اشتراک مقالات

بررسی آینده داده های امنیتی Red Hat

149 مشاهده 0 1 مرداد, 1402

امنیت Red Hat

داده های امنیتی Red Hat منبعی اصلی و معتبر در مورد آسیب پذیری های منتشر شده و شناخته شده می باشد. در دسترس بودن اطلاعات دقیق در داده‌های امنیتی می‌تواند به ارائه فرآیند ارزیابی ریسک صحیح در برنامه‌هایی که در آن مدیریت آسیب‌پذیری کاربران در نظر گرفته می شود کمک کرده، تا بیشتر به اولویت‌بندی آسیب‌پذیری های موجود توجه کرد.

با نقص‌های نرم‌افزاری جدید، آسیب‌پذیری‌ها که با شناسه‌های CVE شناخته شده هستند و سوء استفاده‌هایی که روزانه منتشر می‌شوند، اطلاعات آسیب‌پذیری تقریباً بلافاصله در دسترس همه، از جمله کاربران و مهاجمان است. بر اساس گزارش‌های مختلف ریسک، از جمله گزارش ریسک امنیت محصول Red Hat، حجم آسیب‌پذیری‌ها با شناسه CVE هستند از سال 2021 تا 2023 سال به سال 25 درصد رشد داشته است. با توجه به این اعداد، آشکار می‌شود که” رویکرد اصلاح همه چیز غیرواقعی است، زیرا در درجه اول فقط بیش از 4 درصد از آسیب پذیری های منتشر شده یک خطر واقعی برای سازمان ها هستند.

پس بهترین رویکرد برای مدیریت آسیب‌پذیری چیست؟ مهمترین قدم اول ایجاد درک خوب از آسیب پذیری های نرم‌افزار و چگونگی برآورد صحیح ریسک واقعی است. برای انجام یک ارزیابی ریسک خوب، استفاده از داده های امنیتی منبع دقیق ضروری می باشد.

تغییرات آتی در امنیت Red Hat

طی سال‌ها، Red Hat بیشتر داده‌های آسیب‌پذیری را با استفاده از فرمت‌های داده OVAL و CVRF برای ارائه اطلاعات امنیتی منتشر کرده است. با این حال، مانند هر چیز دیگری، چشم‌انداز داده‌های امنیتی دائماً در حال تغییر  بوده و انجام تنظیمات و بهبودها برای مطابقت با استانداردهای جدید صنعت و نیازهای کاربر ضروری می باشد.

فرمت های جدید داده های امنیتی Red Hat

CSAF-VEX

توصیه های امنیتی در قالب CSAF به عنوان نسخه بتا شناخته می شود و این جایگزین رسمی فرمت قدیمی CVRF بوده و تمام توصیه‌های منتشر شده برای عموم در دسترس می باشد. نسخه تولیدی فایل‌های CSAF از نمایه VEX برای بیان اینکه کدام مؤلفه‌های یک محصول خاص برای رفع یک CVE خاص بوده و کدام مؤلفه‌ها تحت تأثیر آن CVE قرار نمی‌گیرند، استفاده می‌کند.

به عنوان گام بعدی در بهبود داده‌های امنیتی Red Hat، کل نمایه VEX توسط فایل‌های VEX جداگانه پوشش داده می‌شود که به زودی برای هر CVE منتشر خواهند شد. با انجام این کار، تمام وضعیت های تعریف شده توسط نمایه VEX را پوشش داده خواهند شد.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور    تماس با کارشناسان 021-88539044-5

بیشتر بخوانید: پشتیبانی قوی از داده های سازمان با پلتفرم اتوماسیون Red Hat Ansible

وضعیت هایی که با VEX  نمایش داده می شود.

ثابت: با ارتباط دادن به CSAF-VEX منتشر می شود.

تحت تأثیر شناخته شده: تأیید اینکه داده تحت تأثیر یک CVE خاص قرار گرفته است.

شناخته شده بدون تأثیر: تأیید اینکه داده تحت تأثیر یک CVE خاص قرار نگرفته است.

• در حال بررسی: اطلاعاتی مبنی بر اینکه تیم امنیت محصول Red Hat در حال بررسی کاربرد و تأثیر آن یک CVE خاص برای یک محصول و مؤلفه خاص است.

هدف اصلی VEX در قالب CSAF این است که به کاربران این امکان را می‌دهد که ادعا کنند  که ایا آسیب‌پذیری‌های خاص بر یک محصول تأثیر می‌گذارند یا خیر، و اگر تحت تأثیر قرار می‌گیرند، وضعیت اصلاح چگونه است.

هنگامی که توصیه‌های CSAF اجزای ثابت و شناخته شده بدون تأثیر را در یک نسخه محصول خاص پوشش می‌دهد، فایل‌های VEX از طریق چهار وضعیت ذکر شده در بالا کاربرد یک CVE خاص را برای همه مؤلفه‌های مرتبط برای همه پیشنهادها Red Hat پوشش می‌دهند. بنابراین، تفاوت کلیدی بین فایل‌های CSAF و VEX در این است که CSAF دو وضعیت تثبیت شده و تحت تأثیر قرار نگرفته را برای یک محصول خاص پوشش می‌دهد، در حالی که فایل‌های VEX همه وضعیت‌ها را برای همه محصولات در یک فایل برای هر CVE پوشش می‌دهد و در نهایت فایل های VEX تحت یک مسیر URL جداگانه منتشر می شوند.

بیشتر بخوانید: جزئیات استراتژی کانتینر Red Hat

SBOM یا Software Bill Of Materials

Red Hat همچنین شروع به انتشار فایل‌های SBOM مربوط به پیشنهادها اصلی Red Hat کرده است. SBOM یک فهرست جامع و قابل خواندن از طریق ماشین از اجزا و وابستگی های نرم‌افزار با اطلاعات مجوزدار کرده است. فایل‌های SBOM به ایجاد بررسی برای تدارکات و ممیزی آنچه در مجموعه‌ای از برنامه‌ها/کتابخانه‌های نرم‌افزاری وجود دارد کمک می‌کند. همچنین همراه با VEX، به سازمان ها کمک می کنند تا فرآیند ارزیابی ریسک آسیب پذیری خود را برطرف نمایند. آنها با هم اطلاعاتی را در مورد جایی که ممکن است یک خطر بالقوه وجود داشته باشد و وضعیت فعلی آن در برابر آسیب‌پذیری‌ها یا سوءاستفاده‌های شناخته شده ارائه می‌کنند.

در حال حاضر، بحث های زیادی در مورد اینکه اسناد SBOM باید شامل چه مواردی باشد، وجود دارد. انواع مختلف SBOM و همچنین راه های مختلفی برای توزیع آنها پیشنهاد شده است. حال حاضر، فایل‌های SBOM منتشر شده توسط Red Hat به عنوان نسخه‌های بتا برای آزمایش  در نظر گرفته می‌شوند.

روابط داده بین CSAF ،VEX و SBOM

هنگامی که SBOM به شناسایی مکان اجزای بالقوه تحت تأثیر کمک می کند، فایل های VEX به کاربران کمک می کند تا دریابند که آیا تحت تأثیر آسیب پذیری خاصی قرار گرفته اند یا خیر. VEX اطلاعات لازم را برای انجام ارزیابی ریسک با ارائه ابرداده‌های ریسک مانند رتبه‌بندی شدت Red Hat، معیارهای Red Hat CVSS یا توصیه‌های Red Hat CSAF ارائه می‌کند که منجر به رویکرد مؤثرتری برای اصلاح اولویت‌بندی­شده  و کاربران می‌توانند روی مواردی تمرکز کنند که واقعا مهم است.

نمودار بالا نشان می‌دهد که فایل‌های CSAF نمایش‌هایی از انتشار یک محصول به همراه CVE‌ها و اجزایی که ارسال می‌کند به کاربران اجازه می‌دهد تا SBOM خود را فراتر از انتشار اولیه آن به‌روز نگه دارند. فایل های SBOM اسناد ثابتی هستند که حاوی لیستی از اجزای یک نسخه خاص از یک محصول می باشند. به عنوان مثال، نسخه RHEL 9.2 دارای یک SBOM همراه است که تمام اجزای ارسال شده به طور پیش فرض در آن نسخه را فهرست می کند. هرگونه توصیه امنیتی منتشر شده پس از RHEL 9.2 بسته‌های خاص را به‌روزرسانی و اطلاعاتی در مورد ارتقاء مؤلفه‌هایی که در نسخه 9.2 GA عموماً در دسترس را ارائه می‌کند.

به عنوان مثال، یک فایل VEX از یک CVE-2099-1000 فرضی حاوی اطلاعاتی در مورد اینکه آیا RHEL 9.2 تحت تأثیر آسیب پذیری ردیابی شده توسط این CVE قرار می گیرد یا خیر.

 به طور کلی، قالب داده OVAL برای پشتیبانی از همه الزامات جدید برای اسکن امنیتی در محصولات کانتینری با محتوای غیر RPM یا نمایش محصولات و محدوده‌های نسخه مؤلفه‌ها کافی نیست. قالب‌های داده‌ای که اخیراً توسعه یافته‌اند، برای پشتیبانی از داده‌های امنیتی انعطاف‌پذیر و کاملاً تعریف‌شده برای تبادل اطلاعات امنیتی کارآمدتر و به روشی استاندارد مناسب‌تر هستند. به همین دلیل است که Red Hat پشتیبانی OVAL v2 را به نفع معرفی این فرمت‌های داده جدید متوقف کرده است.

تغییرات در فایل‌های داده‌های معیارهای سفارشی

Red Hat معیارهای مختلفی داده‌ای را برای تجزیه و تحلیل امنیتی منتشر می‌کند. همراه با معرفی قالب‌های جدید داده‌های امنیتی، انتشار برخی از این داده‌ها که به عنوان معیار در نظر گرفته می شدند متوقف شده است. این منسوخ شدن برای ارائه داده‌های دقیق تردر تمام قالب‌های داده موجود، مانند فایل‌های CSAF-VEX، ضروری می باشد.

آینده داده های امنیتی Red Hat

داده‌های امنیتی ما باید به طور مستمر برای مطابقت با استانداردهای جدید صنعت و نیازهای کاربر تکامل یابد. کاربران باید به‌راحتی به تمام داده‌های امنیتی برای ارزیابی دقیق ریسک دسترسی پیدا کنند تا بتوانند اقدامات لازم را برای کاهش یا اصلاح آسیب‌پذیری‌ها در خدمات خود انجام دهند. به همین دلیل است که داشتن داده‌های امنیتی دقیق، شفاف و دقیق حیاتی است.

برچسب ها : تعریف Red Hatلینوکس Red Hatامنیت Red Hatدرباره Red Hatراه اندازی Red HatRed Hat چیستمشکلات Red Hatاجرای Red Hatاجزای Red HatRed Hat Enterprise Linuxامکانات Red HatRed Hat Ansibleپلتفرم  OpenShift Red Hat Containerبررسی Red Hatقابلیت Red Hat OpenStackred hatبه روزرسانی Red Hatقابلیت های کانتینر Red Hatپیاده سازی Red Hatکانتینر لینوکس Red Hat

مطلب مفید بود؟

 
بیشتر بخوانید