پوریا رضاتبار بالانقیبی

تداوم به‌روزرسانی امنیتی زیرساخت‌های دیجیتال

قطع یا محدودسازی اینترنت بین‌المللی، حتی اگر اینترنت داخلی و سرویس‌های بومی فعال بماند، فقط یک تغییر در دسترسی کاربران نیست، بلکه یک تغییر در وضعیت امنیتی کل کشور، سازمان‌ها و خانواده‌هاست. امنیت سایبری امروز بر یک اصل ساده اما سختگیرانه بنا شده است: هر دارایی دیجیتال تا وقتی به شکل منظم و قابل اعتماد به‌روزرسانی امنیتی دریافت می‌کند قابل دفاع است، و وقتی این چرخه متوقف شود حتی بهترین تجهیزات دفاعی نیز به مرور به یک لایه نمایشی تبدیل می‌شوند. علت این موضوع، سرعت بالای کشف آسیب پذیری‌ها، انتشار عمومی کدهای بهره برداری، و صنعتی شدن حملات است. مهاجم برای موفقیت لازم نیست نابغه باشد، کافی است از آسیب پذیری‌های وصله نشده و تنظیمات قدیمی استفاده کند.

این مقاله با عنوان غیرسیاسی و فنی، به صورت کاربردی توضیح می‌دهد چرا اینترنت داخلی به تنهایی جایگزین اینترنت جهانی برای «به‌روزرسانی امنیتی» نیست، چه بخش‌هایی دقیقاً از کار می‌افتند، و چگونه می‌توان در مدل همزیستی اینترنت داخلی در کنار اینترنت بین‌المللی، ریسک را به شکل واقعی کاهش داد. متن طوری نوشته شده که هم برای مخاطب عمومی قابل فهم باشد و هم برای مدیران فناوری اطلاعات و امنیت، از سطح مبتدی تا پیشرفته، نکته عملی داشته باشد.

به‌روزرسانی امنیتی دقیقاً چیست و چرا حیاتی است  

به‌روزرسانی امنیتی فقط نصب یک نسخه جدید ویندوز یا یک آپدیت برنامه نیست. به‌روزرسانی یعنی بستن «راه‌های شناخته شده ورود» که در قالب آسیب پذیری‌ها ثبت می‌شوند و برایشان وصله ارائه می‌شود. این وصله‌ها ممکن است برای سیستم عامل، مرورگر، کتابخانه‌های مشترک، درایورها، سرویس‌های شبکه، برنامه‌های سازمانی، و حتی فریمور سخت افزار باشد. در کنار وصله‌ها، به‌روزرسانی‌های امنیتی شامل داده‌های دفاعی نیز هست، مثل امضاهای بدافزار، قوانین تشخیص رفتاری، فهرست‌های دامنه و فایل‌های مخرب، به‌روزرسانی پایگاه داده ضد فیشینگ، و اصلاحات سریع برای حملات روز.

وقتی اینترنت بین‌المللی قطع می‌شود، دو اتفاق همزمان رخ می‌دهد. اول، دریافت وصله‌ها کند یا متوقف می‌شود. دوم، مهاجم می‌داند بخش بزرگی از اهداف، قدیمی مانده‌اند و این خود باعث افزایش انگیزه و افزایش حجم حمله می‌شود، چون نرخ موفقیت بالا می‌رود.

زنجیره اعتماد به‌روزرسانی چرا جهانی است  

اکثر به‌روزرسانی‌های معتبر در جهان با یک زنجیره اعتماد دیجیتال توزیع می‌شوند. فایل وصله یا بسته نرم افزاری با کلید سازنده امضا می‌شود، روی زیرساخت‌های توزیع قرار می‌گیرد، و دستگاه شما هنگام نصب، امضا و سلامت فایل را بررسی می‌کند. این فرآیند فقط دانلود یک فایل نیست. دستگاه برای اینکه به این امضا اعتماد کند به مجموعه‌ای از گواهی‌های ریشه و میانی، سرویس‌های بررسی اعتبار گواهی، و گاهی سرورهای زمان دقیق نیاز دارد. اگر دسترسی به این اجزا مختل شود، دو حالت خطرناک ایجاد می‌شود. یا سیستم از نصب خودداری می‌کند و دستگاه وصله نمی‌شود، یا کاربران و مدیران برای ادامه کار، کنترل‌ها را دور می‌زنند و راه را برای نصب فایل‌های دستکاری شده باز می‌کنند.

چرا آنتی ویروس بدون اینترنت بین‌المللی به مرور تضعیف می‌شود  

برای مخاطب عمومی، آنتی ویروس مثل یک قفل است، اما این قفل هر روز باید کلیدهای جدید تهدیدها را یاد بگیرد. ضدبدافزارهای امروزی، چه روی رایانه و چه روی سرور، به صورت مداوم امضاها و مدل‌های تشخیص را به‌روزرسانی می‌کنند و بخشی از تصمیم‌گیری را به سرویس‌های ابری می‌سپارند. در قطع اینترنت بین‌المللی، این به‌روزرسانی‌ها یا متوقف می‌شود یا با تأخیر زیاد انجام می‌شود. نتیجه این است که بدافزارهای جدید، مخصوصاً باج افزارها و تروجان‌های بانکی، مدت بیشتری شناسایی نمی‌شوند. از طرف دیگر، برخی محصولات امنیتی وقتی به سرویس ابری وصل نباشند محافظه کارتر می‌شوند و ممکن است فایل‌های سالم را هم مشکوک تشخیص دهند، که برای سازمان‌ها یعنی اختلال عملیاتی و افزایش تماس با واحد فناوری اطلاعات.

برای مدیران امنیت، نکته مهم این است که بسیاری از کنترل‌های مدرن مثل EDR و XDR، برای همبستگی رویدادها، به‌روزرسانی قوانین و دریافت شاخص‌های تهدید به اینترنت نیاز دارند. قطع طولانی باعث کاهش کیفیت دیدپذیری، کاهش سرعت پاسخ، و بزرگ شدن پنجره زمانی نفوذ تا کشف می‌شود.

ویندوز در نبود اینترنت جهانی چه چیزهایی را از دست می‌دهد  

در ویندوز، چند جریان به‌روزرسانی همزمان وجود دارد. وصله‌های ماهانه و اضطراری سیستم عامل، به‌روزرسانی موتور و امضاهای Microsoft Defender، به‌روزرسانی مرورگر و اجزای وب، به‌روزرسانی فهرست گواهی‌های ریشه، و به‌روزرسانی‌های مربوط به درایورها و سازگاری. قطع اینترنت بین‌المللی می‌تواند هر کدام از این‌ها را مختل کند. در عمل یعنی آسیب پذیری‌هایی که عمومی شده‌اند و حتی برایشان ابزار حمله آماده وجود دارد، روی سیستم‌های شما باقی می‌ماند. از منظر سازمانی، وقتی وصله‌ها عقب می‌افتند، هم ریسک نفوذ بالا می‌رود و هم در بازه بعدی، حجم به‌روزرسانی انباشته می‌شود و مدیریت تغییر سخت‌تر می‌شود.

لینوکس و یونیکس و واقعیت مخازن نرم افزاری  

در لینوکس و یونیکس، امنیت به شدت به مخازن رسمی بسته‌ها وابسته است. بسیاری تصور می‌کنند چون لینوکس متن باز است مشکل کمتر می‌شود، اما واقعیت این است که امنیت لینوکس هم به دریافت سریع وصله‌ها وابسته است. آسیب پذیری‌ها فقط در کرنل نیستند، در کتابخانه‌های رمزنگاری، کتابخانه‌های شبکه، ابزارهای فشرده سازی، مفسرهای زبان‌ها، و سرویس‌های عمومی مثل SSH و وب سرورها هم رخ می‌دهند. اگر دسترسی به مخازن رسمی قطع یا ناپایدار شود، دو خطر ایجاد می‌شود. خطر اول قدیمی ماندن سیستم. خطر دوم گرایش به استفاده از مخازن غیررسمی یا بسته‌های دانلودی از منابع نامطمئن، که می‌تواند به آلودگی زنجیره تأمین ختم شود.

برای مدیران سیستم، نکته کلیدی امضای بسته‌هاست. اگر فرآیند واردات بسته‌ها به آینه داخلی دقیق نباشد، احتمال وارد شدن بسته مخرب یا دستکاری شده بالا می‌رود. حتی اگر اینترنت داخلی برقرار باشد، بدون تغذیه مطمئن از منبع اصلی، مخزن داخلی تبدیل به یک نقطه شکست واحد می‌شود.

مک و اکوسیستم اپل  

در مک، به‌روزرسانی‌های امنیتی سیستم عامل، اصلاحات مرورگر، و مکانیزم‌های ضدبدافزار داخلی مانند XProtect و MRT اهمیت عملی دارند. در سازمان‌ها، ابزارهای مدیریت دستگاه و توزیع سیاست‌ها نیز به سرویس‌های اپل وابستگی دارند. اگر مسیرهای جهانی مختل شوند، هم دریافت وصله‌ها عقب می‌افتد و هم مدیریت مرکزی سخت‌تر می‌شود. برای کاربر عمومی، این یعنی کلیک روی یک فایل آلوده یا باز کردن یک صفحه وب مخرب می‌تواند اثر شدیدتری داشته باشد، چون لایه‌های دفاعی قدیمی‌تر می‌مانند.

اندروید و آیفون و مسئله آپدیت چند لایه  

در اندروید، امنیت به چند لایه وابسته است: وصله امنیتی سیستم عامل که معمولاً توسط سازنده گوشی منتشر می‌شود، به‌روزرسانی‌های سرویس‌های پایه که نقش مهمی در امنیت برنامه‌ها و مرورگر داخلی دارند، و به‌روزرسانی خود برنامه‌ها از فروشگاه رسمی. قطع اینترنت بین‌المللی می‌تواند هر سه را مختل کند. نتیجه معمول این است که کاربران با برنامه‌های قدیمی، مرورگر قدیمی، و مؤلفه‌های رسانه‌ای قدیمی می‌مانند، که دقیقاً همان نقاطی هستند که حملات روز از آن‌ها استفاده می‌کنند.

در iOS و iPadOS نیز وصله‌های امنیتی معمولاً یکپارچه و سریع ارائه می‌شود، اما این سرعت وقتی معنا دارد که امکان دریافت پایدار آپدیت وجود داشته باشد. اگر سازمان به مدیریت دستگاه متکی است، اختلال در ارتباط با سرویس‌های مربوطه می‌تواند اعمال سیاست‌های امنیتی، نصب گواهی‌ها، و حتی کنترل دسترسی به داده‌های سازمانی را تضعیف کند.

تلویزیون هوشمند، روتر، مودم، دوربین و دستگاه‌های اینترنت اشیا  

بخش بزرگی از نفوذهای خانگی و حتی سازمانی از جایی شروع می‌شود که کمتر جدی گرفته می‌شود. روتر خانگی، مودم، دوربین مداربسته، دستگاه ضبط تصویر، تلویزیون هوشمند، پرینتر شبکه، و تجهیزات ساده اینترنت اشیا، معمولاً عمر طولانی دارند و کمتر به‌روزرسانی می‌شوند. بسیاری از این دستگاه‌ها فقط از سرورهای سازنده در خارج از کشور به‌روزرسانی می‌گیرند. قطع اینترنت بین‌المللی، این دستگاه‌ها را برای مدت طولانی در وضعیت آسیب پذیر نگه می‌دارد. این دستگاه‌ها می‌توانند به بات نت ملحق شوند، ترافیک شما را شنود کنند، یا نقطه شروع حمله به رایانه و موبایل شما شوند.

صنعت و معدن و کنترل صنعتی و چرا عقب افتادن وصله‌ها هزینه واقعی دارد  

در محیط‌های صنعتی، همیشه یک نگرانی درست وجود دارد: آپدیت کردن ممکن است باعث اختلال تولید شود. اما نداشتن آپدیت، ریسک توقف تولید را به شکل دیگری افزایش می‌دهد. بسیاری از حملات مشهور صنعتی از ترکیب یک رایانه مهندسی یا لپ تاپ آلوده، یک آسیب پذیری وصله نشده، و حرکت جانبی در شبکه داخلی شروع می‌شوند. وقتی اینترنت بین‌المللی قطع شود، دریافت وصله‌های امنیتی برای سیستم عامل‌های صنعتی، نرم افزارهای مهندسی، درایورها، و حتی امضاهای امنیتی ویژه صنعتی دشوار می‌شود. نتیجه، افزایش احتمال نفوذی است که دیر کشف می‌شود و می‌تواند به توقف خط تولید، خرابی تجهیزات، یا دستکاری داده‌های سنسورها منجر شود.

برای مدیران صنعتی، موضوع فقط وصله نیست. بسیاری از فروشندگان تجهیزات، بولتن‌های امنیتی، راهنمای کاهش ریسک، و اصلاحات فریمور را از طریق کانال‌های جهانی منتشر می‌کنند. قطع ارتباط، دسترسی به همین دانش عملیاتی را نیز محدود می‌کند.

تجارت، بازرگانی، بانکداری سازمانی و خطر افزایش تقلب و نفوذ  

در سازمان‌های تجاری، ایمیل، مرورگر، حساب‌های کاربری ابری، نرم افزارهای حسابداری و مالی، سامانه‌های ERP و CRM، و ارتباط با شرکا و تأمین کنندگان، همگی به امنیت نرم افزار و به‌روزرسانی وابسته‌اند. وقتی وصله‌ها عقب می‌افتد، حملات فیشینگ و سرقت حساب کاربری اثربخش‌تر می‌شود، چون مرورگر و سیستم عامل قدیمی‌تر در برابر ترفندهای جدید ضعیف‌ترند. همچنین بسیاری از سامانه‌های پرداخت و احراز هویت، برای ارتباط امن به گواهی‌های معتبر و زمان دقیق متکی‌اند. اختلال در اعتبارسنجی گواهی‌ها یا همگام سازی زمان می‌تواند باعث خطاهای عجیب، قطع سرویس، یا بدتر از آن، پذیرش اتصال ناامن شود.

کشاورزی و دامداری و امنیتی که نامرئی است  

در کشاورزی و دامداری، شاید تصور شود وابستگی به اینترنت جهانی کمتر است، اما واقعیت این است که گوشی‌ها و رایانه‌های مدیریت مزرعه، شرکت‌های پخش نهاده، سامانه‌های سفارش و حمل، و حتی دستگاه‌های هوشمند پایش و کنترل، به همان چرخه به‌روزرسانی وابسته‌اند. وقتی این چرخه مختل شود، احتمال آلوده شدن دستگاه‌های کلیدی بالا می‌رود. آلودگی ممکن است خودش را با پیامد امنیتی نشان ندهد، اما در عمل با اختلال در سفارش، از دست رفتن داده‌های مالی، قفل شدن فایل‌ها توسط باج افزار، یا نشت اطلاعات قراردادها و مشتریان، تبدیل به هزینه مستقیم می‌شود.

مشکل کمتر دیده شده: زمان، DNS، TLS و اعتبارسنجی گواهی  

بخش زیادی از اینترنت مدرن بر TLS بنا شده است، یعنی همان قفل سبز و ارتباط امن. برای اینکه این امنیت واقعاً کار کند، سیستم باید بتواند گواهی‌ها را اعتبارسنجی کند، تاریخ و زمان دقیق داشته باشد، و در مواردی وضعیت ابطال گواهی را بررسی کند. اگر به خاطر محدودیت ارتباطی، زمان دستگاه‌ها به مرور از دقت بیفتد یا بررسی وضعیت گواهی‌ها ناقص شود، دو سناریو رخ می‌دهد. سناریوی اول این است که سرویس‌ها خطا می‌دهند و کاربران کلافه می‌شوند. سناریوی دوم که خطرناک‌تر است این است که کاربران و حتی برخی مدیران برای رفع مشکل، کنترل‌ها را خاموش می‌کنند یا استثناهای گسترده می‌گذارند و عملاً مسیر حمله مرد میانی و جعل سرویس را باز می‌کنند.

ضچرا اینترنت داخلی به تنهایی کافی نیست و همزیستی چه معنایی دارد  

اینترنت داخلی می‌تواند برای ارائه خدمات بومی، پایداری سرویس‌های حیاتی، کاهش هزینه و افزایش تاب آوری مفید باشد، اما امنیت به‌روزرسانی از جنس «محتوا و اعتماد جهانی» است. همزیستی یعنی خدمات داخلی روی مسیرهای داخلی پایدار و پرظرفیت بمانند، و در عین حال مسیرهای کنترل شده، محدود، ثبت شده و امن برای مقاصد مشخص به‌روزرسانی جهانی برقرار باشد. این مسیرهای مشخص شامل سرورهای رسمی به‌روزرسانی سیستم عامل‌ها، مخازن رسمی لینوکس و یونیکس، سرورهای امضا و اعتبارسنجی، و سرویس‌های ضروری مرتبط با امنیت است. در این مدل، هدف باز کردن بی قید و شرط اینترنت نیست، هدف این است که امنیت دیجیتال کشور و سازمان‌ها از قطع کامل خوراک امنیتی آسیب نبیند.

راهکارهای کاربردی برای کاربران عمومی در زمان محدودیت  

کاربر عمومی لازم نیست اصطلاحات تخصصی بداند، اما چند اصل اگر رعایت شود اثر بزرگی دارد. اول، هر زمان دسترسی برقرار است، به‌روزرسانی خودکار سیستم عامل، مرورگر، و برنامه‌ها روشن باشد و به تعویق نیفتد. دوم، روتر و مودم خانگی و تلویزیون هوشمند و دوربین‌ها به‌روزرسانی شوند و اگر دستگاهی سال‌هاست آپدیت نمی‌گیرد بهتر است از شبکه جدا یا تعویض شود. سوم، از نصب برنامه از منابع غیررسمی و فایل‌های ناشناس در دوره قطع ارتباط پرهیز شود، چون در این دوره احتمال توزیع نسخه‌های دستکاری شده بیشتر است و امکان بررسی اعتبار هم کمتر می‌شود. چهارم، پشتیبان گیری آفلاین از فایل‌های مهم انجام شود، چون اگر باج افزار رخ دهد، نبود اینترنت جهانی لزوماً به معنی نبود حمله نیست، اما می‌تواند بازیابی و دریافت ابزارهای پاکسازی را سخت‌تر کند.

راهکارهای عملی برای مدیران فناوری اطلاعات و امنیت، از مبتدی تا پیشرفته  

در سطح پایه، مهم‌ترین کار داشتن موجودی دارایی‌هاست: بدانید چه سیستم عامل‌ها، چه نسخه‌هایی، چه نرم افزارهای کلیدی، و چه تجهیزات شبکه‌ای دارید. بدون موجودی، مدیریت وصله غیرممکن است. سپس یک سیاست وصله تعریف شود که شامل اولویت بندی دارایی‌های حساس، پنجره‌های به‌روزرسانی، آزمون قبل از انتشار، و گزارش گیری از وضعیت وصله‌ها باشد.

در سطح متوسط، باید وابستگی مستقیم کلاینت‌ها به اینترنت بیرونی کاهش یابد اما تغذیه از منبع رسمی حفظ شود. این یعنی استفاده از کش به‌روزرسانی، آینه مخازن رسمی، و پروکسی کنترل شده برای مقاصد به‌روزرسانی. در ویندوز، استفاده از راهکارهای مدیریت وصله سازمانی و توزیع مرحله‌ای، جلوی انفجار ترافیک و آشفتگی را می‌گیرد. در لینوکس، آینه داخلی با امضای معتبر و فرآیند واردات امن بسیار مهم است. در مک و iOS، استفاده از مکانیزم‌های کش محتوا و مدیریت مرکزی باعث می‌شود حتی با پهنای باند محدود هم دستگاه‌ها به موقع وصله شوند.

در سطح پیشرفته، باید «حداقل دسترسی برای تداوم امنیت» طراحی شود. یعنی فهرست مقصدهای مجاز برای آپدیت، جداسازی شبکه، کنترل خروجی، ثبت کامل لاگ‌ها، و پایش مداوم. همچنین باید رویه‌های به‌روزرسانی آفلاین امن وجود داشته باشد، چون در بحران‌ها انتقال دستی رخ می‌دهد. رویه امن یعنی رسانه‌های قابل حمل کنترل شده، بررسی هش و امضای دیجیتال بسته‌ها، قرنطینه فایل‌های وارداتی، و جدا بودن مسیر انتقال از شبکه تولید. از منظر SOC و پاسخ به رخداد، باید فرض شود در دوره قطع، کشف و واکنش سخت‌تر می‌شود، پس مانیتورینگ داخلی، نگهداری لاگ‌ها، و داشتن سناریوهای از پیش تمرین شده اهمیت بیشتری پیدا می‌کند. 

قطع اینترنت بین‌المللی، چرخه به‌روزرسانی امنیتی را در سطح سیستم عامل‌ها، آنتی ویروس‌ها، موبایل، تجهیزات هوشمند، و زیرساخت‌های سازمانی تضعیف می‌کند و در نتیجه، سطح حمله را بالا می‌برد و هزینه واقعی برای صنعت، معدن، تجارت، خدمات و حتی بخش‌های کشاورزی و دامداری ایجاد می‌کند. راه حل پایدار، نه اتکا به اینترنت داخلی به عنوان جایگزین کامل، و نه وابستگی بی برنامه به اینترنت جهانی است، بلکه همزیستی فنی و مدیریت شده اینترنت داخلی در کنار اینترنت بین‌المللی است؛ همزیستی‌ای که در آن سرویس‌های داخلی پایدار می‌مانند و در عین حال کانال‌های امن، محدود و قابل نظارت برای دریافت وصله‌ها، امضاهای امنیتی و سازوکارهای اعتماد دیجیتال همیشه برقرار است.