В мире накапливается всё больше цифровых данных. Информационная лихорадка охватила весь мир. Корпорации собирают и накапливают данные, чтобы увеличить прибыль. Киберпреступники проникают в сети компаний, похищают и блокируют данные, чтобы откусить кусок цифрового пирога в виде выкупа. Основным направлением удара становятся программные уязвимости в системах, которые позволяют с относительной лёгкостью преодолеть даже самые продвинутые защитные комплексы. Источник этих уязвимостей — ошибки в программах и операционных системах. Сложность последних с каждым годом увеличивается, что приводит к появлению всё новых и новых ошибок.
Количество программных ошибок с назначенными номерами CVE. Источник (здесь и далее): Trend Micro
Пандемические ограничения привели к массовому переходу на удалённую работу, создав новые проблемы для ИТ-служб: теперь помимо систем в составе офисной инфраструктуры им необходимо обеспечивать безопасность личных устройств удалённых пользователей, причём не только компьютеров, но и домашних роутеров, через которые они подключаются к корпоративной сети. И если раньше системные администраторы на подобные дополнения к обязанностям могли лишь покрутить пальцем у виска, то сейчас это уже не вызывает удивления, поскольку кибератаки через устройства удалённых пользователей всё чаще появляются в заголовках новостей.
Дополнительным фактором риска стал спешный характер перехода на удалёнку: чтобы сохранить работоспособность бизнеса, компании вынуждены были бессистемно внедрять решения, не думая о том, как они будут поддерживаться в дальнейшем. В этих условиях отслеживание состояния систем и установка обновлений стали значительно сложнее.
Обманчивая простота
Стремясь упростить установку обновлений, вендоры делают её более автоматизированной и интеллектуальной. Особенно это заметно на конечных точках: Windows-системы сами загружают все необходимые обновления и устанавливают их, когда компьютер не используется. Однако и тут всё проходит не совсем гладко. Например,
Единичный сбой пользовательского компьютера, как правило, не является серьёзной проблемой, но в случае с серверными системами последствия значительно серьёзнее. Именно поэтому опытные системные администраторы не торопятся устанавливать свежие обновления. Установка даже оттестированного обновления на рабочем сервере может привести к проблемам и нарушить нормальное функционирование информационных систем. Это приведёт к простою бизнеса и убыткам.
К сожалению, патчи сами по себе содержат ошибки, которые добавляют новые уязвимости при развёртывании, а в некоторых случаях даже не решают проблему, для решения которой были созданы. Помимо этого, поставщики иногда включают в заплатки «довески» — дополнительные функции, которые могут оказаться потенциально небезопасными, да к тому же потребовать перезагрузки систем. Для систем промышленного контроля (СКП) перезагрузки представляют проблему, поскольку прерывают работу других зависимых систем.
Облачные сервисы
Рост популярности облачной инфраструктуры не в последнюю очередь связан с тем, что провайдеры облачных услуг (CSP) упростили процедуру управления обновлениями для своих абонентов. С другой стороны, процесс переезда в облака привлёк и киберпреступников, которые заинтересованы в монетизации нелегального использования облачных служб.
При перемещении локальных хостинговых приложений и серверов в облачные контейнеры и платформы организации достаточно часто не уделяют достаточного внимания мерам безопасности и не учитывают разницу между локальной и облачной инфраструктурой. Киберпреступники активно используют эти упущения, эксплуатируя уязвимости и небезопасные конфигурации хранилищ и контейнеров. Это позволяет им проникнуть внутрь контейнеров и закрепиться в сети, оставаясь незамеченными в течение длительного времени.
Один из способов, которым организации решают традиционные проблемы с исправлениями, заключается в подписке на предлагаемую поставщиками опцию исправления по принципу «заплатка как услуга» («patching-as-a-service»), тем самым возлагая на поставщиков услуг ответственность за внедрение ежемесячных обновлений.
Несмотря на трудности, связанные с введением в действие эффективной политики управления исправлениями, разработка, постоянное изучение и корректировка, а также содействие лучшему пониманию меняющихся технологий и стратегий привели к повышению эффективности кибербезопасности облачных инфраструктур.
Решение проблем
Перечислим наиболее распространённые проблемы, связанные с управлением обновлениями, и способы их решения.
Недостаток ресурсов
Из-за нарастающего количества обновлений системные администраторы физически не успевают оперативно тестировать и устанавливать исправления. Компании уже давно бьют тревогу в связи с увеличивающимся дефицитом квалифицированного персонала в области кибербезопасности. Эта проблема сохраняется и по сей день и требует безотлагательного решения для поддержания адекватного уровня кибербезопасности.
Взрывное развитие технологий и систем, связанных с производством, также потенциально затрудняет отслеживание обновлений. Хотя ИТ-команды и администраторы компаний знают, что исправление уязвимостей является фундаментальным компонентом безопасности, низкое качество некоторых патчей значительно снижает доверие к автоматическим механизмам установки обновлений и требует дополнительного времени для выявления возможных проблем внедрения и совместимости.
Для решения этих проблем вместо того, чтобы рассматривать управление исправлениями как традиционную задачу ИТ и ИБ, их следует рассматривать как часть более широкой стратегии безопасности, особенно для DevOps и операционных подразделений. Организованная инвентаризация является одной из основных процедур управления активами, а отслеживание всех бизнес-активов, участвующих в операциях, — единственный способ, с помощью которого их можно контролировать для точного анализа.
Поскольку большинство исправлений становятся доступными в течение нескольких часов после публичного разглашения, оперативное внедрение патчей может значительно сузить окно риска.
Ложноположительные результаты и неправильно выбранные приоритеты из-за фрагментированных и разрозненных решений
Решения, ориентированное на одну среду, например, на проверку внутренней корпоративной сети, может ложно отмечать уязвимость, которая экранируется другим решением, например, системой предотвращения вторжений. Защищенные межсетевыми экранами или отключённые решения могут заставить аналитиков и команды безопасности исправлять выявлять уязвимости с низким уровнем риска, оставляя при этом открытыми критические пробелы в других элементах инфраструктуры. Это проводит к тому, что действительно важные оповещения об уязвимостях остаются без внимания, значительно увеличивая риски взлома и проникновения.
Чтобы справиться с этим — сфокусироваться и получать более полное представление о проблемах не только во время инцидента, но и при поиске потенциальных угроз — следует внедрить инструменты централизации управления событиями. Использование SIEM, а также XDR-решений с элементами искусственного интеллекта, позволяет операционным центрам безопасности (SOC) и ИТ-командам коррелировать обнаруженные угрозы в различных средах в более широком контексте при проведении расследований и принятии ответных мер. Такая наглядность позволяет осуществлять централизованный упреждающий мониторинг, отслеживание, анализ, идентификацию и обнаружение уязвимых зон, тем самым сокращая количество ложных срабатываний и ускоряя ответные действия.
Удалённая работа и пробелы в управлении уязвимостями
Проблемы удалённой установки обновлений усугубляются в тех случаях, когда и системы, нуждающиеся в исправлении, и пользователи географически рассредоточены. Некоторые системы требуют от администраторов физического взаимодействия с машинами, которые нуждаются в обновлении, в то время как неопределённые сроки и внедрение создают повышенный риск для большего числа организаций. В старых системах установка исправлений удалённо и вслепую практически невозможна из-за высокого риска нарушить их работоспособность.
Вместе с тем, не все уязвимости одинаково опасны. Из общего числа раскрытых уязвимостей используются в атаках лишь незначительное количество.
Соотношение обнаруженных и используемых для атак уязвимостей в 2019 году.
Киберпреступники будут продолжать находить всё более необычные способы атак с использованием уязвимостей, чтобы получить прибыль за счёт организаций и частных лиц. Темпы технологического развития позволяют расширить возможности для повышения производительности, но это развитие приносит пользу и злоумышленникам, которые могут найти больше слабых мест, чтобы ещё больше увеличить свои доходы.
В этой ситуации организации должны чётко представлять внутренние и внешние факторы, которыми можно злоупотреблять для несанкционированного вторжения в их инфраструктуру. Именно поэтому процедуры управления исправлениями и должны развиваться не просто параллельно с выпуском патчей, а проактивно. Это значительно сузит окна риска и избавит системных администраторов и их руководителей от ночных кошмаров.