آسیبپذیریهای امنیتی (Vulnerabilities) نقاط ضعفی در سیستمها، نرمافزارها یا سختافزارها هستند که میتوانند توسط مهاجمان برای دسترسی غیرمجاز، اجرای کد مخرب یا اختلال در سرویس مورد سوءاستفاده قرار گیرند. به منظور استانداردسازی و ردیابی این آسیبپذیریها، سیستم CVE (Common Vulnerabilities and Exposures) ایجاد شده است که به هر آسیبپذیری یک شناسه منحصربفرد مانند CVE-2023-1234 اختصاص میدهد. این سیستم که توسط MITRE مدیریت میشود، همراه با پایگاه داده ملی آسیبپذیریها (NVD) که توسط NIST نگهداری میشود، اطلاعاتی جامع شامل شرح دقیق، سطح خطر بر اساس CVSS، و راهکارهای رفع هر آسیبپذیری را ارائه میدهند.
CVEها با درجهبندی شدت از 0 تا 10 (بر اساس سیستم امتیازدهی CVSS) به سازمانها کمک میکنند تا اولویتبندی مناسبی برای وصلهسازی و کاهش ریسک انجام دهند. این چارچوب استاندارد نقش حیاتی در مدیریت مؤثر آسیبپذیریها و ایجاد زبان مشترک بین متخصصان امنیتی در سراسر جهان ایفا میکند.
تحلیل آسیبپذیری به عنوان سنگ بنای مدیریت ریسک سایبری، فرآیندی نظاممند برای شناسایی، ارزیابی و اولویتبندی ضعفهای امنیتی در سیستمهای اطلاعاتی است و به متخصصان امنیت سایبری کمک میکند تا با طراحی برنامههای مدیریت آسیبپذیری کارآمد، سطح مقاومت سازمانی را در برابر تهدیدات نوین ارتقا دهند و از داراییهای دیجیتال در برابر حملات پیشرفته محافظت کنند.
تحلیلِ فنیِ یک آسیبپذیری باید با توصیف دقیقِ رفتارِ آسیبپذیری و علت ریشهای (به عنون مثال نقص در اعتبارسنجی ورودی، خطای حافظه، پیکربندی نادرست یا سطح دسترسی بیشازحد) آغاز شود، سپس مسیر حمله (attack surface) و پیششرطهای لازم برای سوءاستفاده از آن را بهصورت کلی مشخص کند؛ در ادامه باید جریان منطقیِ بهرهبرداری را در قالب «ورودیهای موردنیاز، تغییر وضعیت سیستم، آثار جانبی مورد انتظار» تشریح کند (بهصورت مفهومی و بدون دستورالعملهای عملیاتی که قابلیت سوءاستفاده فراهم کند).
بخشِ بعدی باید اهداف و انگیزههای مهاجم را توضیح دهد، به عنوان مثال اجرای کد از راه دور برای دسترسیِ دائمی، ارتقای سطح دسترسی به منظور کنترل گستردهتر یا استخراج دادههای حساس و نیز تکنیکهای سطح بالا که مهاجم ممکن است استفاده کند (نظیر استفاده از حسابهای معتبر، دورزدن کنترلهای اعتبار، یا سوءِاستفاده از رابطهای مدیریتی). در انتها تحلیل باید فهرست شاخصهای آشکارسازی (IOCs) و علائم رفتاری قابلِ مانیتورینگ (مانند لاگهای فرآیند/command-line غیرمعمول، تلاشهای اتصال به سرویسهای غیرمتعارف، تغییرات در فایلها/پالیسیها)، ارزیابی ریسک (تأثیر بر محرمانگی/تمامیت/دسترسپذیری و احتمال بهرهبرداری) و اقدامات فوری و بلندمدتِ پیشنهادی برای شناسایی، مهار و رفع (patching، hardening پیکربندی، محدودسازی سطح دسترسی، تنظیم قوانین SIEM/EDR و تست مجدد) را ارائه دهد. برای نگاشت و هماهنگی بهتر با عملیات دفاعی، مفید است تحلیل را به تکنیکهای MITRE ATT&CK وصل نمایید تا تیمهای آبی بتوانند rule/alert مناسب بسازند و پوشش دفاعی را بسنجند.
جدول آسیب پذیریهای تحلیل نشده:
| CVE | پلتفرم | عنوان و نوع آسیب پذیری | شدت آسیب پذیری | رزرو CVE |
|---|---|---|---|---|
| CVE-2024-24576 | rust-lang | Rusts’s `std::process::Command` did not properly escape arguments of batch files on Windows | CRITICAL | |
| CVE-2024-21338 | Windows Kernel | Windows Kernel Elevation of Privilege Vulnerability | HIGH |
