Исследователи из компании Kollective, занимающейся разработкой программно-определяемых сетей доставки контента, провели опрос среди двух сотен американских и британских организаций. Они обнаружили, что почти половине компаний на закрытие известной уязвимости нужен целый месяц. Расскажем, почему так происходит, и что с этим можно сделать.
/ PxHere / PD
Компании слишком долго устанавливают патчи
Опрос Kollective проводился среди руководителей IT-отделов. 45% респондентов из крупных корпораций (у которых больше 100 тыс. сетевых терминалов) ответили, что для установки патча им нужно примерно 30 дней. Еще 27% сказали, что иногда на установку обновлений у них уходит несколько месяцев.
В условиях растущего числа киберугроз, подобный подход видится неприемлемым. По данным Symantec, в прошлом году количество атак вирусов-вымогателей увеличилось на 36%. При этом известно, что каждый день появляется более 230 тыс. образцов вредоносных программ.
В связи с этим за последние два года время на установку патча, которое есть у компании до того, как уязвимостью воспользуются злоумышленники, сократилось на 29%. Однако простое обновление безопасности по-прежнему остается одним из наиболее эффективных способов защиты. Во многих взломах и сливах данных хакеры используют уязвимости, для которых уже был выпущен патч.
ServiceNow провели опрос среди 3 тыс. специалистов по ИБ со всего мира и выяснили, что 56% компаний могли избежать слива информации в прошлом, если бы вовремя установили нужно обновление. Примером может быть масштабное хищение персональных данных у бюро Equifax в США. Тогда в сеть утекли ПД более 140 млн. американцев.
Этого инцидента можно было избежать, если бы специалисты бюро кредитных историй вовремя установили «заплатку». Хакеры использовали уязвимость во фреймворке Apache Struts (CVE-2017-5638), связанную с ошибкой в обработке исключений. Патч для этой уязвимости был выпущен за два месяца до атаки на Equifax.
Почему задерживают обновления
1. Нехватка сотрудников. Отделы информационной безопасности страдают от недостатка квалифицированных специалистов. По данным некоммерческой организации ISACA, к 2019 году в индустрии будет наблюдаться дефицит сотрудников по ИБ. Нехватка составит примерно 2 млн человек.
Это уже напрямую влияет на защиту организаций от кибератак. В исследовании McAfee от 2016 года четверть респондентов сказала, что недостаток экспертов по ИБ в их фирме стал причиной утечек данных.
2. Неэффективное управление установкой патчей. Однако расширение штата ИБ-специалистов в компании не всегда приводит к увеличению надежности ИТ-инфраструктуры. В ServiceNow отмечают, что повышения безопасности ждать не стоит, пока не будут модифицированы бизнес-процессы, связанные с патчингом.
На скорости закрытия уязвимостей сказывается большое число ручных процессов. Есть компании, которые для управления патчингом до сих пор используют Excel. Одна компания из Fortune 100 даже сформировала целый отдел из сотрудников, ответственных за управление электронными таблицами с данными об уязвимостях — они пишут туда, есть ли патч, кто его устанавливает и т. д.
По словам вице-президента по облачным исследованиям в Trend Micro Марка Нунниховена (Mark Nunnikhoven), именно отсутствие автоматизации процессов обновления ИТ-систем в компаниях стало одной из главных причин широкого распространения WannaCry.
3. Сложность приоритизации обновлений. По мнению издания CSO, ещё одна причина медленного обновления систем — слишком большое количество патчей. Специалистам по безопасности сложно расставлять приоритеты и решать, какие из них нужно установить раньше других. Даже в случае с Spectre и Meltdown специалисты высказали противоположные мнения: одни эксперты предлагали подождать, а другие торопились установить патчи побыстрее.
Ситуацию усложняет и медленное пополнение баз данных с уязвимостями. К августу этого года в базы CVE и NVD не попали более 3 тысяч угроз из тех, что были обнаружены с января по июнь 2018. Почти половина из них получила высший рейтинг опасности по CVSSv2.
4. Сложность установки. В компании Barkly провели опрос на тему установки обновлений Meltdown и Spectre среди специалистов по ИБ. 80% респондентов посчитали процесс установки патчей для закрытия уязвимостей в чипах Intel «неясным».
«Когда появились Meltdown и Spectre, не было удобной тестовой утилиты для выявления этих уязвимостей. Со временем утилиты начали появляться, но гарантировать их надежность было нельзя, — рассказывает Сергей Белкин, начальник отдела развития 1cloud. — Позже в Microsoft предложили метод проверки, но и он был довольно сложен. Однако потом появились решения (в частности, для ряда дистрибутивов Linux), позволяющие выяснить, подвержена система Meltdown и Spectre или нет, одной командой в консоли».
Как повысить скорость обновлений
1. Автоматизировать установку патчей. Автоматизация процесса обновления упрощает задачу администраторам и конечным пользователям. Система сама скачивает патчи из интернета, а сисадмину остается следить за процессом установки. Это особенно важно для облачных провайдеров, так как в их ведении находится огромное количество «машин».
Существуют инструменты (к примеру, HPE Server Automation), которые централизованно обновляют операционные системы на серверах ЦОД. Они позволяют выбрать необходимые патчи, предлагаемые поставщиком ОС. Еще с их помощью можно настроить сам процесс установки, например, чтобы исключить обновления, не подходящие для конкретной среды.
2. Обучать сотрудников. Важную роль в обеспечении безопасности данных играют люди. Потому нужно повышать осведомленность ИТ-специалистов и рядовых сотрудников компании, вкладывать средства и время хотя бы в проведение курсов базовой кибергигиены.
В целом для лучшего усвоения знаний о безопасности данных можно использовать самые разные методы, например геймификацию. Австралийское подразделение PricewaterhouseCoopers проводит среди своих клиентов игру Game of Threats, когда в особом симуляторе соревнуются команды «хакеров» и «защитников системы».
3. Вкладывать больше средств в кибербезопасность. По оценке Gartner, в 2018 году расходы организаций на кибербезопасность увеличатся на 12,4% в сравнении с прошлым годом. Фирмы будут тратить больше денег на автоматизацию процессов и новые технологии защиты данных, чтобы специалисты по ИБ могли работать эффективнее.
Что дальше
Медленная установка обновлений безопасности — это системная проблема. И, вероятно, она будет доставлять «неудобства» еще довольно долгое время, особенно в свете обнаружения новых крупных уязвимостей процессоров, например Foreshadow. Однако если больше компаний начнет оперативно устанавливать патчи, то это положительно скажется на всей экосистеме и значительно снизит число утечек персональных данных. Подобных той, что произошла с Equifax.
Еще пара постов из корпоративного блога 1cloud:
- Как обеспечивается безопасность данных в облаке
- Чем арендованная инфраструктура лучше обычного «железа»
- Тренировочный стенд для админов: как поможет облако
- Какие возможности даёт .NET Core разработчикам
Автор: 1cloud