Бизнес — привлекательная цель для хакеров, желающих обзавестись ценной информацией, поэтому большинство целевых атак — самых опасных — направлены именно на него. Казалось бы, фирмам нужно постоянно быть начеку и как минимум поддерживать корпоративный софт в актуальном состоянии (накатывать обновления, устанавливать патчи безопасности), но на деле все обстоит не так, пишет портал eWeek. По данным Veracode, которая занимается поиском уязвимостей в ПО, большинство предприятий игнорируют риски взлома инфраструктур, уделяя минимум внимания обновлению ПО. Как говорится в исследовании компании, только 14% предприятий устанавливают патчи безопасности в течение месяца после обнаружения критических брешей программного стека.
Как показало тестирование, 75% программ имеют хотя бы одну уязвимость. Вице-президент по исследованиям Veracode Крис Энг полагает, что такие цифры не лучшим образом характеризуют уровень безопасности предприятий и поэтому сетевым администраторам следует уделять время тестированию ПО, следить за тем, насколько быстро разработчик устраняет обнаруженные уязвимости. «Очень часто после установки программы администраторы не удосуживаются её обновлять. Но, как показала практика, критические уязвимости имеет практически любой софт и рано или поздно это может привести к возникновению ИБ-инцидентов. Разумеется, незакрытые уязвимости будут появляться всегда, но мы не можем разобраться даже с теми, о которых уже знаем», — сетует он.
В прошлом году небрежность с устранением уязвимостей уже преподала урок ИТ-индустрии. Достаточно вспомнить громкую историю со взломом бюро кредитных историй Equifax, связанным с незакрытыми уязвимостями фреймворка Apache Struts 2. И это отнюдь не единичный случай, когда халатность привела к ощутимым последствиям.
Портал приводит пять советов, которые помогут администраторам поддерживать свои ИТ-инфраструктуры в актуальном состоянии.
1. Проведите тщательную инвентаризацию софта. Что показал урок, полученный Equifax? Компания наверняка знала об уязвимости в Apache Struts 2, но не вела учет версий ПО и не следила за его состоянием (ранее об этом заявлял бывший глава компании). Это довольно частое явление, когда компании устанавливают актуальное на какой-то момент времени ПО, но затем не следят за версиями библиотек или не желают обновлять компоненты. Значимость этого процесса как нельзя лучше иллюстрирует Apache Struts 2. На момент раскрытия уязвимости библиотека Struts 2 — файлы с критически важными для работы программы архивами — состояла из 50 версий, при этом большая их часть (58%) была уязвимой к атакам хакеров, говорится в отчете Veracode.
Эксперты советуют компаниям применять для оперативного устранения уязвимостей специальные средства выявления. «Организация может знать об уязвимости Struts, но этого недостаточно — нужно проводить проверку всех сегментов сети. Многие компании этого не делают, поэтому в сетях таится множество слабых мест, о которых мы не знаем или узнаем не скоро», — сказал директор по исследованию уязвимостей корпоративных инфраструктур Qualys Джимми Грэхем.
2. Отслеживайте состояние безопасности на вспомогательных устройствах. Обычно, когда заходит речь о безопасности периметра организации, упоминаются серверы, ПО, сеть, СХД и другие объекты, но не всегда учитываются вспомогательные устройства, которые напрямую не связаны с ИТ-инфраструктурой предприятия. К таковым относится большое количество IoT-гаджетов — начиная от сетевых маршрутизаторов, которые применяются в домашних офисах, до цифровых видеорекордеров для проведения конференц-связи.
2017 год показал, что такие гаджеты должны находиться в фокусе внимания ИБ. Так, в прошлом году экспертам удалось обнаружить в маршрутизаторах Huawei уязвимость CVE-2017-17215, которая позволила хакерам превратить их в ботнет Satori. Специалисты причислили его к ботам, специально разработанным для работы на IoT-гаджетах. По данным недавнего исследования, проведенного Osterman Research по заказу фирмы Trustwave, более половины компаний не обладают экспертизой для обнаружения и исправления проблем, которые возникают в ходе эксплуатации IoT-гаджетов.
«По своей природе обновление IoT-устройств является довольно сложной процедурой, поэтому компании остаются уязвимыми даже после выпуска исправлений. Что ещё хуже, очень часто производители IoT-устройств вообще не занимаются исправлением собственных прошивок. Организации должны надлежащим образом документировать и тестировать каждое подключенное к Интернету устройство или им неминуемо придется столкнуться с тысячами новых векторов атак, изобретенных находчивыми киберпреступниками», — сказал вице-президент исследовательской лаборатории SpiderLabs Trustwave Лоуренс Мунро.
Особенную настороженность вызывают у экспертов SCADA-системы. Нужно заметить, что помимо промышленности и производства они применяются для обеспечения в реальном режиме времени сбора, обработки, отображения и архивирования информации на атомных электростанциях, но, как показывают исследования, безопасность SCADA далека от желаемой. Согласно исследованию Trend Micro, в среднем на устранение уязвимости в SCADA уходит не менее 150 дней. С одной стороны, в отличие от вендоров с налаженными процессами выпуска обновлений типа Microsoft и Adobe SCADA-разработчикам требуется больше времени для отлова «жучков», но есть немало больших фирм, которым недостаточно и года, чтобы выпустить обновленную прошивку, сообщает Trend Micro.
3. Найдите способы смягчить последствия применения «тяжелых» патчей. Причина неспешного обновления ПО на предприятиях очевидна — боязнь «сломать» софт, что, в свою очередь, может привести к нарушению отлаженных бизнес-процессов. Нужно заметить, в таком подходе имеется разумное зерно. Как подтверждает недавний пример с патчами для Spectre и Meltdown, предприятия не готовы мириться с безопасной, но медленной работой. Как говорится в отчете Veracode, добавочный раунд ветвления операций в патчах для Spectre и Meltdown влечет замедление систем, но учитывая исключительность ситуации на этот шаг придется пойти.
Эксперты с пониманием относятся к тому, что многие вендоры закрывают уязвимости с опаской, но уверены, что у них нет другого выхода — пока никто не знает, как отразятся незакрытые бреши на предприятиях. В любом случае, и Intel, и другие компании уже вовсю работают над тем, чтобы «тяжелые» заплатки оказывали минимальное влияние на производительность процессорных архитектур.
4. Управление зависимостями и сторонними компонентами. Как показало исследование компании Snyk, занимающейся защитой приложений, разработчики не горят желанием поддерживать компоненты, которые включены в их ПО. Как выяснилось, 43% разработчиков никогда не проверяют свой код на наличие уязвимостей. Ежеквартально подобную работу, говорится в отчете «State of Open-Source Security», проводят лишь 11% разработчиков. Snyk провела аудирование кодовой базы 433 тыс. сайтов и обнаружила, что у 77% из них в интерфейсной библиотеке JavaScript имеется по крайней мере одна уязвимость.
Как и другие эксперты в области ИБ, Snyk упирает на важность регулярных проверок кода. «Разница между здоровой и нездоровой компанией — это разница между тем, какая в них установлена процедура выявления в зависимостях известных уязвимостей: если встроить в свой код десять библиотек, каждая из которых привлечет ещё десять, становится очень трудно понять, какие уязвимости влияют на ПО», — сказал соучредитель Snyk Дэнни Грандер.
5. Обновите имеющиеся приложения с известными уязвимостями. Некоторые бизнес-приложения, особенно популярные, постоянно мониторятся сторонними ИБ-компаниями, что повышает шансы на устранение в них критически важных брешей в безопасности. Но в тоже время важность такого софта для бизнеса — даже с учетом незакрытых брешей — столь существенна, что компаниям приходится мириться с опасностью обнаружения новых, еще неизвестных брешей. В качестве примера подобного софта можно привести Internet Explorer 6 — за последние десять лет в обороне браузера было найдено много изъянов, но компании все равно полагались на него для работы с основными бизнес-приложениями.
Нередки случаи, когда предприятиям приходится применять версии Java с уже раскрытыми (но не закрытыми) уязвимостями — они часто требуются для фиксированного запуска программ. Как и Java, одним из лидеров по количеству уязвимостей является Adobe Flash — она требуется для отображения графики и видео на веб-сайтах. Крупные компании уже давно начали постепенный отказ от Flash. В некоторых браузерах платформа отключена по умолчанию и пользователю необходимо каждый раз активировать её вручную.
По словам Грэхема, который до Qualys работал в банке, его ИТ-администраторам часто приходилось совмещать работу банковских систем с потенциально небезопасным софтом. Чтобы смягчить риски, программисты банка создали «виртуальные патчи». «Время от времени нам приходилось применять устаревшее ПО, но вместо того, чтобы патчить его, мы обращались к созданию компенсирующих средств управления», — сказал он.
Преимущества данного подхода очевидны. «Заплатка» может быть еще не выпущена производителем ПО на тот момент, когда данные об уязвимости будут уже опубликованы в открытом доступе, а значит хакеры уже могут ее использовать. Во-вторых, установка обновлений может потребовать прерывания в работе системы, а в случае с критически важными для непрерывности бизнеса элементами инфраструктуры, например, ERP- или логистическими системами, такое положение дел является крайне нежелательным.
В большинстве случаев уязвимости ПО позволяют нарушить работу не только отдельной системы, но и запустить вредоносный код на атакуемой машине, скачать конфиденциальные данные или даже получить полный контроль над сервером. И именно эта «комплексность» уязвимостей заставляет ИБ-специалистов стремиться к максимально быстрому и своевременному устранению лазеек в защите корпоративных систем.
Несмотря на это, существует категория предприятий, которые не спешат обновляться, предпочитая понаблюдать за теми, кто уже установил то или иное исправление. Например, обновление для предотвращения атаки вымогателя WannaCry было выпущено в марте 2017 г., но его активная установка пришлась на 45 дней позже, когда атака уже шла полным ходом.
«Исправить все уязвимости невозможно. Они каждый год появляются тысячами, при этом среди них есть такие, для закрытия которых требуется создание системных патчей — все это кропотливая работа. И всё же своевременное исправление наиболее опасных ошибок — обязательное условие обеспечения безопасности», — заявил Грэхем.