Как медлительность IT-отделов развязывает руки хакерам

Не обновился — стал мишенью

Неутешительную статистику установили исследователи из компании Kollective, занимающейся разработкой программно-определяемых сетей доставки контента. Они провели опрос среди руководителей IT-отделов двух сотен американских и британских корпораций, у которых больше 100 тыс. сетевых терминалов.

Выяснилось, что 45% компаний на закрытие известной уязвимости тратят в среднем 30 дней и еще 27% затягивают установку обновлений на несколько месяцев.

При условии, что каждый день появляется более 230 тыс. образцов вредоносных программ такая медлительность делает систему легко уязвимой. По данным Symantec, в прошлом году количество атак вирусов-вымогателей увеличилось на 36%.

При этом во многих взломах и сливах данных хакеры используют уязвимости, для которых уже был выпущен патч. По данным опроса ServiceNow среди 3 тыс. специалистов по информационной безопасности (ИБ) со всего мира, 56% компаний могли избежать слива информации в прошлом, если бы вовремя установили нужное обновление.

Вспомнить хотя бы масштабное хищение персональных данных у бюро кредитных историй Equifax в США в прошлом году. Тогда в сеть утекли данные о банковских картах и водительских удостоверениях, индивидуальные номера налогоплательщиков и личные email-адреса более 140 млн. американцев.

Если бы специалисты компании вовремя установили «заплатку», то этого инцидента можно было избежать. Хакеры использовали уязвимость во фреймворке Apache Struts (CVE-2017-5638), связанную с ошибкой в обработке исключений. Патч для этой уязвимости был выпущен за два месяца до атаки на Equifax.

Что задерживает обновление программ безопасности

Руководители IT-отделов понимают последствия несвоевременного обновления и зачастую делают все, что от них зависит. Благодаря этому за последние два года время на установку патча, которое есть у компании до того, как уязвимостью воспользуются злоумышленники, сократилось на 29%. Однако, есть объективные причины, на которые отдельные люди повлиять не могут.

1. Дефицит специалистов. Отделы информационной безопасности страдают от недостатка квалифицированных кадров. По данным некоммерческой организации ISACA, к 2019 году в индустрии будет наблюдаться нехватка сотрудников по ИБ примерно 2 млн человек. При условии, что в компаниях часто нет выделенной должности специалиста по ИБ. Защитой занимаются рядовые IT-специалисты.

Это напрямую влияет на защиту от киберугроз. В исследовании McAfee от 2016 года четверть респондентов сказала, что недостаток экспертов по ИБ в их фирме стал причиной утечек данных.

2. Неэффективные бизнес-процессы. Расширение штата ИБ-специалистов в компании не всегда приводит к увеличению надежности ИТ-инфраструктуры. В ServiceNow отмечают, что повышения безопасности ждать не стоит, пока не будут модифицированы бизнес-процессы, связанные с патчингом.

На скорости закрытия уязвимостей сказывается большое число ручных процессов. Есть компании, которые для управления патчингом до сих пор используют Excel. Одна компания из Fortune 100 даже сформировала целый отдел из сотрудников, ответственных за управление электронными таблицами с данными об уязвимостях — они пишут туда, есть ли патч, кто его устанавливает и т. д.

По словам вице-президента по облачным исследованиям в Trend Micro Марка Нунниховена (Mark Nunnikhoven), в первую очередь отсутствие автоматизации процессов обновления ИТ-систем в компаниях стало одной из главных причин быстрого распространения WannaCry.

3. Сложность приоритизации обновлений. По мнению издания CSO, ещё одна причина медленного обновления систем — слишком большое количество патчей. Специалистам по безопасности сложно расставлять приоритеты и решать, какие из них нужно установить раньше других. Даже в случае с Spectre и Meltdown специалисты высказали противоположные мнения: одни эксперты предлагали подождать, а другие торопились установить патчи побыстрее.

Ситуацию усложняет и медленное пополнение баз данных с уязвимостями. К августу этого года в базы CVE и NVD не попали более 3 тысяч угроз из тех, что были обнаружены с января по июнь 2018. Почти половина из них получила высший рейтинг опасности по CVSSv2.

4. Сложность установки. В компании Barkly провели опрос на тему установки обновлений Meltdown и Spectre среди специалистов по ИБ. 80% респондентов посчитали процесс установки патчей для закрытия уязвимостей в чипах Intel «неясным».

«Когда появились Meltdown и Spectre, не было удобной тестовой утилиты для выявления этих уязвимостей. Со временем утилиты начали появляться, но гарантировать их надежность было нельзя, — рассказывает Сергей Белкин, начальник отдела развития 1cloud. — Позже в Microsoft предложили метод проверки, но и он был довольно сложен. Однако потом появились решения (в частности, для ряда дистрибутивов Linux), позволяющие выяснить, подвержена система Meltdown и Spectre или нет, одной командой в консоли».

Как наладить оперативную установку патчей

Для начала стоит признать опасность этой проблемы для каждой компании. Не всегда руководители верят, что могут стать жертвами хакерских атак, поэтому не выделяют должных ресурсов на информационную безопасность. Чтобы не поплатиться в итоге подпорченной репутацией и судебными разбирательствами, стоит предпринять следующие меры.

1. Проведение курсов базовой киберзащиты. Важно повышать осведомленность ИТ-специалистов и рядовых сотрудников компании, вкладывать средства и время хотя бы в проведение курсов базовой кибергигиены.

В целом для лучшего усвоения знаний о безопасности данных можно использовать самые разные методы, например геймификацию. Австралийское подразделение PricewaterhouseCoopers проводит среди своих клиентов игру Game of Threats, когда в особом симуляторе соревнуются команды «хакеров» и «защитников системы».

2. Автоматизация установки патчей. Автоматизация сокращает влияние человеческого фактора и упрощает задачу администраторам и конечным пользователям. Система сама скачивает патчи из интернета, а сисадмину остается следить за процессом установки. Это особенно важно для облачных провайдеров, так как в их ведении находится огромное количество «машин».

Существуют инструменты (к примеру, HPE Server Automation), которые централизованно обновляют операционные системы на серверах ЦОД. Они позволяют выбрать необходимые патчи, предлагаемые поставщиком ОС. Еще с их помощью можно настроить сам процесс установки, например, чтобы исключить обновления, не подходящие для конкретной среды.

3. Инвестиции в кибербезопасность. По оценке Gartner, в 2018 году расходы организаций на кибербезопасность увеличатся на 12,4% в сравнении с прошлым годом. Фирмы будут тратить больше денег на автоматизацию процессов и новые технологии защиты данных, чтобы специалисты по ИБ могли работать эффективнее.

Что дальше

Медленная установка обновлений безопасности — это системная проблема. И, вероятно, она будет доставлять «неудобства» еще довольно долгое время, особенно в свете обнаружения новых крупных уязвимостей процессоров, например Foreshadow. Однако если больше компаний начнет оперативно устанавливать патчи, то это положительно скажется на всей экосистеме и значительно снизит число утечек персональных данных. Подобных той, что произошла с Equifax.