تم اعتماد Wiz من قبل برنامج الثغرات الأمنية والتعرضات المشتركة (CVE®) باعتباره هيئة ترقيم CVE (CNA). هذا الإنجاز مثير ومتواضع. نحن لسنا متحمسين فقط لتعميق دعمنا لمجتمع الأمن العالمي من خلال القدرة على تخصيص المخاطر والثغرات الأمنية الشائعة لنقاط الضعف – ومشاركة ثغرات الأمن السيبراني التي تم الكشف عنها بسرعة مع الجمهور – ولكن هذا يدفعنا أيضًا إلى التفكير في المدى الذي وصلت إليه الأمور في السنوات القليلة الماضية منذ أن أصبح أعضاء فريق Wiz Research أول من دعا إلى التغيير.

لقد كان برنامج مكافحة التطرف العنيف سمة مميزة للشفافية في مجال أمن المعلومات لمدة 25 عامًا. وقد ساعد عملها في تحديد وتعريف وفهرسة نقاط الضعف في الأمن السيبراني التي تم الكشف عنها علنًا في إثارة مناقشات حول المخاطر من حيث صلتها بالخدمات الرقمية التي نعتمد عليها جميعًا.

تأسست Wiz على فكرة أنه يمكننا جعل السحابة أكثر أمانًا دون إعاقة قدرتها على الابتكار. الشفافية والتعاون أساسيان لهذه الرحلة. في نوفمبر 2021، أصدر Wiz لأول مرة ملف دعوة للعمل وعلى هذه الجبهة، قمنا بكتابة تدوينة لاحظنا فيها كيف تطورت المسؤوليات منذ عصر ما قبل السحابة. لقد اقترحنا أن صناعة الأمن بحاجة إلى إنشاء قاعدة بيانات للثغرات السحابية وإعادة التفكير في نهجها لمعالجة الثغرات الأمنية السحابية. وبعد بضعة أشهر، أطلق Wiz تحالفًا من المساهمين الذين قاموا ببناء واحد.

(ملاحظة جانبية: يؤدي النقر على هذا الرابط إلى نقلك إلى قاعدة بيانات مشكلات الثغرات والأمن في السحابة المفتوحة. لمزيد من المعلومات حول القصة وراء هذا الجهد، بما في ذلك كيفية بدء Wiz له ونقاط الضعف في السحابة التي تكشف عنها قاعدة البيانات المركزية، نوصي بشدة بمشاهدة تسجيل هذا إرسال:cloudsec العرض من 2022: “لقد قمنا ببناء قاعدة بيانات مجتمعية حول الثغرات الأمنية السحابية، ماذا بعد؟”)

لقد تغير الفهم الجماعي للمخاطر السحابية بشكل كبير في السنوات القليلة الماضية، واليوم نأمل أن ينضم إلينا جميع مقدمي الخدمات السحابية في جهودنا لجعل الكشف عن الثغرات الأمنية المستندة إلى السحابة وتقديمها لبرنامج مكافحة التطرف العنيف معيارًا صناعيًا وتوقعًا قياسيًا.

لقد كانت CVEs هي القاعدة للبرامج والأجهزة المحلية. ومع ذلك، ليس من المتوقع أن يقوم مقدمو الخدمات السحابية بمشاركة البيانات حول نقاط الضعف التي يحددونها ويصلحونها – أو كيف يمكن أن تؤثر التحديثات والعلاجات الخاصة بهم على أمان العملاء. وقد شهد هذا العام نقطة تحول في هذه القضية. لقد حدث تحول هائل نحو الكشف عن نقاط الضعف السحابية في غضون أشهر قليلة:

  • في شهر مارس، سلط مجلس مراجعة السلامة السيبرانية التابع لوزارة الأمن الداخلي الأمريكية (CSRB) الضوء على هذه المشكلة في مراجعته للتقرير صيف 2023 اقتحام Microsoft Exchange Online، والتوصية بأن يعمل مقدمو الخدمات السحابية مع برنامج مكافحة التطرف العنيف لتطوير معايير للإفراج السريع عن هذه الثغرات الأمنية.

  • ولم يمض وقت طويل بعد ذلك حتى تمت الموافقة على برنامج مكافحة التطرف العنيف التغييرات في قواعدها، مما يسمح لـ CNAs بتعيين CVEs لنقاط الضعف الكبيرة، بغض النظر عما إذا كان العملاء بحاجة إلى اتخاذ إجراء. يعد هذا تغييرًا فاصلاً من شأنه أن يسمح بأن تصبح تخصيصات مكافحة التطرف العنيف لنقاط الضعف السحابية أمرًا شائعًا – طالما أننا جميعًا نتقبله.

  • هذا الصيف، أعلنت Microsoft أنها ستصدر CVEs لنقاط الضعف الحرجة في الخدمة السحابيةبغض النظر عما إذا كان العملاء بحاجة إلى تثبيت تصحيح أو اتخاذ إجراءات أخرى لحماية أنفسهم.

نحن ندعم هذه التطورات، ونأمل أن تنضم إلينا الصناعة في جعل الكشف عن جميع نقاط الضعف السحابية من خلال عملية مكافحة التطرف العنيف أمرًا متوقعًا. ويرجع ذلك إلى التحديد المستمر من قبل فريق البحث لدينا لنقاط الضعف التي لا تتناسب بدقة مع نموذج المسؤولية السحابية المشتركة على جانب واحد من السياج أو الجانب الآخر. بل إنها تتطلب عمليات معالجة فريدة من نوعها مع مسؤوليات تقع على عاتق كل من مقدمي خدمات الاتصالات والعملاء.

ChaosDB أحد الأمثلة على هذه الديناميكية: في أغسطس 2021، اكتشفنا ثغرة أمنية غير مسبوقة على مستوى الخدمة في Azure Cosmos DB. تم تسريب مفاتيح الوصول الخاصة بالعملاء، مع أذونات الوصول إلى قواعد بيانات Cosmos DB لمستخدمي السحابة الآخرين. نظرًا للميزات التي يتم تمكينها تلقائيًا، تم كشف العديد من العملاء دون علمهم. يحتاج المستخدمون إلى تدوير مفاتيحهم يدويًا لكل مثيل لـ Cosmos DB. ولم يتم توضيح الإطار الزمني للتعرض للثغرة الأمنية، مما يجعل من الصعب على المستخدمين فهم المخاطر المحتملة على أنظمتهم.

وهذا مجرد مثال واحد لما ستكون عليه العلاقة الضرورية في نموذج المسؤولية المشتركة. وكما ذكرنا في عام 2021:

على عكس الثغرات الأمنية الأخرى التي تتطلب تدخل المستخدم مثل ثغرات البرامج حيث لدينا ثغرات أمنية مشتركة، لا تحتوي الثغرات الأمنية السحابية هذه على معرف أو تعداد، ولا يوجد تنسيق قياسي، ولا يوجد درجات خطورة ولا قناة إعلام مناسبة. تمثل إجراءات الاستجابة مزيجًا من الجهود التي يبذلها مقدم الخدمة والمستخدم. يؤدي الافتقار إلى الوضوح والفهم حول عملية تسليم الثغرات الأمنية السحابية إلى ضياع الفرص وانخفاض الأمان.

ومن المشجع أن نرى الصناعة تتخذ خطوات نحو مزيد من الشفافية. بالنسبة إلى Wiz، لقد وصلنا إلى مرحلة بارزة في أن نصبح CNA معتمدًا؛ إنها في الواقع لحظة دائرة كاملة، بالنظر إلى موقفنا السابق المتمثل في أنه “يجب أن تكون هناك طريقة أفضل”. لدى فريق Wiz Research التزام فريد بـاكتشاف مخاطر جديدة في البيئات السحابية والذكاء الاصطناعي. إن الاستمرار في دعم هذا المجتمع من خلال دورنا كـ CNA يسير جنبًا إلى جنب مع إيماننا بأن التعاون والابتكار والشفافية هي المفتاح لجعل العالم الرقمي مكانًا أكثر أمانًا.

شاركها.
اترك تعليقاً