الابتكار والفعالية في الأمن السيبراني
ملخص الدراسة
كشفت دراسة قام بها باحثون من مركز بحوث تعزيز الحماية السيبرانية Lebanon CERT عن وجود 653 ثغرة أمنية في عينة مؤلفة من 39620 نظام معلوماتي في مختلف القطاعات في لبنان (المصارف، التكنولوجيا، التأمين، التعليم، الطبابة، مؤسسات حكومية...).
هذه الدراسة هي الثانية من نوعها والتي عملت على تقييم أنظمة المعلومات في لبنان في مختلف القطاعات، من خلال اختبار مدى تعرض هذه الأنظمة للاختراق عبر بعض الثغرات المُعلن عنها والموجودة في برامج معلوماتية مُستخدمة من قبل هذه الأنظمة. في هذا المجال تم اختيار 39620 نظام معلوماتي و 13 برنامج فيها ثغرات مكشوفة وتم اختبار هذه الأنظمة وتحديد ما إذا كانت مكشوفة ومعرّضة للاختراق ام لا. وفي نتائج الاختبار، تبيّن وجود 653 نظام معلوماتي مكشوف يحتوي على ثغرات أمنية معلوماتية، وبإمكان أي مُخترق مبتدئ الحصول على البرنامج الذي ينفذ عملية الاختراق والسيطرة الكاملة على هذه الأنظمة.وهنا تجدر الإشارة إلى أن عدداً من الثغرات الأمنية التي تمت معاينتها خلال هذه الدراسة قد تم استغلالها لاحقاً من قبل قراصنة (Hackers) لاختراق عدد من الشركات العالمية كمنظمة الأمم المتحدة ,Essilor Luxottica, Duesseldorf University Hospital…
تأتي هذه الدراسة بعد دراسةٍ أولى تم نشرها في مؤتمر علمي عالمي وتناولتها جريدة الأخبار في تقرير خاص نشر بتاريخ 12 أيلول 2020 ووسائل اعلامية لبنانية أخرى، أظهرت وجود حوالي 1645 ثغرة أمنية في 24382 نظام معلوماتي شملها المسح. وهنا تجدر الإشارة إلى أن الدراسة الثانية لحظت مدى استجابة المشرفين على الأنظمة المعلوماتية، حيث تم التواصل – ضمن الدراسة الأولى – مع القيمين على الأنظمة المعلوماتية التي تحتوي على ثغرات أمنية لتوضيح الثغرات الموجودة والحلول المقترحة، ثم تم مسح الأنظمة نفسها ولنفس الثغرات المكتشفة سابقاً ضمن الدراسة الثانية (أي بعد مرور حوالي العام على الإعلان عن الثغرات في الدراسة الأولى) حيث تبين أن نسبة 57% من الأنظمة لم يتم تحديثها لإغلاق الثغرات، فلا يزال هناك 400 نظام مكشوف من أصل 701 نظام تم اكتشافها وإعلام المعنيين بها في الربع الثالث من عام 2020، اضافة إلى اكتشاف 253 نظام مكشوف جديد في الربع الرابع من عام 2020 وذلك بسبب استخدامها لأحد البرامج ال 13 والتي لم يتم تحديثها على هذه الأنظمة.
وهنا أكدت الدراسة التقييمية الثانية استمرار وجود نقص في تطبيق اثنين من أهم الممارسات العملية في مجال الأمن السيبراني وهي:
إدارة التحديث والتطوير لأنظمة المعلومات (patch management)
التعامل مع الحوادث السيبرانية (incident handling)
هذا بالإضافة إلى قلة الوعي للمخاطر الأمنية المعلوماتية حتى من بعض المشرفين على الأنظمة المعلوماتية.
من هنا أهمية المبادرة التي قام بها الباحثون بإنشاء مركز بحوث تعزيز الحماية السيبرانية وهو منظمة غير ربحية (Non-Profit Organization) تعمل على رفع مستوى الأمن السيبراني ونشر الوعي للمخاطر التي تنتج في الفضاء السيبراني لدى المؤسسات والأفراد في المجتمع اللبناني. يهدف هذا المركز إلى حماية الأنظمة الرقمية المستخدمة من قبل كافة المؤسسات الحكومية والصناعية والمصرفية والخدماتية والتربوية وغيرها من خلال تقييم دائم ومستمر للثغرات المكشوفة والتي تسمح لقراصنة مبتدئين بالسيطرة على هذه الأنظمة. اضافة إلى ذلك يعمل المركز على اعلام أي مؤسسة يتم التأكد من وجود ثغرة سيبرانية مكشوفة لديها من خلال ارسال بريد الكتروني يحتوي على كافة التفاصيل التي تساعد في تفادي أي هجوم سيبراني محتمل على نظامها. كما ويهدف هذا المركز إلى نشر الوعي حول مخاطر الأمن السيبراني وارتداداتها على القطاعات كافة، وإلى مساعدة هذه القطاعات في حماية أنظمتها الرقمية بشكل مستمر.
ويتطلع الباحثون إلى تأسيس عمل مشترك يكون أساسه إشراك أفرقاء مختلفين من شركات الأمن السيبراني إلى مقدمي خدمات الإنترنت ومسؤولي الأنظمة المعلوماتية وموظفين مسؤولين تقنيين من القطاع العام في التقييم ومعالجة الثغرات السيبرانية والأنظمة المعرضة للاختراق.
Summary of Findings
A study conducted by researchers from Lebanon Cybersecurity Empowering Research Team (Lebanon CERT) in the fourth quarter in 2020 revealed 653 critical security vulnerabilities in a sample of 39 620 information systems from various Lebanese sectors (banking, technology, insurance, education, governmental and others). This study, a second of its kind, was focused on evaluating information systems in Lebanon in various sectors, by examining the exposure of these systems to hacking through some of the recently published software vulnerabilities. 39 620 information systems and 13 software products with known critical vulnerabilities were selected. The security of these systems against the selected vulnerabilities was tested. The results showed 653 vulnerable information systems that can be easily hacked by a novice hacker to have full control over these systems.
Example Impact of the Selected Critical Vulnerabilities:It is worth to mention that some of the security vulnerabilities that were examined during this study were exploited by hackers to attack a number of international companies such as the United Nations, Essilor Luxottica, Duesseldorf University Hospital and others [1,2,3].
Our Evaluation of the Attack Surface of Lebanon
This study comes after a first study published in an international scientific conference and was covered by Al-Akhbar newspaper in a special report published on 12 Sep. 2020 and other Lebanese media [4]. The first study [5] identified 1645 critical security vulnerabilities in 24 382 information systems that were analyzed. Apart from uncovering critical vulnerabilites, the study also addressed the responsiveness of the information systems administrators; Indeed, multiple emails were sent - during the first study – to the administrators of the identified vulnerable information systems, to explain the vulnerabilities and the necessary patches. During the second study, these systems were scanned several times again for the same previously identified vulnerabilities. It was found that 57% of the systems (400 still exposed systems in the fourth quarter of 2020 out of 701 in the third quarter). A detailed overview of these findings are depicted below. A detailed overview of these findings are depicted below.
Apart from that, 253 newly exposed vulnerabilities were discovered (using one of the 13 selected vulnerabilities). To recap, the selected vulnerabilities are i) considered severe and remotely exploitable, ii) have a Proof-of-Concept (PoC) exploit available online, and iii) can cause serious damage to critical sectors in the country, if affected. As such and using a sample of 71 vulnerable systems, we have analyzed the distribution of these vulnerabilities among the lebanese sectors. Unfortunately, our analysis shows (see below) that the vulnerabilities are affecting the majority of the lebanese sectors, including critical infrastructure including banking!
Our Core Message
The work conducted and the results obtained revealed the lack of applying two core best practices in information security which are:
- patch management
- incident handling
Our Response: Launching Lebanon CERT
Hence the importance of the initiative taken by the researchers to establish the Lebanon Cybersecurity Empowering Research Team (Lebanon CERT). It is a group of Lebanese cybersecurity experts who seek to empower the cyber space in Lebanon and to spread and raise security awareness within the community against the threats that face the digital systems of the different Lebanese sectors.
Lebanon CERT team aims to provide a more secure digital space for public and private sectors including banking, telcos, educational institutes, entertainment, business, and many others. To this end, Lebanon CERT yields a continuous assessment of the attack surface in the Lebanese perimeter in order to capture critical vulnerabilities through which an unskilled or skilled hacker is capable of fully compromising the existing information systems. Once captured, the vulnerabilities will be reported in time to the corresponding actor via a detailed email that includes all necessary steps to avoid any possible cyber attack to the exposed system.
In addition, the team works to inform any institution whose system is identified to have a critical vulnerability by sending an e-mail containing all the details that help in avoiding any possible cyber attack. It also aims to raise awareness about cyber security risks and their repercussions on all sectors, and to help these sectors to continuously protect their digital systems.
The researchers are always looking to enhancing cyber security level in Lebanon by involving international cyber security firms, Lebanese ISPs, system administrators, research teams, and delegated staff from the public sector in the evaluation and remediation of Lebanon’s attack surface.
References
[1] Zeljka Zorz, Jan. 2020, https://www.helpnetsecurity.com/2020/01/30/un-hacked[2] Pierluigi Paganini, Sept. 2020, https://securityaffairs.co/luxottica-hacked
[3] William Ralston, Nov. 2020, https://www.wired.co.uk/hospital-death-germany
[4] Ali Awad, Sep. 2020, https://al-akhbar.com/Community/critical-vulns
[5] Lebanon CERT, Jun. 2020, https://lebanoncert.org/study-q1-2020