علیرضا لاله، فعال حوزه زیرساخت ابری و امنیت: «Zero-Day را با آنتی‌ویروس آپدیت‌نشده نمی‌شود بست»

سوال: آقای لاله، رایج‌ترین اشتباه امنیتی در سازمان‌هایی که از زیرساخت ابری استفاده می‌کنند، چیست؟

علیرضا لاله: متأسفانه هنوز خیلی از تیم‌های فنی و مدیران، Patch Management را جدی نمی‌گیرند. بزرگترین اشتباه این است: فکر می‌کنند نصب یک آنتی‌ویروس و بلاک کردن پورت‌های خاص، کافی است. در حالی که آنتی‌ویروس بدون ویروس دیتابیس آپدیت شده و سیگنچرهای به‌روز، عملاً یک نرم‌افزار مرده است. سیستم‌عاملی هم که ماه‌ها Security Patch دریافت نکرده باشد، پر از CVEهای شناخته‌شده است که حتی هکرهای سطح پایین هم از طریق متااسپلویت و اکسپلویت‌های آماده، می‌توانند نفوذ کنند.

سوال: منظورتون از CVE و Patch Management را کمی دقیق‌تر توضیح می‌دهید؟

علیرضا لاله: حتماً. CVE شناسه رسمی آسیب‌پذیری‌های امنیتی است. مثلاً اگر سیستم‌عامل سرور ابری شما یک آسیب‌پذیری از نوع Privilege Escalation یا RCE (Remote Code Execution) داشته باشد و شما آپدیت نکنید، هکر می‌تواند بدون داشتن هیچ credentialی، دسترسی روت بگیرد. Patch Management یعنی فرآیند اعمال وصله‌های امنیتی. در محیط ابری، یک نود آپدیت‌نشده می‌تواند باعث Lateral Movement شود و کل کلاستر را آلوده کند.

سوال: آنتی‌ویورس‌های نسل جدید هم در برابر آپدیت نبودن درمانده می‌شوند؟

علیرضا لاله: دقیقاً. هر آنتی‌ویروسی، حتی EDR و XDR، به آپدیت مداوم Signature-based و Behavior-based detection نیاز دارد. اگر مثلاً دو هفته آپدیت نکنید، آنتی‌ویروس شما فایل‌های هک شده با پیلودهای جدید را به عنوان فایل سالم می‌بیند. باج‌افزارهای نوع Polymorphic و Metamorphic هر اجرا تغییر ظاهر می‌دهند. آنتی‌ویروس آپدیت‌نشده در برابر این مدل‌ها کاملاً کور است. این یعنی یک تهدید از نوع Zero-Day را با ابزار قدیمی نمی‌توانید شناسایی کنید.

سوال: در حوزه ابر (IaaS/PaaS)، تفاوت خطر برای ماشین‌های مجازی آپدیت‌نشده چیست؟

علیرضا لاله: در ابر، موضوع بسیار بحرانی‌تر است چون مسئولیت مشترک (Shared Responsibility Model) را دارید. فرض کنید یک Container یا VM روی AWS، Azure یا ابر داخلی دارید. وظیفه امنیت هایپروایزر را دارد، اما Guest OS با خود شماست. یک سرور لینوکس با کرنل آپدیت‌نشده (مثلاً آسیب‌پذیری Dirty Pipe یا Dirty COW) به هکر اجازه می‌دهد از آن پل‌فرم به عنوان Jump Box استفاده کند و به کل شبکه ابری خصوصی شما (VPC) دسترسی پیدا کند. در ضمن، امنیت Orchestratorهایی مثل Kubernetes هم مستقیماً به آپدیت بودن worker nodeها وابسته است.

سوال: جمع‌بندی فنی شما برای یک تیم DevOps یا ادمین چیست؟

علیرضا لاله:

· فعال کردن Auto-update برای Signature های آنتی‌ویروس و Security Patches سیستم‌عامل، بدون تأخیر بیش از ۲۴ ساعت.

· استفاده از Vulnerability Assessment هفتگی و اسکنرهایی مثل Nessus، OpenVAS برای یافتن CVEهای باز.

· برای سرورهای بحرانی، حتماً Rollback-ready Patch Management طراحی کنید؛ یعنی وصله بزنید، ولی امکان برگشت داشته باشید.

· هرگز، تحت هیچ شرایطی، یک سیستم در معرض اینترنت را با آنتی‌ویروس و کرنل قدیمی رها نکنید. از دید هکر، این یعنی «لطفاً من را باج‌افزار بزن».

سوال: یک هشدار نهایی برای خوانندگان متخصص؟

علیرضا لاله: آپدیت نکردن، یک حفره امنیتی از نوع Human Error است که از هر Vulnerability Disclosure بیشتر کشته داده است. شما هر چقدر فایروال لایه‌۷ و IDS/IPS حرفه‌ای هم داشته باشید، با یک سیستم‌عامل آپدیت‌نشده، درِ پشتی امنیت خودتان را باز گذاشته‌اید. به‌روزرسانی، قوی‌ترین لایه دفاع عمقی (Defense in Depth) شماست.