پیکربندی نادرست امنیت سایبری: مدیریت ضعیف وصله و دور زدن کنترل دسترسی

0
264
پیکربندی نادرست امنیت سایبری: مدیریت ضعیف وصله و دور زدن کنترل دسترسی

آژانس امنیت ملی (NSA) و آژانس امنیت سایبری و امنیت زیرساخت (CISA) یک توصیه مشترک امنیت سایبری (CSA) در مورد رایج‌ترین پیکربندی‌های نادرست امنیت سایبری منتشر کرده‌اند که شامل ۱۰ مورد است. در این مقاله از وب‌سایت امنیت اینترنت کنش‌تک به دو موضوع «مدیریت ضعیف وصله» و «دور زدن کنترل دسترسی» میپردازیم.

مدیریت ضعیف وصله

تولیدکنندگان اپلیکیشن‌ها برای رفع آسیب‌پذیری‌ها پچ‌ها یا وصله‌های امنیتی را منتشر می‌کنند. مدیریت ضعیف در پچ کردن یا ضعف در امنیت شبکه اغلب به عاملان مخرب امکان سواستفاده از آسیب‌پذیری‌های بحرانی را می‌دهد. مدیریت ضعیف وصله شامل موارد زیر است:

  • نداشتن نظم در وصله کردن
  • استفاده از سیستم‌عامل‌هایی که دیگر پشتیبانی نمی‌شوند و یا خیلی قدیمی هستند

عدم نظم در وصله کردن

عدم اعمال آخرین پچ‌ها می‌تواند سیستم را در برابر اکسپلویت‌هایی که در دسترس عموم هستند به خطر بیندازد. برخی آسیب‌پذیری‌ها را می‌توان از طریق اسکنرها پیدا کرد. اینکه اجازه داده شود این آسیب‌پذیری‌های بحرانی روی سیستم‌ها یا اپلیکیشن‌ها باقی بمانند، باعث میشود سطح حمله گسترش پیدا کند. سازمان‌ها باید آسیب‌پذیری‌ها را بر حسب الویت‌شان پچ یا وصله کنند، این یک امر ضروری در حفظ امنیت و حریم شخصی داده‌هاست.

محققان عوامل تهدیدی را شناسایی یا مشاهده کرده‌اند که از CVE‌های در دسترس عموم استفاده میکنند، برای مثال:

  • CVE-2019-18935 در یک نمونه اصلاح نشده از Telerik UI برای ASP.NET که روی سرور Microsoft IIS اجرا می‌شود.
  • CVE-2021-44228 (Log4Shell) در سرور VMware Horizon وصله نشده است.
  • CVE-2022-24682، CVE-2022-27924، و CVE-2022-27925 زنجیر شده با CVE-2022-37042، یا CVE-2022-30333 در یک مجموعه وصله نشده Zimbra.

استفاده از سیستم عامل های پشتیبانی نشده و سیستم عامل قدیمی

استفاده از نرم‌افزار یا سخت‌افزاری که دیگر توسط فروشنده یا تولید کننده پشتیبانی نمی‌شود، خطر امنیتی قابل‌توجهی دارد زیرا آسیب‌پذیری‌های جدید و موجود دیگر اصلاح نمی‌شوند. عوامل مخرب می‌توانند از آسیب‌پذیری‌ها در این سیستم‌ها برای دستیابی به دسترسی غیرمجاز، به خطر انداختن داده‌های حساس و اختلال در عملیات سوء استفاده کنند.

تیم‌های ارزیابی یا محققان مرتباً سازمان‌هایی را مشاهده می‌کنند که از سیستم‌عامل‌های ویندوز پشتیبانی‌نشده بدون به‌روزرسانی‌های MS17-010 و MS08-67 استفاده می‌کنند. این به روز‌رسانی‌‌ها که سال‌ها پیش منتشر شده‌اند، آسیب‌پذیری اجرای کد از راه دور را برطرف می‌کنند.

دور زدن کنترل‌های دسترسی به سیستم

یک عامل مخرب می‌تواند با به خطر انداختن روش‌های احراز هویت جایگزین در یک محیط، کنترل‌های دسترسی سیستم را دور بزند. اگر یک بازیگر مخرب بتواند هش‌ها را در یک شبکه جمع‌آوری کند، می‌تواند از هش‌ها برای احراز هویت با استفاده از ابزارهای غیراستاندارد، مانند pass-the-hash استفاده کند. با تقلید از حساب‌های بدون رمز عبور متن ساده، یک عامل مخرب می‌تواند بدون شناسایی دسترسی خود را گسترش داده و تقویت کند. Kerberoasting همچنین یکی از کارآمدترین راه‌ها برای افزایش امتیازات و حرکت جانبی در سراسر شبکه یک سازمان است.

منبع: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a

مقاله قبلیاینفوگرافیک احراز هویت چند عامله
مقاله بعدی۴ دلیل مایکروسافت برای استفاده از Passwordless

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.