الإعداد

سنناقش في هذا القسم بالتفصيل كيفية إعداد مؤسستك لإطلاق برنامج ناجح للإفصاح عن الثغرات الأمنية وتنفيذه، بما في ذلك النصائح العملية حول كيفية سد الثغرات التي حددتها.

العثور على الأخطاء

العثور على الأخطاء

إن زيادة برنامج الأمان الحالي لديك مع باحثين أمنيين خارجيين هي طريقة رائعة للعثور على المشكلات المعقدة وإخفاء الثغرات الأمنية. ومع ذلك، فإن استخدام VDP لإيجاد مشكلات الأمان الأساسية التي يمكن اكتشافها داخليًا يُعد إهدارًا للموارد.

إدارة مواد العرض

عندما يتعلق الأمر بالعثور على الأخطاء، فإن الطريقة الوحيدة لمعرفة من أين تبدأ هي إذا كانت لديك فكرة جيدة عما هو موجود. يمكنك شراء مئة أداة من أدوات الأمان، ولكن لن يحدث أي تغيير إذا كانت الفِرق تقف في وضع تطبيقات وأنظمة وخدمات مخصّصة بدون علمك، خاصةً إذا لم تتوفّر لديك طريقة لاكتشاف وإجراء التقييمات الأمنية المتعلّقة بمواد العرض هذه. تحقق مع الأفراد والفرق المسؤولين عن المساعدة في إعداد تطبيقات وأنظمة وخدمات جديدة لمعرفة ما إذا كانت لديهم عملية لإنشاء قائمة بالمحتوى الذي يتم إنشاؤه والحفاظ عليه والذي يملكه. إذا لم تكن هناك عملية حالية، فهذه فرصة رائعة للتعاون مع هذه الفرق لإنشاء عملية. ويعد فهم أصول مؤسستك أفضل نقطة للبدء عند تحديد الأجزاء المعرضة للهجوم. كجزء من هذه العملية، يجب أن يشارك فريق الأمان في تطوير تنفيذ بنية أساسية جديدة من أجل تقديم مراجعات الأمان. من الممارسات الجيدة أن يكون لديك مخزون كبير من الأصول والمالكين. ويكون هذا النوع من المخزون مفيدًا عند تطبيق التصحيحات الجديدة التي تتطلب إيقاف تشغيل أنظمة معينة مؤقتًا. حيث يوفر خارطة طريق للأفراد أو الفرق التي ينبغي أن تكون على اطلاع والأنظمة المتأثرة. إنّ وجود عملية قوية لإدارة الأصول يضمن تحديد المالكين في وقت مبكر من العملية، وتحديثهم بانتظام، وأنّ جميع الأنظمة في المؤسسة تعمل على النحو المنشود.

بالإضافة إلى الإدارة الاستباقية للأصول، فكّر أيضًا في الإجراءات التفاعلية التي يمكنك تنفيذها لتحديد الأصول التي تنتمي إلى مؤسستك، ولكنها خلل في عملياتك الموحّدة لإدارة الأصول. يمكن أن يشمل ذلك استخدام عمليات "الاستطلاع" نفسها التي يستخدمها باحثو الأمان المشاركون في VDP وبرامج مكافآت الأخطاء. على سبيل المثال، يمكنك الاستفادة من الأدوات المجانية والمفتوحة المصدر التي تفحص وتعدد نطاقات عناوين IP أو النطاقات التي قد تنتمي إلى مؤسستك والتي يتم عرضها على الإنترنت. يقدّم لك البحث على Google عن رصد مكافأة الأخطاء مجموعة متنوعة من النصائح لمساعدتك في تحديد مواد عرض من مؤسستك لم تكن على دراية بها.

الفحص الأساسي للثغرات الأمنية

الآن وبعد أن أصبح لديك أساس متين بحيث يتم العثور على مشاكل الأمان، لنتحدث بالتفصيل عن كيفية إجراء ذلك. هناك عدة مستويات من التعمق يمكنك التعمق فيها بناءً على موارد مؤسستك، ولكن عليك تحقيق توازن بين جهودك الأمنية الداخلية ومجتمع الاختراق الخارجي من خلال برنامج الكشف عن الثغرات الأمنية. يختلف هذا التوازن لكل مؤسسة، اعتمادًا على الموارد المتاحة.

اختيار أدواتك

هناك العديد من الأدوات المختلفة التي تساعد في تحديد الثغرات. تتوفّر بعض أدوات فحص الثغرات الأمنية مجانًا، في حين يتوفّر البعض الآخر مقابل تكلفة. يعتمد اكتشاف الأدوات التي يجب اختيارها على احتياجاتك الفردية.

  • متطلبات مؤسستك
  • مدى تلبية كل أداة لهذه المتطلبات
  • إذا كانت فوائد الأداة تفوق التكاليف (المالية والتنفيذ).

يمكنك استخدام نموذج المتطلبات هذا (OpenDocument .ods أو Microsoft Excel .xlsx) لتقييم أدوات مختلفة في ضوء متطلباتك. وقد تم تضمين بعض الأمثلة عن المتطلبات في النموذج، ولكن يجب مناقشتها مع فِرق الأمان وتكنولوجيا المعلومات والهندسة للتوافق مع الإمكانات المطلوبة. قبل إطلاق برنامج الإفصاح عن الثغرات الأمنية، على الأقل، يجب أن تكون قادرًا على إجراء عمليات فحص للثغرات الأمنية مقابل أي أصول خارجية (مثل المواقع الإلكترونية وواجهات برمجة التطبيقات والتطبيقات المتوافقة مع الأجهزة الجوّالة). سيساعدك ذلك في العثور على الثغرات الأمنية التي يسهل اكتشافها وإصلاحها قبل دعوة باحثين أمنيين خارجيين للاختبار مقابل هذه الأصول والخدمات.

إعداد المسح الضوئي

يمكن أن تجد عمليات الفحص التلقائي للثغرات الأمنية الكثير من المشاكل، ولكنها قد ينتج عنها أيضًا نتائج موجبة خاطئة. هذا هو السبب في أنه من الضروري أن يكون لديك موارد للتحقق من النتائج قبل مشاركتها مع الفرق المتأثرة. ستحتاج إلى تنفيذ عمليات للتأكد من إجراء عمليات الفحص بشكل منتظم، ومن أنه تمت معالجة نتائج هذه الفحوصات فعليًا. سيبدو هذا مختلفًا لكل مؤسسة، ولكن على الأقل، سترغب في تحديد:

  • معدل تكرار البحث
    • مستمر
    • أسبوعي
    • شهريًا
  • مواد العرض التي يتم فحصها
  • بيانات الاعتماد
    • عمليات الفحص التي تمت مصادقتها مقارنةً بعمليات الفحص التي لم تتم مصادقتها
    • (تلميح: إذا لم تفحص باستخدام بيانات الاعتماد، سيجري باحث أمان اختبارات باستخدام بيانات الاعتماد عند بدء تشغيل VDP، قد تحصل على عدد كبير من الثغرات الأمنية التي تم تحديدها)
  • الأدوار والمسؤوليات
    • تحديد أعضاء الفريق المسئولين عن إجراء الفحوصات
    • إعداد عملية تدوير إذا لزم الأمر
  • نتائج الفحص
    • جارٍ التحقق من نتائج الفحص
    • الإبلاغ بالأخطاء عن الثغرات الأمنية التي تم التحقق منها
    • تحديد المالكين لإصلاح الأخطاء
    • المتابعة مع المالكين بشأن تصدير البيانات الناقصة

سنتناول كيفية ضمان إصلاح مشاكل الأمان التي تم تحديدها في قسم إصلاح الأخطاء لاحقًا في هذا الدليل.

عملية مراجعة الأمان

على الرغم من أنّ فحص الثغرات الأمنية هو طريقة رائعة لتحديد المشاكل الأمنية في مؤسستك بشكل تفاعلي، يمكن أن يساعد تنفيذ عمليات مراجعة الأمان في منع ظهور الثغرات الأمنية في المقام الأول. لأغراض هذا الدليل، يشير مصطلح مراجعة الأمان إلى أي موقف يؤدي إلى إجراء مراجعة يدوية يجريها أحد أعضاء فريق الأمان في مؤسستك. ويشمل ذلك عادةً امتلاك سلطة حظر تغيير ما إذا كان إجراءً محفوفًا بالمخاطر. إذا لم يكن لدى فريق الأمن لديك القدرة على منع التغييرات الخطيرة، فلا تزال بحاجة إلى وجود عمليات لتوثيق المخاطر. يمكن أن يساعد ذلك في التأكد من أن كل من يدافع من أجل التغيير يعرف المخاطر التي ينطوي عليها، ويقبل هذا الخطر بشكل استباقي.

معايير مراجعة الأمان

متى يجب إجراء مراجعات الأمان؟ يساعد إنشاء مجموعة من المعايير التي تؤدي إلى إجراء مراجعة أمان على ضمان أن يكون الجميع على نفس المسار. في ما يلي بعض الأمثلة على السيناريوهات التي قد تؤدي إلى إجراء مراجعة أمنية.

  • تم اقتراح وظيفة جديدة تتعلّق ببيانات المستخدمين الحساسة.
    • ميزة جديدة تتيح للمستخدمين مشاركة موقعهم الجغرافي على الخريطة
    • طلب معلومات من المستخدمين قد تكون حساسة، مثل عنوان منزلهم أو تاريخ ميلادهم أو رقم هواتفهم
  • إجراء تحديثات رئيسية على الوظائف الحالية
    • أخذ بيانات المستخدمين الحالية واستخدامها بطريقة جديدة قد لا يتوقّعها المستخدمون بدون منحهم فرصة للإيقاف
    • التغييرات التي تطرأ على أي ميزات تتعلق بالمصادقة والتفويض وإدارة الجلسات
  • تغييرات في بيئة الإنتاج في الشركة
    • التغييرات في تكوين الشبكة، وخاصةً التغييرات التي قد تؤدي إلى الكشف عن الخدمات خارجيًا
    • تثبيت برنامج جديد يعالج بيانات المستخدمين الحساسة، والتي إذا تم اختراقها يمكن استخدامها بشكل غير مباشر للوصول إلى بيانات المستخدمين الحساسة
    • وضع أنظمة أو خدمات جديدة قائمة
  • التفاعل مع بائع جديد أو تغيير طريقة عملك مع بائع حالي
    • إعداد مورد جديد سيتعامل مع بيانات المستخدم الحساسة
    • تغييرات في كيفية عملك مع مورد حالي ينتج عنها التعامل مع البائع لبيانات المستخدم الحساسة

هذه ليست قائمة شاملة، ولكن من المفترض أن تجعلك تفكر في أنواع التغييرات التي يجب أن تتطلب مراجعة أمان. عند تحديد معايير ما يتطلب وما لا يتطلب مراجعة أمان، تحدث إليه مع الأطراف المعنية الرئيسية في جميع أنحاء المؤسسة للتأكد مما يلي:

  • تتاح للأطراف المعنية فرصة لمراجعة المعايير وتقديم ملاحظات حولها
  • توافق الأطراف المعنية على المعايير
  • توافق الأطراف المعنية على طلب مراجعات الأمان بشكل استباقي

يمكنك توثيق هذه المعايير، بالإضافة إلى كيفية طلب إجراء مراجعة للأمان (على سبيل المثال، تقديم خطأ إلى قائمة انتظار يراقبها فريق الأمان) لتسهيل متابعة هذه العملية على مؤسستك قدر الإمكان.

مصادر مراجعات الأمان

على عكس عمليات الفحص التلقائية، قد تستهلك مراجعات الأمان موارد أكثر في التنفيذ. كل فريق أمن لديه متسع من الوقت خلال اليوم لتنفيذ عدد كبير من المهام، لذلك ستحتاج إلى تقدير عدد مراجعات الأمان التي قد يتم إنشاؤها بناءً على معاييرك. إذا وجدت أن فريقك مرهق ومتخلف، فسيشعر أولئك الذين ينتظرون إطلاق ميزاتها بالانزعاج من فريق الأمن. ويمكن أن يتسبب ذلك في حدوث تحول ثقافي في المؤسسة، مما يؤدي إلى اعتبار فريق الأمن على أنه أداة حظر بدلاً من شريك. فإذا لم تكن عملية المراجعة الأمنية فعالة، فسيحاول العديد من الأفراد والفرق تجاوزها تمامًا. وإذا كانت الموارد محدودة، ففكر في تخفيف معاييرك المطلوبة لطلب إجراء مراجعة أمنية، وكن مستعدًا لقبول بعض المخاطر المتبقية. أما في حال حدوث حوادث نتيجة عدم توفُّر الموارد اللازمة لإجراء مراجعات الأمان، فسيساعد ذلك في تبرير الحاجة إلى مزيد من الموارد الأمنية.

إجراء مراجعات الأمان

عندما يتعلق الأمر بتحديد مراجعات الأمان التي يجب إجراؤها وكيفية إجرائها، ستحتاج إلى قائمة انتظار ذات أولوية للاستعانة بها. أنشئ طريقة موحَّدة للآخرين في مؤسستك لطلب إجراء مراجعة أمان مع أي معلومات قد تحتاج إليها لتحديد أولوياتها بشكل مناسب. على سبيل المثال، ضع في اعتبارك استبيانًا يتضمن عناصر مثل طبيعة التغيير، بما في ذلك ملخص موجز للتغيير وأنواع بيانات المستخدم التي قد تتأثر. يمكنك تصنيف مراجعات الأمان المحتملة تلقائيًا ضمن تغييرات عالية أو متوسطة أو منخفضة المخاطر بناءً على الإجابات على هذه الأسئلة. وإذا كان التغيير يمثل خطرًا كبيرًا، قد تحتاج إلى إجراء مراجعة أمنية أكثر تعمقًا. وإذا كان التغيير يمثل خطرًا أقل، قد تتمكن من تنفيذ عملية مراجعة أمان بسيطة للمساعدة في تقليل الموارد المطلوبة وتسريع العملية، ما يؤدي إلى تفعيل النشاط التجاري بشكل أفضل. ننصحك بإجراء ترتيبات بالتناوب داخل فريقك لتكون مسؤولاً عن إدارة قائمة انتظار المراجعة الأمنية، مع ضمان أن يلتقط أعضاء فريقك مراجعات الأمان الجديدة، ومتابعة مستوى تقدّم مراجعات الأمان الحالية. ستختلف العملية الفعلية لمراجعة الأمان بناءً على ما يتم فحصه. على سبيل المثال، قد تحتاج ميزة جديدة في تطبيقك المتوافق مع الأجهزة الجوّالة إلى مراجعة الرمز البرمجي والبحث عن الثغرات المحتملة من قِبل مهندس أمان. قد تحتاج إلى مراجعة البرامج الجديدة التي يتم تثبيتها لضمان إعداد التحكم في الوصول بشكل مناسب. يمكن أن يقدم العمل مع البائعين الخارجيين عملية مختلفة تمامًا. للرجوع إلى هذه الصفحة، يُرجى الاطّلاع على استبيان تقييم أمان المورّدين من Google.

إصلاح الأخطاء

يعد اكتشاف الأخطاء أمرًا مهمًا، ولكن لا يتحسن مستوى الأمان إلا بعد إصلاح هذه الأخطاء. إن معرفة المخاطر التي توجد على مؤسستك أمر جيد، ولكن القدرة على معالجة هذه المخاطر بكفاءة أفضل.

إدارة الثغرات الأمنية

تنتج عن الثغرات الأمنية من مجموعة متنوّعة من الموارد، بما في ذلك الجهود الداخلية (على سبيل المثال، عمليات فحص الثغرات الأمنية ومراجعات الأمان)، أو اختبارات الاختراق والاختبارات التابعة لجهات خارجية، أو حتى الباحثين الأمنيين الخارجيين الذين يرسلون إليك إشعارات من خلال قنوات الدعم قبل إطلاق VDP رسميًا. تحتاج مؤسستك إلى طريقة لتصنيف الثغرات الجديدة والحالية لضمان توصيلها إلى الأطراف المعنية المناسبة وترتيبها حسب الأولوية بشكل صحيح وإصلاحها في الوقت المناسب. عند إطلاق VDP، ستظهر لك مجموعة جديدة من الثغرات الأمنية التي تدخل في عمليات إدارة الثغرات الأمنية. إنّ وضع إجراءات قوية للتعامل مع هذه الثغرات الأمنية يساعدك في تتبُّع التقدّم نحو إصلاح الثغرات الأمنية والاستجابة للطلبات الواردة من باحثين أمنيين خارجيين للحصول على التحديثات. إن القدرة على تحديد أولويات الثغرة الأمنية بسرعة والتواصل مع المشاركين في VDP بشأن المخطط الزمني لإصلاح المشاكل ستؤدي إلى زيادة التفاعل مع منتدى الباحثين في مجال الأمان، بالإضافة إلى تحسين سمعة الأمان في مؤسستك. تحدد الأقسام التالية الجوانب المختلفة لبرنامج إدارة الثغرات الأمنية الذي ستحتاج إلى وضعه قبل إطلاق VDP.

وضع معايير الخطورة والمخططات الزمنية للمعالجة

إنّ إنشاء لغة مشتركة حول خطورة الثغرات الأمنية والجداول الزمنية المثالية للإصلاح المرتبطة بكل مستوى خطورة يسهّل وضع توقعات عادية مع مؤسستك. إذا تم التعامل مع كل ثغرة أمنية على أنّه حالة طارئة، فستستنفد مؤسستك مواردها وستزداد استيائها تجاه فريق الأمن. فإذا تم اعتبار كل ثغرة ذات أولوية منخفضة، فلن يتم إصلاح الثغرات أبدًا، وتزداد مخاطر الاختراق. تمتلك كل مؤسسة موارد محدودة، لذلك ستحتاج إلى تحديد ترتيب الخطورة. يوفر هذا الترتيب معايير تساعد مؤسستك على فهم درجة خطورة الثغرة الأمنية، بالإضافة إلى المخططات الزمنية المتوقعة للإصلاح المرتبطة بكل مستوى من الخطورة. قم بصياغة مجموعة من إرشادات الخطورة ومشاركتها مع الأطراف المعنية الرئيسية في مؤسستك للحصول على ملاحظات. على سبيل المثال، إذا كانت الهندسة منخرطة في صياغة معايير الخطورة، فمن المرجح أن يوافقوا على هذه المعايير ويلتزمون بها عندما يحين الوقت لإصلاح ثغرة أمنية خلال إطار زمني محدد. قد تختلف إرشادات الخطورة هذه اعتمادًا على المخاطر الخاصة بنشاطك التجاري. يمكنك التفكير في تمرين نمذجة التهديدات لتحديد التهديدات الأكثر احتمالاً والأكثر تأثيرًا في مؤسستك، مع تضمين أمثلة على المشاكل التي قد تندرج ضمن كل فئة من فئات الخطورة. فيما يلي مثال على معايير الخطورة والجداول الزمنية للإصلاح لمؤسسة مالية.

درجة الخطورة الوصف المخطط الزمني لحلّ المشاكل أمثلة
مشاكل ملحّة يشير هذا المصطلح إلى المشاكل التي تشكِّل تهديدًا وشيكًا لمستخدمينا أو مؤسساتنا. المالك: يجب تحديد المالك الأساسي الذي يضمن إصلاح الثغرة الأمنية خلال 8 ساعات. موارد الاتصال والصفحات حسب الحاجة، حتى خارج ساعات العمل العادية.
الحل: يجب إصلاح المشكلة نفسها، أو على الأقل التخفيف من المخاطر، في أقرب وقت ممكن، أو على الأكثر، خلال ثلاثة أيام عمل.
اختراق قاعدة بيانات إنتاج تشمل جميع السجلات المالية للمستخدمين

مهاجم الوصول إلى الأسرار التجارية، مثل خوارزميات الاستثمار الخاصة بنا.

يشير هذا المصطلح إلى حادثة نشطة، بما في ذلك حصول مهاجم على إمكانية الوصول إلى شبكتنا الداخلية أو أنظمة الإنتاج الحساسة لدينا.
عالٍ المشاكل التي يمكن أن تؤدي إلى حدوث ضرر كبير في حال استغلالها. المالك: من المفترض أن يتم تحديد المالك الأساسي في غضون يوم عمل واحد.
الحل: في غضون 10 أيام عمل (أسبوعان تقريبًا).
الثغرات التي قد تؤدي إلى الوصول إلى بيانات المستخدم الحساسة أو وظائفه (مثل قدرة أي مستخدم على سرقة الأموال من مستخدم آخر).
الوسيط يشير إلى المشاكل التي يصعُب استغلالها أو التي لا تؤدي إلى ضرر مباشر. المالك: من المفترض أن يتم تحديد المالك الأساسي في غضون خمسة أيام عمل.
الحل: خلال فترة تتراوح بين 20 و40 يوم عمل (من شهر إلى شهرَين تقريبًا).
المشاكل التي تم التحقق منها والتي ترصدها برامج الفحص الآلية، مثل رموز تصحيح تحديثات الأمان بدون مخاطر معروفة.

المشاكل المتعلّقة بالإفصاح عن المعلومات التي من المرجَّح أن تساعد في مواجهة هجمات أخرى

تقييم المشاكل التي يمكن أن يتم استغلالها (مثل القدرة على تخمين كلمات المرور باستمرار لأحد المستخدمين)
منخفض المشاكل ذات التأثير الأدنى، وتُستخدم بشكلٍ أساسي لتسجيل المشاكل المعروفة. ليست هناك متطلبات للعثور على مالك أو إصلاح خلال جدول زمني محدد. الكشف عن المعلومات التي لا تمثل خطرًا محتملاً، ولكن عندما لا يلزم إتاحة المعلومات إلى جهات خارجية.

أخطاء التنظيف

نحن لا نتحدث هنا عن قص الشعر، بل نقصد ضمان تنسيق الأخطاء بشكل صحيح حتى يمكن إصلاحها بسهولة. باستخدام الجدول السابق كمبدأ توجيهي، حدد تعريفات الخطورة الخاصة بك. تُستخدم هذه التعريفات لتصنيف الأخطاء إلى مستويات خطورة مختلفة وإبلاغ المالكين بها.

بالإضافة إلى تحديد مستوى خطورة كل ثغرة أمنية، يجب التأكد من أنّ الأخطاء بتنسيق عادي يسهّل على الفِرق المعالجة. تدخل الثغرات في عمليات إدارة الثغرات الأمنية بتنسيقات متنوعة (مثل نتائج الماسحات الضوئية التلقائية أو التقارير اليدوية من مراجعات الأمان). فأخذ الوقت الكافي لتحويل كل ثغرة أمنية إلى تنسيق قياسي سيزيد من فرص قدرة الفريق المستلم على فهم المشكلة ومعالجتها بسرعة.

قد يختلف هذا التنسيق أو النموذج حسب مؤسستك والمعلومات الأكثر صلة لمساعدة المالكين في إصلاح الأخطاء المخصصة لهم، ولكن إليك مثالاً للقالب الذي يمكنك استخدامه. ستتمكن من إعادة استخدام هذا النموذج لاحقًا عند إنشاء نموذج إرسال برنامج الإفصاح عن الثغرات الأمنية للباحثين.

العنوان: <وصف سطر واحد للمشكلة، وعادةً ما يشمل نوع الثغرة الأمنية وما هي مادة العرض/الخدمة أو غيرها التي تأثرت بها. يمكنك تضمين درجة خطورته أو تعيين درجة خطورته في حقل في أداة تتبُّع المشكلة> ملخص: <وصف موجز للثغرة الأمنية وسبب أهميتها> خطوات إعادة الإنتاج: <تعليمات مفصّلة خطوة بخطوة حول كيفية معالجة وجود أي ثغرة أمنية أو خطوات معالجتها: < كيفية تحديد تأثير أي ثغرة أو التخفيف من حدتها

في ما يلي مثال على الثغرة الأمنية المحتملة ذات الخطورة العالية:

Title: [HIGH] مرجع كائن مباشر غير آمن (IDOR) في صفحات الملف الشخصي ملخص: تم اكتشاف IDOR في وظائف صفحات الملفات الشخصية في التطبيق والتي تتيح لأي مستخدم الوصول بشكل غير مصرَّح به إلى الملف الشخصي لمستخدم آخر وتعديله، بما في ذلك الاسم الكامل للمستخدم الآخر وعنوان منزله ورقم هاتفه وتاريخ ميلاده. لقد راجعنا السجلات ولا يبدو أن هذه المشكلة قد تم استغلالها حتى الآن. تم اكتشاف هذه المشكلة داخليًا. خطوات إعادة إظهار النتائج:

  1. فيمكنك مثلاً إعداد خادم وكيل، Burp Suite) لاعتراض حركة البيانات على الجهاز الجوّال الذي تم تثبيت التطبيق عليه.
  2. انتقِل إلى صفحة ملفك الشخصي واعترض طلب HTTP المرتبط.
  3. عدِّل profileID=##### ليصبح profileID=000000 (هذا مستخدم تجريبي) وأرسِله مع طلب HTTP.
  4. سيعرض التطبيق الملف الشخصي للمستخدم 000000، وستتمكن من عرض معلوماته وتعديلها.

سيناريو / تأثير الهجوم: يمكن لأي مستخدم استخدام هذه الثغرة الأمنية لعرض الملف الشخصي لمستخدم آخر وتعديله. في أسوأ الحالات، يمكن للمهاجم أتمتة عملية استرداد معلومات الملف الشخصي لكل مستخدم في نظامنا بالكامل. بالرغم من أننا لا نعتقد أن هذا الأمر قد تم استغلاله حتى الآن، فمن المهم أن نتعامل مع هذا باعتباره مشكلة قياسية ذات خطورة عالية. إذا لاحظنا أدلة على الاستغلال، قد تتفاقم هذه المشكلة إلى درجة خطيرة. خطوات المعالجة: نفِّذ عمليات تحقّق من جهة الخادم لضمان حصول المستخدم الذي يُجري الطلب على إذن الوصول لعرض/تعديل الملف الشخصي المطلوب باستخدام قيمة profileID. على سبيل المثال، إذا كانت نبيلة مسجّلة الدخول ولديها رقم تعريف الملف الشخصي 123456، ولكن تم رصد أنّ نبيلة طلبت رقم تعريف الملف الشخصي 333444، من المفترض أن تظهر للمستخدم رسالة خطأ ويجب تسجيل هذه المحاولة للوصول إلى ملف شخصي لمستخدم آخر. لمزيد من المعلومات حول IDOR وكيفية إصلاحه، يُرجى الاطّلاع على مواد OWASP حول هذا الخطأ.

يمكنك توفير الوقت والجهد اليدوي من خلال إيجاد طرق لتحويل الثغرات الأمنية من مصادر مختلفة إلى التنسيق العادي بشكل تلقائي. ومع إنشاء المزيد من الثغرات الأمنية، قد تجد مواضيع شائعة في خطوات المعالجة. بالإضافة إلى نموذج تنسيق الخطأ العام، قد ترغب في إنشاء نماذج إضافية لأنواع الثغرات الأمنية الشائعة.

البحث عن مالكين

ربما يكون أحد أصعب جوانب إدارة الثغرات الأمنية هو تحديد المالكين للمساعدة في إصلاح الأخطاء، بالإضافة إلى الحصول على دعمهم لتخصيص الموارد لإصلاح الأخطاء في الموعد المحدد. إذا أعددت عمليات إدارة مواد العرض، سيكون ذلك أسهل قليلاً. وإذا لم يكن الأمر كذلك، قد يكون ذلك بمثابة دافع لإجراء ذلك. واعتمادًا على حجم مؤسستك، قد يكون العثور على مالك أمرًا بسيطًا إلى حد ما أو معقدًا للغاية. مع توسع مؤسستك، يتزايد أيضًا الجهد المبذول لتحديد الشخص المسؤول عن إصلاح المشاكل الأمنية المكتشفة حديثًا. ضع في اعتبارك تنفيذ تناوب تشغيلي أثناء العمل. يكون الشخص المنشغل هو المسئول عن مراجعة الثغرات غير المعينة، وتعقب المالكين، وتحديد الأولويات بناءً على الخطورة. حتى إذا تمكنت من تحديد المسؤول عن إصلاح ثغرة أمنية وتعيينه إلى الخطأ، فستحتاج أيضًا إلى إقناعه باستثمار الوقت في إصلاحه. قد يختلف هذا النهج بناءً على الفريق أو الفرد والعناصر الأخرى التي يعمل عليها. إذا كنت قد حصلت على موافقة تنظيمية بشأن معايير الخطورة والمخططات الزمنية للإصلاح، يمكنك الرجوع إلى هذه المعايير، ولكن في بعض الأحيان قد يتطلب الأمر إقناعًا إضافيًا لإقناع شخص بإصلاح الخطأ. وإليك بعض النصائح العامة لإصلاح الثغرات:

  • توضيح السبب: عندما يتم تعيين ثغرة أمنية يجب إصلاحها لشخص ما، عادةً ما يكون هذا عمل غير متوقع. اشرح سبب أهمية إصلاح هذه المشكلة في الوقت المناسب (على سبيل المثال سيناريو التأثير / الهجوم) وتأكد من فهم المالك لذلك.
  • جمع السياق: في بعض الحالات، يكون لدى شخص واحد فقط المعرفة اللازمة لإصلاح الخطأ، وقد يكون لديه مهام أخرى يعمل عليها. أخذ الوقت الكافي لمعرفة هذه الأسباب، فمن المحتمل أن تكون المهام الأخرى أكثر أهمية من إصلاح هذه الثغرة الأمنية على المدى القريب. سيساعد إظهار التعاطف والمرونة في الجداول الزمنية للمعالجة في كسب نوايا حسنة وتعزيز علاقتك مع من تحتاجهم إلى إصلاح الثغرات. عليك الحرص على عدم منح الكثير من الوقت مُستهلكة، وإلا لن تأخذ مؤسستك الجداول الزمنية للإصلاح على محمل الجدّ.
  • اشرح الطريقة: حتى في حال تضمين نصائح إصلاحية في الخطأ، قد لا يربك مالك عملية إصلاح المشكلة أو يحتاج إلى مساعدة للتعرّف على كيفية إصلاح الخطأ. فإذا كانوا بحاجة إلى مساعدة لمعرفة كيفية إصلاحه، ساعدهم في تعليمه. إن مجرد إلقاء الأخطاء على المالكين بدون مساعدتهم سيؤدي إلى الإضرار بعلاقة المؤسسة مع فريق الأمن. إن مساعدة الآخرين قدر الإمكان ستمكّنهم من إصلاح الثغرات الأمنية الحالية والمستقبلية، بالإضافة إلى مساعدة الآخرين في تعليم الآخرين.
  • تعديل طلبك: قد يكون لدى الفِرق والأفراد المختلفين عمليات حالية تستند إلى كيفية قبول طلبات العمل الواردة وتحديد أولوياتها. قد ترغب بعض الفرق في أن تصل جميع الطلبات الواردة إلى مديريها. بينما يريد الآخرون إرسال طلبات المساعدة بتنسيق قياسي. سيعمل بعضها فقط على ما تم تحديده مسبقًا في السباق. مهما كانت الحالة، فإن تخصيص بعض الوقت الإضافي لتكييف طلبك ليتناسب مع التنسيق الذي يستخدمه الفريق أو الفرد عادةً لتلقي طلبات المساعدة سيزيد من احتمالية تحديد أولويات طلبك واتخاذ إجراء بشأنه.
  • التصعيد كحل أخير: إذا جربت كل ما سبق، ولن يستغرق الفرد أو الفريق المسؤول عن إصلاح ثغرة أمنية الوقت الكافي لحل مشكلة أمان خطيرة، يمكنك التصعيد إلى القيادة حسب الحاجة. يجب أن يكون هذا دائمًا الحل الأخير، لأنه قد يضر علاقتك بالفرد أو الفريق المعني.

تحليل السبب الجذري

إلى جانب البحث عن الثغرات الأمنية الفردية وإصلاحها، يمكن أن يساعدك إجراء تحليل السبب الجذري (RCA) في تحديد مشاكل الأمان في النظام ومعالجتها. موارد الجميع محدودة، لذلك من المغري تخطي هذه الخطوة. بالرغم من ذلك، يمكنك توفير الوقت وتقليل المخاطر على المدى الطويل، لكن تخصيص الوقت في تحليل المؤشرات في بيانات الثغرات الأمنية والبحث بشكل أكبر في الأخطاء الملحّة وعالية الخطورة. على سبيل المثال، لنفترض أنك لاحظت نوع الثغرة الأمنية نفسه (على سبيل المثال، إعادة توجيه النية) مرارًا وتكرارًا في تطبيقك. وقرّرت التواصل مع الفِرق التي تُدخِل هذه الثغرة الأمنية في تطبيقك، وتدرك أنّ غالبية المستخدمين لا يدركون الغرض من إعادة توجيه النية أو سبب أهميتها أو كيفية منعها. أعددت محاضرة ودليلاً للمساعدة في تثقيف المطورين في مؤسستك بشأن هذه الثغرة الأمنية. من المحتمل ألا تختفي هذه الثغرة الأمنية بالكامل، ولكن من المرجح أن ينخفض معدل ظهورها. عند تشغيل VDP، تكون كل ثغرة أمنية تم الإبلاغ عنها من قِبل جهة خارجية عن طريق الخطأ في عمليات الأمان الداخلية التي تستخدمها حاليًا. يساعد إجراء RCA على الأخطاء الناتجة عن VDP في الحصول على مزيد من المعلومات عن كيفية تحسين برنامج الأمان بشكل منظم.

الرصد والاستجابة

يشير الكشف والاستجابة إلى أي أدوات وعمليات تكون لديك لكشف الهجمات المحتملة ضد مؤسستك والاستجابة لها. قد يأتي ذلك في شكل حلول تم شراؤها أو تطويرها ذاتيًا التي تحلل البيانات لتحديد السلوك المريب. على سبيل المثال، تحدثنا في قسم أخطاء الحلاقة عن تسجيل الدخول في كل مرة يحاول فيها المستخدم الدخول بشكل غير مصرح به إلى الملف الشخصي لمستخدم آخر. قد تحصل على إشارة أو تنبيه يتم إنشاؤه إذا لاحظت أن أحد المستخدمين يجري عددًا كبيرًا من المحاولات الفاشلة للوصول إلى الملفات الشخصية لمستخدمين آخرين خلال فترة زمنية قصيرة. يمكنك حتى برمجة عملية حظر هذا المستخدم من الدخول إلى أي من خدماتك لفترة معينة أو إلى أجل غير مسمى إلى أن تتم مراجعة الموقف واستعادة إمكانية الدخول يدويًا. إذا لم تكن لديك آليات لرصد الحوادث والاستجابة لها، يمكنك العمل مع مستشار خبير للمساعدة في إرشادك حول كيفية إنشاء برنامج التحليل الجنائي الرقمي والاستجابة للحوادث (DFIR) لمؤسستك. إذا كانت لديك آليات اكتشاف واستجابة تستخدمها فعلاً، فستحتاج إلى التفكير في عواقب وجود خمسة أو عشرة أو حتى مائة باحثين أمنيين يتم اختبارهم ضد الأجزاء المعرضة للهجوم على الإنترنت. قد يكون لذلك تأثير كبير على أي نظام مفعل لـ IDS/IPS (لكشف التسلل ومنعه).

تشمل المخاطر المحتملة ما يلي:

  • حِمل التنبيهات الزائد: سيل من التنبيهات أو الإشارات التي تبدو كهجمات ضارة، ولكنّها في الواقع اختبارات عادية ومعتمدة من باحثين في مجال الأمن المشاركين في VDP. قد يحدث الكثير من التشويش بحيث يصبح من الصعب التمييز بين الهجمات الحقيقية والاختبارات الأمنية المشروعة.
  • إنذارات خاطئة للاستجابة للحوادث: إذا طبّقت عمليات على أفراد الصفحة عند الساعة 2:00 صباحًا يوم السبت، لن يشعروا بالرضا بشأن عملية استيقاظهم والتحقيق في عملية اختراق محتمَلة كانت في الواقع مجرد باحث أمني يُجري اختبارًا شرعيًا.
  • حظر الباحثين في مجال الأمان: إذا كانت لديك أنظمة صارمة لمنع التسلّل (IPS)، قد ينتهي بك الأمر بحظر عنوان IP للباحث الأمني الذي يحاول إجراء عمليات فحص واختبارات يدوية وما إلى ذلك لتحديد الثغرات وإبلاغك بها. وخاصةً في حالة استخدام VDP، إذا تم حظر باحث أمني بعد خمس دقائق من الاختبار، فقد يفقد الاهتمام ويركز على برنامج مؤسسة أخرى بدلاً من ذلك. وقد يؤدي ذلك إلى نقص عام في تفاعل باحثي الأمان مع برنامجك، ما يزيد من خطر عدم اكتشاف ثغرات أمنية (وبالتالي غير معروفة لمؤسستك). على الرغم من أنك قد لا ترغب في تخفيف حدة نظام منع التسلل IPS نفسه، فهناك إجراءات أخرى يمكنك اتخاذها للتخفيف من خطر استبعاد الباحثين.

تعتمد طريقة معالجة هذه المخاطر إلى حد كبير على النهج الذي تريد اتباعه للعمل مع باحثين أمنيين خارجيين. إذا كنت تريد أسلوب اختبار يحاكي الهجمات الحقيقية، فلن يكون بإمكانك اتّخاذ أي إجراء. في هذه الحالة، ستنشئ حركة مرور الباحث تنبيهات وقد يتخذ فريقك إجراءات للتحقيق والاستجابة وفقًا لذلك. سيساعد ذلك فريقك في التدرّب على الاستجابة لما يبدو كهجمات حقيقية، ولكن قد يقلل من التفاعل مع الباحثين في مجال الأمان، خاصةً إذا تم حظرهم من الاختبار. وقد يؤدي أيضًا إلى فقدان هجوم حقيقي مع قضاء الوقت في التحقيق في الاختبار المشروع. إذا كنت تريد المزيد من أسلوب المربع الرمادي، يمكنك التفكير في العمل مع الباحثين في مجال الأمان لتحديد عدد زيارات الاختبار بأنفسهم بطريقة ما. وسيمكّنك هذا من إدراج عدد الزيارات في القائمة البيضاء أو استبعاده من الاختبارات والتنبيهات الناتجة عنها. سيتمكن فريقك من التمييز بين الهجمات الحقيقية والاختبارات المعتمدة بشكل أفضل، وسيتم تمكين الباحثين من العثور على الثغرات الأمنية والإبلاغ عنها لك بدون أن تعيقك أنظمة منع التسلّل. تطلب بعض المؤسسات من الباحثين في مجال الأمان إرسال نموذج لطلب الحصول على معرّف فريد يمكن إرفاقه بالعناوين في الطلبات التي ينشئها الباحث. يتيح هذا للمؤسسة إضافة عدد الزيارات إلى القائمة البيضاء للباحث، بالإضافة إلى القدرة على تحديد ما إذا كان الباحث قد بدأ في تجاوز نطاق الاختبار المتفق عليه. إذا حدث هذا، يمكنك التواصل مع الباحث ومطالبته بالتعليق حتى تتمكنوا من العمل معًا على خطة اختبار.