هشدار درباره آسیب پذیری جدید SOC

به گزارش کار گروه امنیت سایبربان؛ شما در پروسه‌های مرکز عملیات امنیتی خود، یک Dashboard امنیتی ایجاد کرده‌اید که وظیفه آن هشدار دادن نسبت به آسیب‌پذیری‌های جدیدی است که اعلام می‌شوند. فرض کنید که متخصص امنیتی شما در رصد خود متوجه می‌شود که یک آسیب‌پذیری جدید برای سیستم‌عامل Redhat که رایج‌ترین نسخه سیستم‌عامل لینوکس می‌باشد، اعلام‌شده است. به نظر شما مراحلی که این شخص باید طی کند تا بررسی‌های لازم انجام شوند چیست؟ بیایید با هم بررسی کنیم ...
1.    شاید اولین گام در این راستا که کاملاً وابسته به Asset Management است، چک کردن آسیب‌پذیری نسبت به دارایی‌های کاربر باشد. کاربر بایستی فهرستی دقیق از سیستم‌عامل‌های منصوب در شبکه را داشته باشد که بتواند آسیب‌پذیری موجود را نسبت به آن‌ها ارزیابی کند.
2.    قدم بعدی هم مربوط به Asset Management است، با این تفاوت که به‌جای شناسایی سیستم‌عامل بایستی نرم‌افزارهای منصوب را چک کنیم، بررسی package ها در این سیستم‌عامل جهت اینکه آیا این package در شبکه کاربر وجود دارد یا نه. البته یادمان باشد که شاید بیش از ده‌ها سیستم‌عامل لینوکس در محیط کاربر نصب‌شده باشد و همچنین کاربر باید به دنبال راه‌کار هوشمندانه باشد که قطعاً به automation منتهی می‌شود.
3.    در مواردی شرکت‌ها راه‌کارهای بهتری ارائه کرده‌اند تا سرعت عمل ما افزایش یابد. به‌طور مثال در سیستم‌عامل لینوکس ردهت 7، یک پلاگین به‌عنوان yum-plugin-security وجود دارد که شما تنها لازم است تا شماره CVE را به آن بدهید تا سیستم‌عامل شما را چک کند.

# yum updateinfo info —cve CVE-2014-0224
===============================================
 Important: openssl security update
===============================================
 Update ID: RHSA-2014:0679
 Release:
 Type: security
 Status: final
 Issued: 2014-06-10 00:00:00
 Bugs: 1087195 - CVE-2010-5298 openssl: freelist misuse causing
 a possible use-after-free
: 1093837 - CVE-2014-0198 openssl: SSL_MODE_RELEASE_BUFFERS NULL
 pointer dereference in do_ssl3_write()
...

4.    بعدازاینکه شما مطمئن شدید که این آسیب‌پذیری در شبکه شما وجود دارد، دو پارامتر مهم دیگر باید چک شوند:
الف. سطح دسترسی بایستی چک شوند و اینکه که آیا نرم‌افزاری از این آسیب‌پذیری استفاده می‌کند و اگر استفاده می‌کند دسترسی آن در شبکه کاربر چگونه است؟ به‌طور مثال دسترسی از راه دور مثل اینترنت یا تنها از به‌صورت Local
ب. راه‌کار مقابله‌ای سیستم‌های protective من چگونه است. به‌طور مثال اگر این package توسط یک نرم‌افزار استفاده می‌شود که نیازمند دسترسی ریموت هست آیا نرم‌افزار IPS کاربر راه‌کار مقابله با آن را دارد؟
5.    اطلاعات جمع شده را در کنار یکدیگر قرار دهید و موارد زیر را مشخص کنید:
الف. درجه اهمیت آسیب‌پذیری چند است؟ آیا وصله امنیتی ارائه‌شده است؟ آیا بازه مشخصی اعلام‌شده است؟
ب. آیا راهکار workaround توسط شرکت مربوطه ارائه‌شده است؟
چ. دسترسی‌پذیری به این آسیب‌پذیری در شبکه کاربر چگونه هست؟
د. ابن آسیب‌پذیری بر روی سیستم‌های مهم با چه درجه از اهمیت وجود دارد؟
ه. این سیستم‌عامل چه تأثیری بر سایر سیستم‌ها دارد؟ آیا منجر به دسترسی به منطقه امنیتی حساس در شبکه کاربر می‌شود؟
و. آیا سیستم‌های دفاعی من راه‌کاری برای مقابله دارند؟