بازیگران تهدید در سال 2023، از چه اکسپلویتهایی بیشتر استفاده کردن؟

زمان مطالعه: 5 دقیقه

آژانسهای امنیتی FBI، NSA و مقامات در Five Eyes گزارشی منتشر کردن در خصوص 15 آسیب پذیری برتری که در سال 2023 توسط بازیگران تهدید مورد استفاده قرار گرفتن. بیشتر این اکسپلویتها، در ابتدا بصورت زیرودی مورد استفاده قرار گرفتن.

در این گزارش از سازمانها و شرکتهای سراسر دنیا، خواسته شده تا این آسیب پذیری ها رو در سیستمهاشون اصلاح کنن تا هدف بازیگران تهدید قرار نگیرن.

طبق این گزارش، بازیگران تهدید در سال 2023، نسبت به سال 2022، از زیرودی های بیشتری استفاده کردن. همچنین چندین مورد از آسیب پذیری های سالهای قبل هم مورد استفاده قرار گرفته که نشون میده سازمانها و شرکتها در اصلاح این آسیب پذیریها، توجه زیادی نداشتن.

جدول زیر 15 آسیب پذیری برتری که در سال 2023 بصورت معمول، توسط بازیگران تهدید مورد استفاده قرار گرفته رو نشون میده:

ردیف	شناسه	سازنده	محصولات تحت تاثیر	نوع	CWE	توضیحات
1	CVE-2023-3519	Citrix	NetScaler ADC and NetScaler Gateway: 13.1 before 13.1-49.13 13.0 before 13.0-91.13 NetScaler ADC: 13.1-FIPS before 13.1-37.159 12.1-FIPS before 12.1-55.297 12.1-NDcPP before 12.1-55.297	Code Injection	CWE-94: Code Injection	مهاجم احراز هویت نشده با ارسال درخواست HTTP GET منجر به سریز در پروسس NSPPE میشه.
2	CVE-2023-4966	Citrix	NetScaler ADC and NetScaler Gateway: 14.1 before 14.1-8.50 13.1 before 13.1-49.15 13.0 before 13.0-92.19 NetScaler ADC: 13.1-FIPS before 13.1-37.164 12.1-FIPS before 12.1-55.300 12.1-NDcPP before 12.1-55.300	Buffer Overflow	CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer	منجر به افشای توکن جلسه میشه.
3	CVE-2023-20198	Cisco	همه ی Cisco IOS XE Software با Web UI فعال	Privilege Escalation	CWE-420: Unprotected Alternate Channel	کاربر غیرمجاز امکان دسترسی اولیه و ایجاد یک نام کاربری/پسورد محلی رو داره و در نتیجه میتونه با عوان یک کاربر نرمال لاگین کنه.
4	CVE-2023-20273	Cisco	همه ی Cisco IOS XE Software با Web UI فعال	Web UI Command Injection	CWE-78: OS Command Injection	دسترسی Root به کاربر محلی رو میده. معمولا با آسیب پذیری قبلی زنجیر میشه.
5	CVE-2023-27997	Fortinet	FortiOS-6K7K versions: 7.0.10, 7.0.5, 6.4.12 6.4.10, 6.4.8, 6.4.6, 6.4.2 6.2.9 through 6.2.13 6.2.6 through 6.2.7 6.2.4 6.0.12 through 6.0.16 6.0.10	Heap-Based Buffer Overflow	CWE-787: Out-of-bounds Write CWE-122: Heap-based Buffer Overflow	مهاجم راه دور امکان اجرای کد یا دستور دلخواه داره.
6	CVE-2023-34362	Progress	MOVEit Transfer: 2023.0.0 (15.0) 2022.1.x (14.1) 2022.0.x (14.0) 2021.1.x (13.1) 2021.0.x (13.0) 2020.1.x (12.1) 2020.0.x (12.0) or older MOVEit Cloud	SQL Injection	CWE-89: SQL Injection	امکان دسترسی به توکن sysadmin رو میده. مهاجم با این دسترسی میتونه RCE رو داشته باشه.
7	CVE-2023-22515	Atlassian	8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4 8.1.0, 8.1.1, 8.1.3, 8.1.4 8.2.0, 8.2.1, 8.2.2, 8.2.38.3.0, 8.3.1, 8.3.2 8.4.0, 8.4.1, 8.4.28.5.0, 8.5.1	Broken Access Control	CWE-20 Improper Input Validation	مهاجم میتونه یک ادمین جدید ایجاد و یک افزونه مخرب رو برای اجرای کد دلخواه آپلود کنه.
8	CVE-2021- 44228 (Log4Shell)	Apache	Log4j, all versions from 2.0-beta9 to 2.14.1 برنامه هایی زیادی تحت تاثیر این آسیب پذیری هستن.	RCE	CWE-917 Expression Language Injection CWE-502: Deserialization of Untrusted Data CWE-20 Improper Input Validation CWE-400 Uncontrolled Resource Consumption	این آسیب پذیری از سال 2021 کشف و مورد استفاده بازیگران تهدید قرار گرفته. مهاجم میتونه کد دلخواه اجرا کنه.
9	CVE-2023-2868	Barracuda Networks	ESG Appliance 5.1.3.001 through 9.2.0.006	Improper Input Validation	CWE-77: Command InjectionCWE-20: Improper Input Validation	به مهاجم دسترسی غیر مجاز میده و میتونه دستورات سیستمی دلخواه رو از راه دور اجرا کنه.
10	CVE-2022-47966	Zoho	محصولات مختلف	RCE	CWE-20 Improper Input Validation	مهاجم احرازهویت نشده با ارسال یک samlResponse XML دستکاری شده به نقطه پایانی ServiceDesk Plus SAML میتونه کد دلخواه اجرا کنه.
11	CVE-2023-27350	PaperCut	PaperCut MF or NG version 8.0 or later (excluding patched versions) on all OS platforms. This includes: version 8.0.0 to 19.2.7 (inclusive) version 20.0.0 to 20.1.6 (inclusive) version 21.0.0 to 21.2.10 (inclusive) version 22.0.0 to 22.0.8 (inclusive)	Improper Access Control	CWE-284: Improper Access Control	یک بازیگر تهدید اجازه میده تا یک آسیبپذیری دور زدن احراز هویت رو با سوءاستفاده از عملکرد اسکریپتنویسی داخلی برای اجرای کد زنجیر کنه.
12	CVE-2020-1472	Microsoft	Netlogon	Privilege Escalation	CWE-330: Use of Insufficiently Random Values	مهاجم با سوء استفاده از Netlogon Remote Protocol امکان ایجاد یک کانال امن Netlogon به دومین کنترلر داره. آسیب پذیر در لیست اکسپولیتهای رایج سال 2021 هم بود.
13	CVE-2023-42793	JetBrains	JetBrains TeamCity before 2023.05.4	Authentication Bypass	CWE-288: Authentication Bypass Using an Alternate Path or Channel	امکان دور زدن احراز هویت رو به مهاجم میده و مهاجم میتونه RCE داشته باشه.
14	CVE-2023-23397	Microsoft	Office Outlook	Privilege Escalation	CWE-294: Authentication Bypass by Capture-replayCWE-20: Improper Input Validation	مهاجم با ارسال ایمیل مخرب، بدون تعامل کاربر، امکان افزایش امتیاز داره.
15	CVE-2023-49103	ownCloud	graphapi	Information Disclosure	CWE-200 Exposure of Sensitive Information to an Unauthorized Actor	مهاجم بدون احراز هویت امکان افشای اطلاعات حساس مانند پسورد ادمین، لایسنس و اعتبارنامه های سرور داره.

علاوه بر لیست بالا، آژانس های امنیتی یک لیست دیگه ای رو هم منتشر کردن. این لیست، که تعداشون 32 مورد هستش، آسیب پذیری هایی رو نشون میده که باز بیشتر مورد توجه بازیگران تهدید قرار گرفتن. البته لیست بالا موارد رایج هستش و لیست پایینی، لیست دوم آسیب پذیری های رایج هستش.

ردیف	شناسه	سازنده	محصولات تحت تاثیر	نوع	CWE
1	CVE-2023-22518	Atlassian	همه ی نسخه های Confluence Data Center and Server	Improper Authorization	CWE-863: Incorrect Authorization
2	CVE-2023- 29492	Novi	Novi Survey	Insecure Deserialization	CWE-94: Code Injection
3	CVE-2021-27860	FatPipe	WARP, MPVPN, IPVPN 10.1.2 and 10.2.2	Configuration Upload Exploit	CWE-434: Unrestricted Upload of File with Dangerous Type
4	CVE-2021-40539	Zoho	ManageEngine ADSelfService Plus builds up to 6113	Authentication Bypass	CWE-706: Use of Incorrectly-Resolved Name or Reference
5	CVE-2023-0669	Fortra	GoAnywhere versions 2.3 through 7.1.2	RCE	CWE-502: Deserialization of Untrusted Data
6	CVE-2021-22986	F5	BIG-IP versions: 16.0.x before 16.0.1.1, 15.1.x before 15.1.2.1, 14.1.x before 14.1.4, 13.1.x before 13.1.3.6, and 12.1.x before 12.1.5.3 and BIG-IQ 7.1.0.x before 7.1.0.3 and 7.0.0.x before 7.0.0.2	RCE	CWE-918: SSRF
7	CVE-2019-0708	Microsoft	Remote Desktop Services	RCE	CWE-416: Use After Free
8	CVE-2018-13379	Fortinet	FortiOS and FortiProxy 2.0.2, 2.0.1, 2.0.0, 1.2.8, 1.2.7, 1.2.6, 1.2.5, 1.2.4, 1.2.3, 1.2.2, 1.2.1, 1.2.0, 1.1.6	Path Traversal	CWE-22: Path Traversal
9	CVE-2022-31199	Netwrix	Auditor	Insecure Object Deserialization	CWE-502: Deserialization of Untrusted Data
10	CVE-2023-35078	Ivanti	All supported versions of Endpoint Manager Mobile (EPMM), including: Version 11.4 releases 11.10, 11.9 and 11.8	Authentication Bypass	CWE-287: Improper Authentication
11	CVE-2023-35081	Ivanti	All supported versions of Endpoint Manager Mobile (EPMM), including 11.10, 11.9 and 11.8	Path Traversal	CWE-22: Path Traversal
12	CVE-2023-44487	N/A	HTTP/2	Rapid Reset Attack	CWE-400: Uncontrolled Resource Consumption
13	CVE-2023-36844	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	External Variable Modification	CWE-473: PHP External Variable Modification
14	CVE-2023-36845	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	External Variable Modification	CWE-473: PHP External Variable Modification
15	CVE-2023-36846	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	Missing Authentication for Critical Function	CWE-306: Missing Authentication for Critical Function
16	CVE-2023-36847	Juniper	Juniper Networks Junos OS on SRX Series and EX Series: All versions prior to 20.4R3-S9; 21.1 version 21.1R1 and later versions; 21.2 versions prior to 21.2R3-S7; 21.3 versions prior to 21.3R3-S5; 21.4 versions prior to 21.4R3-S5; 22.1 versions prior to 22.1R3-S4; 22.2 versions prior to 22.2R3-S2; 22.3 versions prior to 22.3R2-S2, 22.3R3-S1; 22.4 versions prior to 22.4R2-S1, 22.4R3; 23.2 versions prior to 23.2R1-S1, 23.2R2.	Missing Authentication for Critical Function	CWE-306: Missing Authentication for Critical Function
17	CVE-2023-41064	Apple	Versions prior to: iOS 16.6.1 and iPadOS 16.6.1, macOS Monterey 12.6.9, macOS Ventura 13.5.2, iOS 15.7.9 and iPadOS 15.7.9, macOS Big Sur 11.7.10	Buffer Overflow	CWE-120: Classic Buffer Overflow
18	CVE-2023-41061	Apple	Versions prior to: watchOS 9.6.2, iOS 16.6.1 and iPadOS 16.6.1	Code Execution	CWE-20 Improper Input Validation
19	CVE-2021-22205	GitLab	All versions starting from 11.9	RCE	CWE-94: Code Injection
20	CVE-2019-11510	Ivanti	Pulse Secure Pulse Connect Secure versions, 9.0R1 to 9.0R3.3, 8.3R1 to 8.3R7, and 8.2R1 to 8.2R12	Arbitrary File Read	CWE-22: Path Traversal
21	CVE-2023-6448	Unitronics	VisiLogic versions before 9.9.00	Insecure Default Password	CWE-798: Use of Hard-coded CredentialsCWE-1188: Initialization of a Resource with an Insecure Default
22	CVE-2017-6742	Cisco	Simple Network Management Protocol subsystem of Cisco IOS 12.0 through 12.4 and 15.0 through 15.6 and IOS XE 2.2 through 3.17	RCE	CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
23	CVE-2021-4034	Red Hat	Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Red Hat Enterprise Linux 8 Red Hat Virtualization 4 Any Red Hat product supported on Red Hat Enterprise Linux (including RHEL CoreOS) is also potentially impacted.	Out-of-Bounds Read and Write	CWE-125: Out-of-bounds ReadCWE-787: Out-of-bounds Write
24	CVE-2021-26084	Atlassian	Confluence Server and Data Center, versions 6.13.23, from version 6.14.0 before 7.4.11, from version 7.5.0 before 7.11.6, and from version 7.12.0 before 7.12.5.	Object-Graph Navigation Language (OGNL) Injection	CWE-917: Expression Language Injection
25	CVE-2021-33044	Dahua	محصولات مختلف	Authentication Bypass	CWE-287: Improper Authentication
26	CVE-2021-33045	Dahua	محصولات مختلف	Authentication Bypass	CWE-287: Improper Authentication
27	CVE-2022-3236	Sophos	Sophos Firewall v19.0 MR1 (19.0.1) and older	Code Injection	CWE-94: Code Injection
28	CVE-2022-26134	Atlassian	Confluence Server and Data Center, versions: 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1	RCE	CWE-917: Expression Language Injection
29	CVE-2022-41040	Microsoft	Microsoft Exchange servers	SSRF	CWE-918: SSRF
30	CVE-2023-38831	RARLAB	WinRAR Versions prior to 6.23 Beta 1	Code Execution	CWE-345: Insufficient Verification of Data AuthenticityCWE-351: Insufficient Type Distinction
31	CVE-2019-18935	Progress Telerik	Progress Telerik UI for ASP.NET AJAX Telerik.Web.UI.dll	Deserialization of Untrusted Data	CWE-502: Deserialization of Untrusted Data
32	CVE-2021-34473	Microsoft	Exchange Server, Multiple Versions: Q1 2011 (2011.1.315) to R2 2017 SP1 (2017.2.621) R2 2017 SP2 (2017.2.711) to R3 2019 (2019.3.917) R3 2019 SP1 (2019.3.1023) R1 2020 (2020.1.114) and later	RCE	CWE-918: SSRF

اقدامات کاهشی :

توسعه دهندگان و سازندگان:

آسیب پذیری هایی که بصورت مکرر اکسپلویت میشن رو شناسایی کنید.
- برای این کار آنالیزی روی CVE و KEV انجام بدید تا بدونید، کدوم کلاس از آسیب پذیری ها، بیشتر شناسایی میشن.
- اقدامات کاهشی موثر که منجر به حذف اون کلاس از آسیب پذیری ها میشه رو اعمال کنید.
اطمینان حاصل کنید که رهبران کسب و کار مسئول امنیت هستن:
- رهبران کسب و کار باید اطمینان حاصل کنن که تیمشون اقدامات پیشگیرانه‌ای رو برای حذف کل دسته‌ های آسیب‌پذیری‌ها انجام دادن، به جای اینکه فقط وصله‌های یکبار مصرف رو هنگام کشف آسیب‌پذیریهای جدید ایجاد کنن.
از SP 800-218 SSDF پیروی کنید و شیوه های امن طراحی رو در هر مرحله از چرخه عمر توسعه نرم‌افزار (SDLC) اجرا کنید. بطور خاص، هدف، انجام توصیه‌های SSDF زیر است:
- هر جا که امکانپذیر هستش از زبانهای ایمنی حافظه استفاده کنید. [SSDF PW 6.1]
- هنگام انتخاب مولفه های نرم افزاری مانند کتابخونه ها، مطمئن بشید که از امنیت قوی برخوردار باشن. [SSDF PW 4.1]
- شیوه های امن تیم توسعه نرم‌افزار رو راه‌اندازی کنید. [SSDF PW.5.1, PW.7.1, PW.7.2]
- یک برنامه افشای آسیب پذیری برای تایید و رفع آسیب پذیری هایی که توسط افراد داخل یا خارج سازمان ارائه میشه، ایجاد کنید. [SSDF RV.1.3]
- از ابزارهای تست امنیت برنامه‌های کاربردی استاتیک و داینامیک (SAST/DAST) برای آنالیز سورس کد و رفتار برنامه، برای شناسایی شیوه های مستعد خطا استفاده کنید. [SSDF PW.7.2, PW.8.2]
محصولات آماده تولید رو برای داشتن امن ترین تنظیمات پیش فرض، پیکربندی کنید و راهنمایی در مورد خطرات تغییر هر تنظیم رو ارائه بدید. [SSDF PW.9.1, PW9.2]
اطمینان حاصل کنید که CVE های منتشر شده شامل فیلد CWE مناسب برای شناسایی علت آسیب پذیری باشن تا امکان آنالیز امنیت نرم افزار و نقص های طراحی در کل صنعت فراهم بشه.

سازمانهای کاربر نهایی:

مدیریت پیکربندی و آسیب پذیری:

بروزرسانی نرم افزار، سیستم عامل، برنامه و فریمورها روی دارایی های شبکه فناوری اطلاعات [CPG 1.E]:
- اولویت رو روی KEVها، بعدش CVEهای بحرانی و شدت بالا که امکان اجرای کد از راه دور و منع سرویس در سیستمهای رو به اینترنت رو فراهم میکنن، قرار بدید.
- اگه اصلاحیه برای یک KEV، سریعا قابل دسترس نبود، از اقدامات کاهشی که سازنده معرفی کرده استفاده کنید.
- نرم افزارهایی که به پایان عمرشون رسیدن و دیگه پشتیبانی نمیشن رو جایگزین کنید.
بصورت دوره ای و خودکار، شناسایی دارایی ها رو انجام بدید و اونا رو لیست کنید.
یک فرایند مدیریت وصله قوی و متمرکز، برای ایجاد یک برنامه اولویت دار اصلاحیه ها ایجاد کنید. [CPG 1.A]
- اگه سازمانی قادر به اسکن سریع و اصلاح سیستمهای رو به اینترنت نیست، این سیستمهارو به ارائه دهندگان سرویسهای ابری (CSP) یا سایر ارائه دهندگان سرویسهای مدیریت شده (MSP) انتقال بدن.
- MSPهای معتبر میتونن برنامه‌های کاربردی (مانند ایمیل وب، ذخیره‌سازی فایل، اشتراک‌گذاری فایل، چت و سایر ابزارهای همکاری کارکنان) رو برای مشتریان خودشون بصورت خودکار اصلاح کنن.
- MSPها و CSPها میتونن سطح حمله‌ی مشتریشون رو گسترده کنن و ممکن ریسکهای پیش‌بینی‌نشده‌ای ایجاد کنن، بنابراین سازمانها باید بطور پیش‌فعالانه با ارائه‌دهندگان خدمات مدیریت‌شده و ارائه‌دهندگان خدمات ابری خودشون، برای کاهش مشترک ریسکها همکاری کنن.
مستندسازی پیکربندی‌های بنیادی امن برای تمام اجزای فناوری اطلاعات/فناوری عملیاتی، از جمله زیرساخت ابری.
- هرگونه انحراف از پیکربندی بنیادی امن اولیه رو مونیتور، بررسی و مستند کنید. [CPG 2.O]
پشتیبان‌گیری منظم از سیستم‌های امن رو انجام بدید و برای تعمیر و/یا بازیابی، کپی های مطمئن، از تمام پیکربندیهای دستگاه، ایجاد کنید.
- این کپی‌ها رو به‌صورت آفلاین در مکانهای فیزیکی امن ذخیره کنید و بطور منظم اونارو تست کنید.[CPG 2.R]
یک برنامه‌ی پاسخ به حوادث امنیت سایبری بروز رو ایجاد کنید که حداقل سالانه تست بشه و در یک بازه‌ی زمانی مبتنی بر ریسک بروزرسانی بشه تا اثربخشی اون تضمین بشه. [CPG 2.S]

مدیریت هویت و دسترسی:

اجرای احراز هویت چندعاملی (MFA) مقاوم در برابر فیشینگ برای همه کاربران بدون استثنا [CPG 2.H]
- اجرای MFA بر روی تمام اتصالات VPN.
- اگه MFA در دسترس نیست، از کارمندان راه دور بخواید از رمزهای عبور قوی استفاده کنن. [CPG 2.A, 2.B, 2.C, 2.D, 2.G]
بصورت دوره‌ای اکانتهای بدون امتیاز رو بررسی، تأیید یا حذف کنید (حداقل سالانه) [CPG 2.D, 2.E]
کنترل دسترسی رو تحت اصل حداقل امتیاز پیکربندی کنید. [CPG 2.O]
- مطمئن بشید که اکانتهای سرویس نرم‌افزاری فقط مجوزهای لازم، برای انجام عملکردهای مورد نظر (با استفاده از امتیازات غیرمدیریتی در صورت امکان) ارائه میدن. برای اطلاعات بیشتر میتونید از این راهنما استفاده کنید.

کنترلهای محافطتی و معماری:

پیکربندی و ایمن‌ سازی صحیح دستگاههای شبکه رو به اینترنت، غیرفعال کردن پورتها و پروتکلهای شبکه‌ی بلااستفاده یا غیرضروری، رمزگذاری ترافیک شبکه، و غیرفعال کردن سرویسها و دستگاههای شبکه‌ی بلااستفاده [CPG 2.V, 2.W, 2.X].
- هاردنینگ سرویس‌های شبکه‌ی سازمانی که معمولاً اکسپلویت میشن، از جمله: پروتکل LLMNR، پروتکل RDP، سیستم فایل اینترنتی مشترک (CIFS)، Active Directory، و OpenLDAP.
- مدیریت اکانتهای Windows Key Distribution Center (KDC) (مانند KRBTGT) برای به حداقل رسوندن حملات Golden Ticket و Kerberoasting.
- کنترل دقیق استفاده از برنامه‌های اسکریپت‌نویسی داخلی مانند خط فرمان، PowerShell، WinRM، WMI و DCOM.
پیاده‌سازی Zero Trust Network Architecture (ZTNA) برای محدود کردن یا مسدود کردن حرکت جانبی با کنترل دسترسی به برنامه‌ها، دستگاه‌ها و پایگاه‌های داده. استفاده از شبکه‌های محلی مجازی خصوصی (private virtual local area networks) [CPG 2.F, 2.X]. برای کسب اطلاعات بیشتر این راهنما رو مطالعه کنید.
مونیتورینگ مداوم سطح حمله و بررسی فعالیتهای غیرعادی که ممکن نشون‌ دهنده حرکت جانبی بازیگر سایبری یا بدافزار باشه [CPG 2.T].
- استفاده از ابزارهای امنیتی مانند EDR و SIEM.
- در نظر گرفتن استفاده از یک راه‌حل information technology asset management (ITAM) برای اطمینان از اینکه EDR، SIEM، اسکنرهای آسیب‌پذیری و سایر ابزارهای مشابه تعداد یکسانی از دارایی‌ ها رو گزارش میدن [CPG 2.T, 2.V].
- استفاده از WAF برای مونیتورینگ و فیلتر کردن ترافیک وب.
این ابزارها از طریق راه‌حل‌های سخت‌افزاری، نرم‌افزاری و مبتنی بر ابر در دسترس هستن و ممکن تلاشهای اکسپلویت رو تشخیص و کاهش بدن، جایی که یک بازیگر تهدید یک درخواست وب مخرب رو به یک دستگاه اصلاح نشده ارسال میکنه [CPG 2.B, 2.F].
پیاده‌سازی یک سیاست مدیریتی و/یا فرآیند خودکار پیکربندی‌ شده برای مونیتورینگ سخت‌افزار، نرم‌افزار یا برنامه‌های ناخواسته در برابر یک لیست مجاز با نسخه‌های مشخص و تأییدشده [CPG 2.Q].

امنیت زنجیره تامین:

کاهش برنامه‌های کاربردی شخص ثالث و ساختهای منحصر به فرد سیستم/برنامه .
- فقط در صورت نیاز برای پشتیبانی از عملکردهای حیاتی کسب‌وکار، استثنا قائل بشید[CPG 2.Q].
- مطمئن بشید که قراردادها از فروشندگان و/یا ارائه‌دهندگان خدمات شخص ثالث میخوان که:
  - در یک بازه‌ی زمانی مبتنی بر ریسک، حوادث و آسیب‌پذیریهای امنیتی رو اطلاع بدن [CPG 1.G, 1.H, 1.I].
  - برای بهبود نظارت بر آسیب‌پذیری و کمک به کاهش زمان پاسخگویی به آسیب‌پذیریهای شناسایی‌شده، یک Software Bill of Materials (SBOM) با همه محصولات ارائه کنن [CPG 4.B].
از ارائه دهندگان نرم‌افزار خودتون بخوایید در مورد برنامه طراحی ایمن شون صحبت کنن، لینکهایی به اطلاعاتی در مورد نحوه تلاش اونا برای حذف کلاس های آسیب‌پذیری و تنظیم پیکربندیهای پیش‌فرض امن ارائه بدن.

منبع

اقدامات کاهشی :

توسعه دهندگان و سازندگان:

سازمانهای کاربر نهایی:

مدیریت پیکربندی و آسیب پذیری:

مدیریت هویت و دسترسی:

کنترلهای محافطتی و معماری:

امنیت زنجیره تامین:

دیدگاهتان را بنویسید لغو پاسخ

پست های مرتبط

هک مرکز تحقیقات INL توسط گروه هکری SiegedSec

کالی نسخه 2023.3 منتشر شد

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (از 29 اردیبهشت تا 4 خرداد)

نحوه سرقت کلید خصوصی مایکروسافت توسط هکرهای چینی مشخص شد