يحاكي هجمات حقيقية، لا يمكنك اتّخاذ أي إجراء. وفي هذه الحالة، ستنشئ زيارات الباحث تنبيهات، وقد يتخذ فريقك إجراءات للتحقيق والاستجابة وفقًا لذلك. وسيساعد هذا فريقك في التمرّن على الاستجابة للهجمات التي قد تبدو حقيقية، ولكن قد يؤدي ذلك إلى تقليل التفاعل مع الباحثين الأمنيين، خاصةً في حال حظرهم من إجراء الاختبارات. وقد يؤدي ذلك أيضًا إلى فقدان هجوم حقيقي أثناء قضاء الوقت في إجراء اختبار شرعي. إذا كنت ترغب في استخدام المزيد من المربع الرمادي، يمكنك التفكير في العمل مع الباحثين في مجال الأمان لتحديد عدد زيارات اختباراتهم بطريقة ما بطريقة ما. وسيمكّنك هذا الإجراء من إضافة الزيارات إلى القائمة البيضاء أو فلترتها بطريقة أخرى من الاختبار والتنبيهات الناتجة. سيتمكن فريقك من التمييز بين الهجمات الحقيقية والاختبارات الموافَق عليها بشكل أفضل، وسيمكّن الباحثون من العثور على الثغرات الأمنية والإبلاغ عنها بدون أن تعوقها أنظمة منع التسلل. تطلب بعض المؤسسات من الباحثين في مجال الأمان إرسال نموذج للتقدم لمعرّف فريد يمكن إرفاقه بالرؤوس في الطلبات التي ينشئها الباحث. ويمكّن هذا المؤسسة من إضافة عدد زيارات الباحث إلى القائمة البيضاء، بالإضافة إلى القدرة على تحديد ما إذا بدأ الباحث في تجاوز نطاق الاختبار المتفق عليه أم لا. إذا حدث ذلك، يمكنك التواصل مع الباحث ومطالبته بالانتظار إلى أن تتعاونا في خطة اختبار.

السابق
التقييم
التالي
المشاركة مع الجهات المعنيّة