آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

نگرانی‌های شرکت‌های فاوا در فصل اول سال 2018: نقض داده‌ها، چالش‌های مرتبط با وصله‌کردن، و چگونگی ارتقاء دانش در زمینه امنیت سایبری

عنواننگرانی‌های شرکت‌های فاوا در فصل اول سال 2018: نقض داده‌ها، چالش‌های مرتبط با وصله‌کردن، و چگونگی ارتقاء دانش در زمینه امنیت سایبری
گروه اصلیOther
شرح خبر

گزارش‌های جدیدی که اخیراً منتشر شده، تصویری از مهم‌ترین نگرانی‌هایی که شرکت‌های فناوری اطلاعات امروزه با آن مواجه هستند ارائه می‌دهد. از جمله نقض داده‌ها، چالش‌های مرتبط با وصله‌کردن، و چگونگی ارتقاء دانش در زمینه امنیت سایبری.

Digital Shadows تحقیقی منتشر کرده، که نشان می‌دهد در سه ماهه اول سال 2018، 1.5 میلیارد رکورد بر روی اینترنت در معرض دید عموم قرار دارند. گزارش Trustwave Global Security Report در سال 2018 به این نتیجه نگران‌کننده ختم شد که 100 درصد برنامه‌های کاربردی وب حداقل دارای یک مورد آسیب‌پذیری هستند. همچنین ServiceNow در همکاری با Ponemon Institute گزارشی در رابطه با وضعیت وصله نرم‌افزارها ارائه کرده و McAfee نیز گزارشی در رابطه با کمبود مهارت‌های امنیتی در حوزه فناوری اطلاعات منتشر کرده است.

مهم‌ترین گزارشی که اخیراً منتشر شده گزارش 105 صفحه‌ای Trustwave Global Security Report می‌باشد که برجسته‌ترین تحقیقات امنیتی Trustwave در سال 2017 را ارائه کرده است.

یافته بزرگ این گزارش این بود که 100 درصد برنامه‌های کاربردی وب که مورد آزمایش قرار گرفتند، حداقل دارای یک مورد آسیب‌پذیری بودند. اکثر برنامه‌ها بیش از یک مورد آسیب‌پذیری دارند، به‌ گونه‌ای که طبق گزارش Trustwave، به‌طور میانگین به ازای هر برنامه تست‌شده، 11 مورد آسیب‌پذیری وجود دارد. بسیاری (85.9 درصد) از آسیب‌پذیری‌های وب دربرگیرنده نوعی معضل مدیریت جلسه هستند، که به‌طور بالقوه می‌تواند به مهاجمین امکان دسترسی غیرمجاز بدهد.

به‌علاوه، گزارش Trustwave به اهمیت این مسأله پرداخت که سازمان‌ها می‌بایست نقض‌های داده را در داخل سازمان شناسایی کنند، به‌جای این‌که منتظر شناسایی آن‌ها توسط یک منبع خارجی باشند. زمان شناسایی نقض‌های داده برای رخدادهایی که به صورت خارجی شناسایی شده بود، از میانگین 65 روز در سال 2016، به 83 روز در سال 2017 افزایش یافته است. اگرچه، بر اساس گزارش Trustwave ، این نکته مثبت نیز وجود دارد که نقض‌های شناسایی شده درون سازمان‌ها، از متوسط 16 روز در سال 2016، به شناسایی در همان روز رخداد در سال 2017 رسیده است؛ به این معنا که نقض‌ها تقریباً در همان روزی که اتفاق افتاده‌اند، شناسایی شده‌اند.

بیش از یک میلیارد فایل در معرض دید عموم قرار دارند

همچنین، در تاریخ 5 آوریل، Digital Shadows گزارشی منتشر کرد که به بررسی وضعیت فایل‌های در معرض دید عموم، در سه ماهه اول سال 2018 می‌پردازد. تحلیل‌های Digital Shadows مشخص کرد که 1.55 میلیارد از فایل‌های مصرف‌کنندگان و کسب‌وکارها به‌صورت عمومی بر روی وب در دسترس است.

تنها 7 درصد از این فایل‌ها بر روی محل ذخیره‌سازی ابر Amazon S3 یافت شد. سایر علل در معرض دید قرار گرفتن شامل به‌ اشتراک‌گذاری فایل SMB با پیکربندی نادرست (33 درصد) و خدمات انتقال فایل FTP (26 درصد) می‌باشد.

به گفته Rick Holland، مدیر ارشد امنیت اطلاعات در Digital Shadows، «در حالی‌که اغلب بیش از حد بر روی این مسأله تمرکز داریم که چگونه با مهاجمینی که به محیط‌های ما نفوذ می‌کنند مقابله کنیم و داده‌ها را از آن‌ها مخفی کنیم، به اطلاعات دیجیتال افراد (اطلاعاتی که در اثر فعالیت‌های برخط افراد در محیط اینترنت قرار می‌گیرد، مانند وب‌گاه‌های مشاهده‌شده، ایمیل‌های ارسالی و ...) و داده‌هایی که در اثر خدمات دارای پیکربندی اشتباه به‌صورت عمومی در دسترس هستند، توجهی نداریم.»

مشکلات وصله کردن

در تاریخ 5 آوریل، ServiceNow با همکاری Ponemon Insitute ، گزارشی با عنوان:
 "
Today’s State of Vulnerability Response: Patch Work Demands Attention" منتشر کرد.

یک نتیجه‌گیری کلیدی که در این گزارش آمده، موضوعی است که ServiceNow به آن «تضاد وصله‌کردن» می‌گوید، جایی که سازمان‌ها برای رفع مشکلات وصله کردن به دنبال استخدام نیروهای بیشتری در حوزه فناوری اطلاعات هستند، اما آن‌ها را پیدا نمی‌کنند.

این گزارش نشان می‌دهد که سازمان‌ها، به طور متوسط، هفته‌ای 321 ساعت را صرف مدیریت فرآیند پاسخ به آسیب‌پذیری‌ها، از جمله وصله‌کردن می‌کنند. 64 درصد سازمان‌ها اظهار کردند که قصد دارند طی 12 ماه آینده نیروهای متخصص بیشتری برای وصله‌کردن استخدام کنند. با این حال 61 درصد نیز گزارش دادند استفاده از فرآیندهای دستی در مواجهه با آسیب‌پذیری‌‌های وصله‌کردن، آن‌ها را در وضعیت نامساعدی قرار می‌دهد.

به گفته Sean Convery، معاون رئیس و مدیرکل ServiceNow Security and Risk، «تنها با استخدام بیشتر نیروهای مجرب، معضلات اصلی که تیم‌های امنیتی امروزه با آن مواجه هستند، حل نمی‌شود. خودکارسازی فرآیندهای روزمره و اولویت‌بندی آسیب‌پذیری‌ها، به سازمان‌ها کمک می‌کند تا با اجتناب از تضاد وصله‌کردن، و به جای آن تمرکز نیروهای خود بر روی فعالیت‌های بحرانی، احتمال نقض‌های امنیتی را به صورت چشمگیری کاهش دهند.»

تکنیک‌های بازی می‌تواند کمک‌کننده باشد

در تاریخ 4 آوریل، McAfee نیز در زمینه کارکنان فناوری اطلاعات گزارشی با عنوان: "Winning the Game" منتشر کرده است. این گزارش، بینشی در رابطه با این‌که چگونه سازمان‌ها می‌توانند مهارت‌های امنیت سایبری کارمندان خود را بهبود بخشند، ارائه داده است. مطالعه McAfee نشان داده که استفاده از تکنیک‌های بازی، که وظایف و فعالیت‌های یادگیری را به بازی تبدیل می‌کند، می‌تواند کمک بزرگی در زمینه ارتقاء آگاهی در حوزه امنیت سایبری باشد.

57 درصد شرکت‌کنندگان در مطالعه McAfee اظهار داشتند استفاده از بازی‌ها، آگاهی در زمینه امنیت سایبری، در رابطه با چگونگی وقوع نقض‌ها را افزایش می‌دهد. به‌علاوه، 77 درصد از مدیران ارشد که توسط McAfee مورد پرسش قرار گرفتند، معتقدند چنانچه از تکنیک‌های بازی بیشتری استفاده کنند، شرکت‌های آن‌ها امن‌تر خواهد بود.

آدرس اینترنتی خبرhttp://www.eweek.com/security/research-reports-reveal-web-application-patching-worries
تاریخ درج خبر1397-01-28
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست