נקודות תורפה מסוימות ניתנות לסליחה, אבל ניהול תיקון לקוי אינו באנר

נקודות תורפה מסוימות ניתנות לסליחה, אבל ניהול תיקון לקוי לא

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

8 אפריל 2025

תוכן עניינים:

1) הבעיה עם CVEs
2) מה ה-NCSC רוצה לעשות?
3) גישה מבוססת תקנים

בתחילת השנה, המרכז הלאומי לאבטחת סייבר בבריטניה (NCSC) קראו לתעשיית התוכנה כדי להסדיר את עצמו. יותר מדי "פגיעות יסוד" חומקות לקוד, מה שהופך את העולם הדיגיטלי למקום מסוכן יותר, טען. התוכנית היא לאלץ את ספקי התוכנה לשפר את התהליכים והכלים שלהם כדי למגר את הפגיעות המכונה "בלתי נסלחות" הללו אחת ולתמיד.

למרות שאפתנות בהיקפה, ייקח זמן מה עד שתוכנית הסוכנות תניב פרי - אם בכלל. בינתיים, ארגונים צריכים להשתפר בתיקון. זה המקום שבו ISO 27001 יכול לעזור על ידי שיפור שקיפות הנכסים והבטחת עדכוני תוכנה מתועדפים בהתאם לסיכון.

הבעיה עם CVEs

תוכנה אכל את העולם לפני שנים רבות. ויש היום יותר מזה מאי פעם - הפעלת תשתית קריטית, המאפשרת לנו לעבוד ולתקשר בצורה חלקה, ומציעה אינסוף דרכים לבדר את עצמנו. עם הופעת סוכני בינה מלאכותית, התוכנה תטמיע את עצמה יותר ויותר בתהליכים הקריטיים שעסקים, עובדיהם ולקוחותיהם מסתמכים עליהם כדי לגרום לעולם להסתובב.

אבל בגלל שהיא (בעיקר) תוכננה על ידי בני אדם, התוכנה הזו מועדת לשגיאות. והפגיעויות הנובעות מטעויות הקידוד הללו הן מנגנון מפתח עבור גורמי איומים לפרוץ רשתות ולהשיג את מטרותיהם. האתגר של מגיני הרשת הוא שבמשך שמונה השנים האחרונות, פורסמו מספר שיא של פרצות (CVEs). הנתון לשנת 2024 היה על 40,000. זה הרבה עדכוני אבטחה שצריך ליישם.

כל עוד הנפח והמורכבות של התוכנה ממשיכים לגדול, וחוקרים וגורמי איומים מקבלים תמריץ למצוא נקודות תורפה, מספר ה-CVEs השנתי ימשיך לעלות כלפי מעלה. המשמעות היא יותר פגיעויות לניצול של גורמי איומים.

לפי הערכה אחת, עצום של 768 CVEs דווחו בפומבי כמנוצלים בטבע בשנה שעברה. ובעוד 24% מהם היו אפס ימים, רובם לא היו. למעשה, בעוד שכלי AI עוזרים לכמה שחקני איומים לנצל נקודות תורפה מהר יותר מאי פעם, עדויות מציעות גם כן כי באגים מדור קודם נותרו בעיה גדולה. הוא מגלה ש-40% מהפגיעויות שנוצלו ב-2024 היו מ-2020 או קודם לכן, ו-10% היו מ-2016 או קודם לכן.

מה ה-NCSC רוצה לעשות?

בהקשר זה, התוכנית של ה-NCSC הגיונית. שֶׁלָה סקירה שנתית 2024 מלין על העובדה שספקי תוכנה פשוט אינם מתמרצים לייצר מוצרים מאובטחים יותר, בטענה שהעדיפות היא לעתים קרובות מדי על תכונות חדשות וזמן לשוק.

"מוצרים ושירותים מיוצרים על ידי ארגונים מסחריים הפועלים בשווקים בוגרים, אשר - באופן מובן - נותנים עדיפות לצמיחה ורווח ולא את הביטחון והחוסן של הפתרונות שלהם. בהכרח, ארגונים קטנים ובינוניים (SMEs), ארגוני צדקה, מוסדות חינוך והמגזר הציבורי הרחב יותר הם המושפעים ביותר, כי עבור רוב הארגונים, שיקול העלות הוא לא המניע העיקרי.

"בפשטות, אם רוב הלקוחות נותנים עדיפות למחיר ותכונות על פני 'אבטחה', אז הספקים יתרכזו בצמצום זמן היציאה לשוק על חשבון עיצוב מוצרים המשפרים את האבטחה והחוסן של העולם הדיגיטלי שלנו."

במקום זאת, ה-NCSC מקווה לבנות עולם שבו התוכנה "מאבטחת, פרטית, גמישה ונגישה לכולם". זה ידרוש הקלה על "הפחתות ברמה העליונה" עבור ספקים ומפתחים ליישום באמצעות מסגרות פיתוח משופרות ואימוץ תפיסות תכנות מאובטחות. השלב הראשון הוא לעזור לחוקרים להעריך אם פגיעות חדשות הן "נסלחות" או "בלתי נסלחות" - ובכך לבנות מומנטום לשינוי. עם זאת, לא כולם משוכנעים.

"לתוכנית של ה-NCSC יש פוטנציאל, אבל הצלחתה תלויה במספר גורמים כמו אימוץ התעשייה וקבלה והטמעה על ידי ספקי תוכנה", מזהיר Javad Malik, תומך מוביל למודעות אבטחה ב- KnowBe4. "זה גם מסתמך על מודעות צרכנים ודרישה למוצרים מאובטחים יותר כמו גם תמיכה רגולטורית."

זה גם נכון שגם אם התוכנית של ה-NCSC עובדת, עדיין יהיו שפע של פגיעויות "נסלחות" כדי לשמור על CISOs ער בלילה. אז מה ניתן לעשות כדי למתן את ההשפעה של CVEs?

גישה מבוססת תקנים

מאליק מציע שתקן האבטחה המומלץ ISO 27001 הוא גישה שימושית.

"לארגונים שמיושרים ל-ISO27001 יהיה תיעוד חזק יותר ויכולים ליישר את ניהול הפגיעות עם יעדי האבטחה הכוללים", הוא אומר ל-ISMS.online.

המנהל הבכיר של פעולות האבטחה של Huntress, Dray Agha, טוען שהתקן מספק "מסגרת ברורה" הן לניהול פגיעות והן לניהול תיקונים.

"זה עוזר לעסקים להקדים את האיומים על ידי אכיפת בדיקות אבטחה קבועות, תעדוף פגיעויות בסיכון גבוה והבטחת עדכונים בזמן", הוא אומר ל-ISMS.online. "במקום להגיב למתקפות, חברות המשתמשות ב-ISO 27001 יכולות לנקוט בגישה פרואקטיבית, לצמצם את החשיפה שלהן עוד לפני שהאקרים תקפו, למנוע מפושעי סייבר דריסת רגל ברשת של הארגון על ידי תיקון והקשחת הסביבה".

עם זאת, Agha טוען שתיקון לבד אינו מספיק.

"עסקים יכולים ללכת רחוק יותר כדי להתגונן מפני איומי סייבר על ידי פריסת פילוח רשת וחומות אש של יישומי אינטרנט (WAFs). אמצעים אלה פועלים כשכבות הגנה נוספות, מגן על מערכות מפני התקפות גם אם התיקונים מתעכבים", הוא ממשיך. "אימוץ מודלי אבטחה אפס אמון, מערכות זיהוי ותגובה מנוהלות וארגזי חול יכולים גם להגביל את הנזק אם מתקפה אכן פורצת דרך."

Malik של KnowBe4 מסכים, ומוסיף כי תיקון וירטואלי, זיהוי נקודות קצה ותגובה הם אפשרויות טובות להרחבת הגנות.

"ארגונים יכולים גם לבצע בדיקות חדירה על תוכנות והתקנים לפני פריסה בסביבות ייצור, ולאחר מכן מעת לעת. ניתן לנצל אינטליגנציה של איומים כדי לספק תובנות לגבי איומים ופגיעות מתעוררים", הוא אומר.

"קיימים שיטות וגישות רבות ושונות. מעולם לא היה מחסור באפשרויות, ולכן ארגונים צריכים לבדוק מה עובד הכי טוב עבור פרופיל הסיכון והתשתית הספציפיים שלהם."

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר