Microsoft وOracle وGoogle ضمن القائمة الأولى للشركات التي تم الكشف عن نقاط ضعفها في الربع الثاني

مدير عام31 أغسطس 2020آخر تحديث :
Microsoft وOracle وGoogle ضمن القائمة الأولى للشركات التي تم الكشف عن نقاط ضعفها في الربع الثاني

وفقًا لتقرير جديد ، شكّل يومين 818 نقطة ضعف ، أو 7.3٪ من إجمالي إفصاحات منتصف العام حتى الآن.

يعود عدد نقاط الضعف التي كشفت عنها شركات التكنولوجيا الكبرى إلى المستويات الطبيعية بعد ربع أول أقل من المعتاد ، ويرجع ذلك إلى حد كبير إلى الاضطراب الناجم عن جائحة فيروس كورونا.

ولكن في تقرير QuickView عن الثغرات الأمنية لمنتصف العام لعام 2020 ، انتقد المحللون في فريق VulnDB التابع لـ Risk Based Security الاتجاه الشائع الآن للشركات التي تطلق جميع نقاط الضعف الأخيرة في نفس اليوم ، واصفين هذه الأيام بـ “الضعف Fujiwhara”.

من بين 11121 نقطة ضعف تم الإعلان عنها خلال منتصف العام ، تم التخلص من 818 كلها في غضون أيام قليلة. تم نشر 312 نقطة ضعف في 14 يناير و 508 في 14 أبريل و 263 في 9 يونيو. كانت هناك أربعة أيام أخرى هذا العام عندما تم إطلاق 187 نقطة ضعف على الأقل.

نرى: التقويم التحريري لـ TechRepublic Premium: سياسات تكنولوجيا المعلومات وقوائم المراجعة ومجموعات الأدوات والأبحاث للتنزيل (TechRepublic Premium)

“كنا نعلم أن هذه الأحداث ستصبح بلا شك ضغطًا كبيرًا على موظفي تكنولوجيا المعلومات ومديري الثغرات الأمنية. مقارنة بأيام التصحيح الأخرى هذا العام ، تم الإبلاغ عن أعلى 273 نقطة ضعف جديدة” فقط “، حسبما قال برايان مارتن ، نائب رئيس استخبارات الثغرات الأمنية في Risk Based الأمان.

“ومع ذلك ، خلال حدث Fujiwhara في أبريل ، رأينا 508 ثغرة أمنية جديدة تم الإبلاغ عنها ، 79٪ منها جاءت من سبعة بائعين. لسوء الحظ بالنسبة لنا جميعًا ، هذا على الأرجح ما يمكننا توقع حدوثه بشكل متكرر في المستقبل. الحجم الهائل يجعل المرء يتساءل الذين يستفيدون بالفعل من هذا الكشف عن الثغرات مرة واحدة. بالتأكيد ليس العملاء الذين يدفعون الثمن “.

على الرغم من وجود أكثر من 11000 نقطة ضعف تم الكشف عنها في النصف الأول من العام ، يمثل هذا الرقم انخفاضًا بنسبة 8.2٪ مقارنة بالفترة نفسها من عام 2019. لكن الربع الثاني من العام أظهر أن الأمور تعود ببطء إلى طبيعتها بعد أشهر قليلة مضطربة بسبب من COVID-19.

كتب الباحثون ذوو الأمان المستند إلى المخاطر في التقرير أن أحد أكثر الاتجاهات إثارة للقلق هو الافتقار إلى معرفات مكافحة التطرف العنيف. من بين الثغرات الأمنية التي تم الكشف عنها خلال النصف الأول من عام 2020 ، 30٪ لم يكن لديهم معرف CVE و 3٪ أخرى في حالة محفوظة حتى مع معرف CVE الخاص بهم ، مما يعني عدم توفر أي معلومات عنها.

لكن معظم التقرير يركز على تأثير فوجيوهارا الثغرات الأمنية والشركات التي تكشف عن أكبر عدد من نقاط الضعف. كانت هناك ثلاثة أيام في عام 2020 ، و 14 يناير ، و 14 أبريل ، و 14 يوليو ، والتي قال التقرير إنها أصبحت “حدثًا مهمًا في حياة موظفي تكنولوجيا المعلومات”.

“أحداث فوجيوهارا هذه نادرة عادةً ، ولكن عام 2020 شهد ثلاثة منها: 14 يناير و 14 أبريل و 14 يوليو. وقع آخر حدثين تمت ملاحظتهما قبل 2020 في فوجيوارا في عام 2015 وسيظهر الحدثان التاليان في عام 2025 – بدءًا من يناير 14! هذا يوضح مدى ندرة هذه الأحداث ولماذا تبرز كنقطة توتر ومخاطر إضافية للمنظمات “، قال التقرير.

“من المهم أيضًا ملاحظة أن حدث Fujiwhara الوحيد لعام 2015 شهد ما مجموعه 277 نقطة ضعف تم الكشف عنها من جميع التقارير في ذلك اليوم ، أي أقل من نصف ما رأيناه من Fujiwhara أبريل هذا العام. خلال حدث Fujiwhara في أبريل ، رأينا 506 ثغرة أمنية جديدة تم الإبلاغ عنها ، 79٪ منها أتت من سبعة بائعين. وبالمقارنة مع أيام الثلاثاء الأخرى من Patch هذا العام ، سجلت أعلى نسبة “فقط” 273 نقطة ضعف جديدة في 9 يونيو. ”

يتنبأ التقرير بأن حوادث فوجيهارا هذه وزيادة عدد نقاط الضعف ستصبح هي القاعدة ، لكن الباحثين تساءلوا عما إذا كانت الأيام تضر بفرق تكنولوجيا المعلومات التي قد لا تكون قادرة على التعامل مع العدد الهائل من نقاط الضعف.

نرى: الهندسة الاجتماعية: ورقة غش لمحترفي الأعمال (ملف PDF مجاني) (TechRepublic)

وأشار الباحثون أيضًا إلى سخافة البائعين الذين يصنعون البرامج الضعيفة التي تعرض العملاء الذين يدفعون مقابلها للخطر بينما تتخلص من جميع الإفصاحات في نفس الأيام ، مما يخلق الظروف التي تضيف مخاطر إضافية.

“من المؤكد أن فرق أمن تكنولوجيا المعلومات ومديري الثغرات الأمنية الذين يتعاملون مع انخفاض عدد الموظفين والميزانيات سيكافحون لفرز وتقييم الحجم الهائل للمشكلات التي تم الكشف عنها في يوم واحد. ويتم الكشف عن المئات من نقاط الضعف في غضون فترة زمنية قصيرة ، ومعظمها من البائعون الكبار مثل مايكروسوفت وأدوبي ، يؤثرون على المنتجات المستخدمة على نطاق واسع “.

“مما زاد الطين بلة ، ظلت مهمة مكافحة التطرف العنيف راكدة ، مما يعني أن المؤسسات التي تعتمد على CVE / NVD للحصول على معلومات عن نقاط الضعف ، لن تتلقى المساعدة التي تشتد الحاجة إليها في تحديد نقاط الضعف التي تم تصنيفها على أنها بالغة الأهمية وتحديد أولوياتها. إذا علمنا هذا العام أي شيء ، هو أننا بحاجة إلى معلومات شاملة عن نقاط الضعف ونحتاجها الآن إذا أردنا النجاة من العاصفة القادمة والمتنامية “.

كانت Microsoft واحدة من أولى الشركات التي عقدت فعاليات “يوم الثلاثاء” ولكن Adobe بدأت في النهاية في الانضمام إليها في عام 2012 وقررت شركات أخرى مثل SAP و Siemens و Schneider Electric الانضمام إليها أيضًا. كما بدأت Apple و Mozilla و Intel و Cisco وغيرها في الكشف عن نقاط الضعف في نفس اليوم في محاولة “لجعلها أكثر ملاءمة”.

المشكلة سيئة للغاية لدرجة أنه تم الكشف عن 818 نقطة ضعف هذا العام ، وهو ما يمثل 7.3 ٪ من إجمالي إفصاحات منتصف العام. إذا تم تضمين يوم Fujiwhara في يوليو ، فستكون ثلاثة أيام مسؤولة عن 10.5٪ من جميع نقاط الضعف لعام 2020 – 13٪ إذا احتسبت في اليوم التالي لكل منها.

في حين تم إنشاء هذه الأيام في الأصل لتخفيف الضغط على فرق تكنولوجيا المعلومات ، فقد كان لها تأثير معاكس ، حيث أعطت الجهات الفاعلة السيئة كنزًا دفينًا من نقاط الضعف التي تم إصدارها حديثًا لاستغلالها جميعًا في نفس اليوم ، وفقًا للتقرير. تضيف الدراسة أنه في هذه المرحلة ، قد يرى بائعي البرامج أيام فوجيهارا هذه كوسيلة لإخفاء نقاط ضعفهم وسط فوضى مئات الثغرات الأخرى.

في الربع الثاني من عام 2020 ، شهدت Microsoft على وجه التحديد زيادة بنسبة 150٪ في نقاط الضعف التي تم الكشف عنها مقارنة بالفترة نفسها من العام الماضي مع 762 كشفًا. الرقم أعلى بكثير من أي بائع آخر ، بما في ذلك Oracle و Linux / Red Hat. كان لدى Oracle 612 إجمالي نقاط الضعف ، منها 420 مصدرها حدثا فوجيوهارا.

ترجع الأرقام الكبيرة لشركة Microsoft إلى نظام التشغيل Windows 10 ، الذي يتصدر جميع المنتجات التي بها أكثر نقاط الضعف التي تم الكشف عنها في الربع الثاني من هذا العام ، وفقًا للتقرير. لكنه لا يقتصر على Windows 10. تظهر إصدارات مختلفة من Windows في القائمة أربع مرات.

كتب الباحثون أن المنظمات التي تعتمد بشكل كبير على منتجات Microsoft أو Oracle ، ستضطر للتعامل مع عشرات الأيام كل عام حيث يتعين عليهم فرز وتقييم عدد كبير من المشكلات.

“OpenSUSE Leap ، مع 464 نقطة ضعف ، و Suse Linux Enterprise Server (SLES) ، مع 247 ، نظرًا لأن كلاهما من نفس البائع ، وكلاهما من أنظمة التشغيل المستندة إلى Linux. يصف Leap نفسه بأنه” مسؤول النظام ، ومطورو المؤسسات ، و “مستخدمو سطح المكتب المنتظمون” بينما تقدم SLES نفسها على أنها نظام تشغيل يساعد على تبسيط بيئة تكنولوجيا المعلومات لديك ، وتحديث البنية التحتية لتكنولوجيا المعلومات لديك ، وتسريع الابتكار “.

“يمكن القول إن هذا خط غير واضح نظرًا لأنه من المتوقع أن يستخدمه مسؤولو النظام ومطورو المؤسسات. لماذا يوجد مثل هذا التباين بين الاثنين؟ الاختلاف الأكثر بروزًا هو أن Leap يتم تثبيته مع كل من Chrome و Firefox ، بينما يتم تثبيت SLES مع Firefox فقط . هذا وحده يمثل أكثر من 100 نقطة ضعف “.

يشير التقرير أيضًا إلى أن Google Pixel / Nexus Devices ظهرت في القائمة مع 314 نقطة ضعف ، مما دفع الباحثين إلى كتابة أن الأجهزة المحمولة قد تكون أكثر عرضة للهجوم من نظام سطح المكتب الخاص بك.

قال مارتن: “نظرًا للكم الهائل من نقاط الضعف التي تم الكشف عنها ، فإن المؤسسات التي تعتمد على CVE / NVD ستكافح للعثور على معلومات استخباراتية في الوقت المناسب وقابلة للتنفيذ. الحد الأدنى من البيانات الوصفية الموجودة داخل NVD غير كافٍ للمؤسسات لتحديد الأولويات ومعالجتها بشكل صحيح”.

“تزيد المنظمات من مخاطرها من خلال الاعتماد على مكافحة التطرف العنيف لتوفير بيانات كاملة وفي الوقت المناسب. المستوى الحالي للإفصاح عن الثغرات الأمنية التي تواجهها المؤسسات على أساس يومي أكثر مما يمكن أن تتعامل معه مكافحة التطرف العنيف ، وستزداد سوءًا.”

انظر أيضا

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

الاخبار العاجلة