خلاصهی گزارش برای مدیران
روز هشتم دسامبر، شرکت تامینکنندهی خدمات امنیتی، فایرآی (FireEye)، اعلام کرد که شبکهی این شرکت دچار نفوذ شده و در پی آن دادههایی از آن استخراج شده است که ابزارهای ردتیم این شرکت را نیز شامل میشده است [که برای تست نفوذ و هک اخلاقی استفاده میشوند]. در پی این حادثه شرکت فایرآی وارد عمل شده و این ابزارها را در یک ریپازیتوری گیتهاب منتشر کرد، تا باقی شرکتهای تامینکنندهی خدمات و تجهیزات امنیتی بتوانند با استفاده از آن، تمهیدات لازم را برای جلوگیری از استفاده از این ابزارها توسط مهاجمین احتمالی در نظر بگیرند.
این نفوذ اطلاعاتی به یک عامل تهدید وابسته به یک کشور نسبت داده شده است، به همین خاطر برآورد ما این است که این ابزارها بهطور وسیع و افسارگسیخته [توسط مهاجمان] مورد سواستفاده قرار نخواهند گرفت؛ با این حال فورتینت با بهرهگیری از اطلاعاتی که شرکت فایرآی تامین کرده، قادر بوده [اقدامات لازم را انجام دهد] و از عدم سواستفاده از این ابزارها [برای حمله به سرویسگیرندگان خود] اطمینان حاصل کند.
مقابله با تهدیدات
هیچکدام از تهدیداتی که اعلام شده توسط ابزارهای ذکرشده هدف قرار داده میشوند از نوع زیرو-دی نبودهاند، به همینخاطر آزمایشگاههای فورتینت در زمان اطلاعرسانیهای انجامشده [توسط فایرآی]، اقدامات لازم را برای پوشش CVEهای زیر را از قبل انجام داده بود:
تمهیدات بیشتر برای مقابله با تهدیدات
یکی از آسیبپذیریهایی که [توسط این ابزارها] هدف قرار داده میشود، یک آسیبپذیری در محصولات فورتینت است که بیش از ۱۸ ماه پیش حل شده است. ما بدینوسیله مجددا بر اهمیت پیادهسازی اقدامات لازم برای مقابله با این تهدید تاکید میکنیم؛ این مساله در توصیهنامهی اصلی FG-IR-18-384/CVE-2018-13379 ذکر شده است.
در نظر گرفتن و تعبیهی فرایندهای مناسب برای مانیتورکردن آپدیتهای امنیتی منتشرشده برای تمامی محصولات و برنامههایی که استفاده میکنید، وهمچنین اقدام سریع هنگام اطلاعرسانی چنین آسیبپذیریهایی، اهمیتی حیاتی دارد؛ بهخصوص برای سرویسهایی که روبه اینترنت (Internet Facing) هستند.
فورتینت برای تسهیل این فرایند، فرایند اطلاعرسانی ماهانه نسبت به آسیبپذیریها را آغاز کرده و برای مشتریان یک روز در ماه را مشخص کرده که طی آن، روی آسیبپذیریهای فوریتر تمرکز کنند. در اینجا میتوانید جزییات مربوط به نحوه دریافت بهروزرسانیهای ماهانه و بهروزرسانیهای حیاتی خارج از برنامه را ببینید.
برای مشاهدهی سیاست PSIRT فورتینت و گزارشکردن یک آسیبپذیری، صفحهی سیاست PSIRT فورتینت را ببینید.