روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مایکروسافت می‌گوید رخداد اسکرین آبیِ ناشی از آپدیت راهکار امنیتی CrowdStrike Falcon باعث شد بیش از 8.5 میلیون کامپیوتر در سراسر جهان قطع شود. این رخداد بهای سنگینی برای شرکت‌ها داشت و همچنین کلی بحث سر شیوه جلوگیری از موقعیت‌های مشابه درصورت بروز مجدد این اتفاق در آینده پیش آمد. اول از همه اینکه کسی از خطا ایمن نیست و صرفاً محال است نبود باگ را در سیستم‌های نرم‌افزاری پیچیده تضمین داد. با این همه پروسه‌ای با ساختار درست برای توسعه، تست و ارائه محصول و آپدیت‌هایش برای دستگاه‌های کاربری می‌تواند بطور قابل‌ملاحظه‌ای ریسک خرابی جدی را کاهش دهد. و ما سرسختانه و سال‌ها این فرآیند را در اختیار داشته‌ایم. ما نیز رخدادهایی داشتیم مرتبط با آپدیت‌های محصولاتمان اما آخرین بار که به چنین مشکل بزرگی برخوردیم به سال 2013 برمی‌گردد.

بعد از آن سویه تاریک که تجربه کردیم، تحلیل ریشه‌ای روی علت اصلی انجام دادیم و همین منجر شد به بازنگری کامل روی رویکردمان در ساخت و تست آپدیت‌ها هم در محصولات تجاری و هم کاربران خانگی. و سیستمی که ساختیم حالا خود را بسیار قابل‌اطمینان جلوه داده و آن را به همگان ثابت کرده: گواه آن، 11 سالیست که یک خرابی با شدت خرابی 2013 نداشتیم. مکانیزم آپدیت‌های ما بر کسی پوشیده نیست؛ بسیار مایلیم با این صنعت آپدیت‌های خود را به اشتراک بگذاریم. افزون بر این، بدون تبادل رایگان بهترین راهکارهای توسعه‌داده‌شده توسط شرکت‌های مختلف، پیشرفت در صنعت امنیت سایبری بسیار کند خواهد بود. از میان مکانیزم‌های اصلی آپدیت می‌توانیم به تست چندسطحی، عرضه تدریجی آپدیت‌ها و نظارت خودکار ناهنجاری‌ها اشاره کنیم. بگذارید کمی بیشتر به این‌ها بپردازیم:

تست چندسطحی

دو نوع به‌روزرسانی برای محصولات ما وجود دارد - برخی برای افزودن منطق تشخیص جدید و برخی برای تغییر عملکرد یک محصول خاص استفاده می‌شوند. افزودن توابع جدید به طور بالقوه خطرات بیشتری را اضافه می‌کند، اما گاهی اوقات به روز رسانی منطقی نیز می‌تواند مشکلاتی را ایجاد کند. بنابراین، ما هر دو نوع به روز‌رسانی را در مراحل مختلف به دقت آزمایش می‌کنیم.

چک کردن مثبت کاذب‌ها

هنگام ایجاد و انتشار قوانین تشخیص (هم آنهایی که به طور خودکار تولید  و هم آنهایی که توسط تحلیلگران نوشته می‌شوند)، آنها را روی یک پایگاه داده گسترده از اشیاء قانونی (یا "تمیز") آزمایش می‌کنیم - فایل ها، صفحات وب، الگوهای رفتاری و غیره. به این ترتیب، موارد مثبت کاذب شناسایی و فیلتر می‌شوند. ما مجموعه‌ای گسترده و دائماً به روز شده از اشیاء قانونی - هم نرم افزار و هم منابع وب تمیز - داریم که همه قوانین ایجاد شده روی آنها آزمایش می‌شوند.یکی از راه‌هایی که این مجموعه دوباره پر می‌شود، از طریق برنامه لیست مجاز ما است، که به توسعه‌دهندگان نرم‌افزار (هم مشتریانی که راهکارهای خود را توسعه می‌دهند و استفاده می‌کنند و هم فروشندگان مستقل) اجازه می‌دهد تا نرم‌افزار خود را در اختیار ما قرار دهند. این باعث کاهش تعداد موارد مثبت کاذب بالقوه و خطر طبقه بندی نادرست نرم افزار می شود. روش‌های دیگر برای به دست آوردن فایل‌ها و ابرداده‌ها شامل تبادل اطلاعات با شرکای فناوری، استفاده از پورتال اطلاعاتی تهدیدهای ما و غیره است. در مجموع، پایگاه داده ما از اشیاء قانونی حاوی اطلاعاتی در مورد حدود 7.2 میلیارد شیء است.

تست ماشین‌های مجازی

اما آزمایش به روزرسانی به بررسی آنها به مجموعه فایل‌ها محدود نمی‌شود. اگر در مرحله اول مشکلی تشخیص داده نشد، تمام اجزای به روز شده در ماشین‌های مجازی با پیکربندی‌های مختلف محصولات امنیتی، نرم افزار و سیستم عامل تحت آزمایش خودکار چند مرحله‌ای قرار می‌گیرند. سناریوهای مختلفی در رابطه با محصولات ما و عملکرد مکانیزم‌های امنیتی و همچنین تقلید از اقدامات معمول کاربر اجرا می شود. با توجه به سناریوهای محصول، این موارد شامل اسکن سیستم فایل، فرآیند نصب به‌روزرسانی محصول، راه‌اندازی مجدد پس از به‌روزرسانی و غیره می‌شود. این به ما امکان می‌دهد مطمئن شویم محصول پس از به روز رسانی به طور عادی کار می‌کند، نه خراب می‌شود و نه بر پایداری سیستم تأثیر می‌گذارد. هر به روز رسانی از طریق این بررسی انجام می‌گردد. آپدیت‌ها به طور جداگانه برای سازگارپذیری با نرم‌افزارهای صنعتی (برای مثال سیستم‌های SCADA) تست می‌شوند. هر اثر منفی روی راهکارهای مرتبط با این بخش ممکن است به توقف غیرقابل‌پذیرش فرآیندهای تولید منجر شده و آسیب احتمالی مالی را به همراه داشته باشد.

کنترل کیفی

علاوه بر بررسی‌های ذکر شده، یک تیم کنترل کیفیت مجزا نیز داریم. حتی یک نسخه به روزرسانی محصول بدون تأیید آمادگی آن توسط کارشناسان به مشتریان ما تحویل داده نمی‌شود. همچنین در صورت لزوم فرآیندهای راستی‌آزمایی را تعدیل و به طور مداوم بهبود می بخشد و ظهور ریسک‌های عملیاتی احتمالی را نظارت می‌کند. سناریوهای کاربر رفتار معمولی انسان را در رایانه شبیه‌سازی می‌کنند - باز کردن یک مرورگر، بازدید از یک صفحه وب، دانلود یک فایل، راه‌اندازی یک برنامه. این بررسی به ما امکان می‌دهد مطمئن شویم محصول تأثیر منفی بر عملکرد، سرعت کار یا پایداری رایانه ندارد.

انتشار فازبندی‌شده‌ی آپدیت‌های فناوری‌های پیشگیرانه

البته، ما واقع‌گرا هستیم و می‌پذیریم که کل این سیستم چند سطحی چک ممکن است هنوز کافی نباشد. به عنوان مثال، برخی از نرم‌افزارهای طرف‌سوم همزمان با نرم‌افزار ما به‌روزرسانی می‌شوند و این ممکن است باعث درگیری پیش‌بینی نشده شود. و به طور کلی، پیش بینی تمام ترکیبات پیکربندی برنامه‌ها و سیستم های مختلف غیرممکن است. بنابراین، پس از آماده شدن و تأیید به‌روزرسانی مؤثر بر عملکرد راهکارهای امنیتی، به یکباره به رایانه‌های همه کاربران ما ارسال نمی‌شود. در عوض، به روز رسانی‌ها به صورت مرحله‌ای یا فازبندی‌شدهمنتشر می‌شوند. به‌روزرسانی قبل از انتشار در سرورهای به‌روزرسانی عمومی، تحت آزمایش اولیه روی ماشین‌های شبکه خودمان قرار می‌گیرد. اگر مشکلی تشخیص داده نشود، به روز رسانی ابتدا توسط تعداد بسیار کمی از کاربران به طور تصادفی انتخاب شده دریافت می‌شود. چنانچه مشکل یا خرابی ظاهر نشود، تعداد رایانه‌هایی که به‌روزرسانی را دریافت می‌کنند به تدریج در بازه‌های زمانی مشخص افزایش می‌یابد و تا زمانی که به‌روزرسانی در دسترس همه کاربران قرار گیرد این ادامه خواهد داشت.

نظارت خودکار ناهنجاری

بنابراین اگر به روزرسانی مشکلی ایجاد کند چه اتفاقی می‌افتد؟ ما رفتار راهکارهای به‌روزرسانی شده را با استفاده از داده‌های ناشناس ارسال شده داوطلبانه از طریق KSN خود نظارت و در صورت بروز مشکل، توزیع به‌روزرسانی را فوراً متوقف می‌کنیم. اما مهمتر از همه، به لطف ترکیبی از نظارت بر ناهنجاری خودکار و انتشار مرحله‌ای به‌روزرسانی‌ها، یک خطا تنها بر تعداد بسیار کمی از رایانه‌ها تأثیر می‌گذارد - صدها، نه میلیون‌ها یا حتی هزاران رایانه.

تست آپدیت‌ها از سمت کلاینت

شرکت ما می‌گذارد آپدیت‌های دریافتی باری دیگر بررسی شوند؛ این بار از سمت کلاینت و از طریق کنسول مدیریت Kaspersky Security Center. ادمین‌های سیستم کلاینت می‌توانند گروه تست ایزوله روی کامپیوترها (یا ماشین‌های مجازی) اجرا کنند؛ کامپیوترهایی با شبیه‌ترین پیکربندی و مجموعه نرم‌افزار برای شبکه سازمان و بعد ایجاد تسک برای چک کردن آپدیت‌ها (با شرح تست گروهی به عنوان تارگت). در این سناریو، همه آپدیت‌های دریافتی اول فقط روی ماشین‌های تحت آزمایش نصب شده؛ در حال عمل تست می‌شوند و تازه بعد از این است که در کل شبکه سازمانی اجازه توزیع دارند. ما به طور کامل تک تک مشکلات مربوط به به‌روزرسانی‌های نرم‌افزاری را که ممکن است ایجاد شوند (از جمله موارد شناسایی شده در آزمایش‌های اولیه) تجزیه و تحلیل می‌کنیم، به دلایل وقوع آنها پی می‌بریم و سپس اقداماتی را برای اطمینان از تکرار نشدن آنها انجام می‌دهیم. علاوه بر این، روشی را برای شناسایی و ارزیابی پیشگیرانه خطرات برای مشکلات احتمالی و رسیدگی سیستماتیک به آنها اجرا کرده ایم. نتیجه انجام این کار در تمام طول عمر شرکت، سیستمی چند سطحی شده با امکان کاهش قابل توجه خطر بروز مشکلات جدید. البته، فقط در یک پست وبلاگ نمی‌توان همه چیز را در مورد تمام تفاوت‌های ظریف سیستم چند سطحی ما برای بررسی به‌روزرسانی‌های محصول به شما گفت. با این حال، اگر این موضوع باعث علاقه در صنعت امنیت سایبری شود، آماده‌ایم تا جزئیات را به اشتراک بگذاریم. تنها همکاریِ عیانِ همه بازیگران در حوزه امنیت اطلاعات می‌تواند مانعی موثر در برابر اقدامات مجرمان سایبری ایجاد کند.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.