نحوه طبقه‌بندی باگ‌های امنیتی ویندوز در دو سند جدید مایکروسافت فاش شد

    کد خبر :367521

مایکروسافت با انتشار دو سند جدید، نحوه‌ی طبقه‌بندی و الویت‌بندی باگ‌های امنیتی ویندوز را به تفصیل توضیح داد.

مرکز پاسخگویی امنیت مایکروسافت (Microsoft Security Response Center) با انتشار دو سند، به‌تفصیل در مورد روش‌های طبقه‌بندی و مشخص کردن نحوه‌ی الویت‌بندی و رسیدگی به‌ باگ‌های امنیتی ویندوز این شرکت توضیح داد.

مایکروسافت با انتشار دو سند، رویکردهایی را در مقابل باگ‌های امنیتی ویندوز توسط کارمندان این شرکت در پیش گرفته می‌شود، برای عموم فاش کرد. بی‌شک باگ‌های امنیتی مختلف ویندوز به روش خاصی طبقه‌بندی شده و با توجه به حساسیت آنها، در الویت بررسی قرار می‌گیرند. این دو سند جدید منتشر‌شده از سوی مایکروسافت، نحوه‌ی رسیدگی به این باگ‌های امنیتی را آشکار می‌کنند.

سند منتشر‌شده از سوی مایکروسافت، حاصل تلاش یک‌ساله‌ی مرکز پاسخگویی امنیت مایکروسافت موسوم به MSRC است. این دپارتمان، باگ‌های امنیتی را دریافت، مدیریت و ساماندهی می‌کند و با توجه به الویت، به آنها رسیدگی می‌کند.

پیش‌نویس دو سند، در ماه ژوئن برابر با خردادماه سال جاری، به‌منظور گرفتن بازخورد از جامعه‌ی تحقیقاتی و دست‌اندرکاران صنعت امنیت، منتشرشد. نسخه‌ی منتشر‌شده‌ی فعلی، نسخه‌ی نهایی دو سند است که نسبت به نسخه‌ی قبلی اصلاح‌ شده و اطلاعات بیشتری را به‌اشتراک می‌گذارد. اولین سند منتشر‌شده از سوی مایکروسافت، «مولفه‌های سرویس امنیت مایکروسافت برای ویندوز» یا «Microsoft Security Servicing Criteria for Windows» نام دارد. این سند، حاوی اطلاعاتی درباره‌ی انواع مختلف ویژگی‌های ویندوز است که معمولا از طریق به‌روزرسانی‌های امنیتی موسوم به پچ روز سه‌شنبه ارائه می‌شود. این سند مشخص می‌کند که چه باگ‌هایی هنوز در مرحله‌ی توسعه‌ی بعدی ویندوز باید توسط تیم تحقیقاتی مورد توجه قرار گیرند تا در به‌روزرسانی دوسالانه‌ی ویندوز به آن رسیدگی شود. این سند، دارای سه طبقه‌بندی اصلی است: محدوده‌ها و مرزهای امنیتی، ویژگی‌های امنیتی و ویژگی‌های امنیتی دفاعی عمیق.

مرزها و محدوده‌های امنیتی مربوط به زمانی است که از نظر مایکروسافت، دسترسی به داده‌ها به‌صورت صریح اتفاق می‌افتد و نقض امنیت به‌صورت واضح و صریح دیده می‌شود. برای مثال، وقتی گزارشی در مورد فرآیند ورود کاربری غیر از ادمین به سیستم ویندوز گزارش می‌شود، دسترسی به حالت کرنل یا داده‌ها به‌عنوان ورود غیرمجاز به مرزها و محدوده‌های امنیتی محسوب می‌شود و نقض صریح و واضح امنیت است. مایکروسافت، ۹ حوزه‌ی مختلف را برای این محدوده‌ها و مرزها در نظر گرفته است که شامل شبکه، هسته، پردازش، AppContainer جعبه شنی اپلیکیشن یا AppContainter Sandbox، کاربر، سِشِن، مرورگر وب، ماشین مجازی و محدوده‌ی Virtual Secure Mode می‌شوند.

ویژگی‌های امنیتی باید بتوانند مانع بروز باگ‌‌های مختلف امنیتی در برنامه‌ها و سیستم‌عامل شوند. چنین باگ‌هایی عموما از طریق بیت‌لاکر (BitLocker)، ویندوز دیفندر (Windows Defender) و Secure Boot و چنین برنامه‌های گزارش می‌شوند. گزارش‌های مربوط به چنین باگ‌هایی عموما در الویت قرار دارند و جزو مواردی هستند که تیم مایکروسافت تلاش می‌کند تا در به‌روزرسانی پچ‌های امنیتی خود، زودتر به آنها رسیدگی کند.

دسته سوم، یعنی ویژگی‌های امنیتی دفاعی عمیق، سیسم یا تکنولوژی امنیتی است که نسبت به دسته‌ی اول از درجه‌ی اهمیت کمتری برخوردار است و نیاز به رسیدگی سریع و فوری ندارد.

ویژگی‌های امنیتی دفاعی عمیق شامل موارد ذیل می‌شود:

ویژگی کنترل حساب کاربری یا UAC
AppLockert
Address Space Layout Randomization یا ASLR
Control Flow Guard یا CFG

گزارش های مربوط به باگ‌های امنیتی دفاعی عمیق عموما در به‌روزرسانی پچ امنیتی مورد توجه قرار نمی‌گیرد؛ ولی تیم مایکروسافت رسیدگی به این باگ‌ها را در دستور کار خود قرار می‌دهد. امکان توضیح‌دادن تمام موارد اسناد منتشرشده از سوی مایکروسافت در این مقاله وجود ندارد. در اینجا تنها می‌توانیم برخی نکات مهم دو سند مایکروسافت را مطرح‌ کنیم.

سند دوم منتشرشده از سوی مایکروسافت، یک فایل پی‌دی‌اف است که روش این شرکت را در طبقه‌بندی و الویت‌بندی باگ‌ها مشخص می‌کند. مایکروسافت در این سند مشخص‌ کرده است که کدام باگ‌ها به‌عنوان باگ‌های بحرانی، کدام به‌عنوان باگ‌های مهم و کدام‌یک باگ‌های متوسط از نظر درجه‌ی اهمیت قلمداد می‌شوند. یک دسته هم باگ‌های ضعیف و غیر مهم هستند که خطر کمی در سیستم ایجاد می‌کنند. برای مثال، اگر باگ مربوط به دسترسی غیر‌مجاز به سیستم و فایل باشد و متجاوز بتواند داده‌هایی را به سیستم اضافه کند، این باگ امنیتی بحرانی و خطرناک محسوب می‌شود و باید سریع به آ‌ن رسیدگی شود؛ ولی ری‌استارت شدن برنامه در اثر باگ، از اهمیت پایین‌تری برخوردار است.

مایکروسافت طی سال‌های‌ گذشته، بارها مورد انتقاد قرار گرفته است که چرا نسبت به برخی باگ‌ها اهمیت چندانی نشان نمی‌دهد و آنها را حل نمی‌کند. شاید برخی از این باگ‌ها جزو گروه بی‌خطر یا کم‌اهمیت بوده‌اند.

سند دوم منتشر‌شده از سوی مایکروسافت همه چیز را به‌خوبی روشن و شفاف می‌کند. محققان حوزه‌ی امنیت، رسانه‌ها، مدیران سیستم و کاربران معمولی با مطالعه‌ی این سند می‌توانند با نحوه‌ی طبقه‌بندی و الویت‌بندی باگ‌ها از سوی مایکروسافت آشنا شوند. البته مرکز MSRC نیز همانند هر شرکت و سازمانی، تا حدی می‌تواند اطلاعات را در اختیار عموم قرار دهد. این اسناد می‌تواند اطلاعات خوبی در اختیار انجمن‌ها و نهادهای امنیت اطلاعات قرار دهد تا با نحوه‌ی الویت‌بندی و طبقه‌بندی باگ‌ها در مایکروسافت آشنا شوند. مایکروسافت اعلام کرد:

بی‌شک این دو سند به‌مرور زمان کامل‌تر خواهد شد و مایکروسافت آماده‌ی مذاکره و همکاری با جامعه‌ی امنیتی درخصوص موارد مطرح‌شده در اسناد منتشر‌شده‌ است.

0
نظرات
نشانی ایمیل شما منتشر نخواهد شد نظرات حاوی الفاظ و ادبیات نامناسب، تهمت و افترا منتشر نخواهد شد

دیدگاهتان را بنویسید