Хабрахабр

Исследование: половина компаний патчит уязвимости в течение месяца — почему?

Исследователи из компании Kollective, занимающейся разработкой программно-определяемых сетей доставки контента, провели опрос среди двух сотен американских и британских организаций. Они обнаружили, что почти половине компаний на закрытие известной уязвимости нужен целый месяц. Расскажем, почему так происходит, и что с этим можно сделать.


/ PxHere / PD

Компании слишком долго устанавливают патчи

Опрос Kollective проводился среди руководителей IT-отделов. 45% респондентов из крупных корпораций (у которых больше 100 тыс. сетевых терминалов) ответили, что для установки патча им нужно примерно 30 дней. Еще 27% сказали, что иногда на установку обновлений у них уходит несколько месяцев.

По данным Symantec, в прошлом году количество атак вирусов-вымогателей увеличилось на 36%. В условиях растущего числа киберугроз, подобный подход видится неприемлемым. образцов вредоносных программ. При этом известно, что каждый день появляется более 230 тыс.

Однако простое обновление безопасности по-прежнему остается одним из наиболее эффективных способов защиты. В связи с этим за последние два года время на установку патча, которое есть у компании до того, как уязвимостью воспользуются злоумышленники, сократилось на 29%. Во многих взломах и сливах данных хакеры используют уязвимости, для которых уже был выпущен патч.

специалистов по ИБ со всего мира и выяснили, что 56% компаний могли избежать слива информации в прошлом, если бы вовремя установили нужно обновление. ServiceNow провели опрос среди 3 тыс. Тогда в сеть утекли ПД более 140 млн. Примером может быть масштабное хищение персональных данных у бюро Equifax в США. американцев.

Хакеры использовали уязвимость во фреймворке Apache Struts (CVE-2017-5638), связанную с ошибкой в обработке исключений. Этого инцидента можно было избежать, если бы специалисты бюро кредитных историй вовремя установили «заплатку». Патч для этой уязвимости был выпущен за два месяца до атаки на Equifax.

Почему задерживают обновления

1. Нехватка сотрудников. Отделы информационной безопасности страдают от недостатка квалифицированных специалистов. По данным некоммерческой организации ISACA, к 2019 году в индустрии будет наблюдаться дефицит сотрудников по ИБ. Нехватка составит примерно 2 млн человек.

В исследовании McAfee от 2016 года четверть респондентов сказала, что недостаток экспертов по ИБ в их фирме стал причиной утечек данных. Это уже напрямую влияет на защиту организаций от кибератак.

Неэффективное управление установкой патчей. Однако расширение штата ИБ-специалистов в компании не всегда приводит к увеличению надежности ИТ-инфраструктуры. 2. В ServiceNow отмечают, что повышения безопасности ждать не стоит, пока не будут модифицированы бизнес-процессы, связанные с патчингом.

Есть компании, которые для управления патчингом до сих пор используют Excel. На скорости закрытия уязвимостей сказывается большое число ручных процессов. д. Одна компания из Fortune 100 даже сформировала целый отдел из сотрудников, ответственных за управление электронными таблицами с данными об уязвимостях — они пишут туда, есть ли патч, кто его устанавливает и т.

По словам вице-президента по облачным исследованиям в Trend Micro Марка Нунниховена (Mark Nunnikhoven), именно отсутствие автоматизации процессов обновления ИТ-систем в компаниях стало одной из главных причин широкого распространения WannaCry.

Сложность приоритизации обновлений. По мнению издания CSO, ещё одна причина медленного обновления систем — слишком большое количество патчей. 3. Даже в случае с Spectre и Meltdown специалисты высказали противоположные мнения: одни эксперты предлагали подождать, а другие торопились установить патчи побыстрее. Специалистам по безопасности сложно расставлять приоритеты и решать, какие из них нужно установить раньше других.

К августу этого года в базы CVE и NVD не попали более 3 тысяч угроз из тех, что были обнаружены с января по июнь 2018. Ситуацию усложняет и медленное пополнение баз данных с уязвимостями. Почти половина из них получила высший рейтинг опасности по CVSSv2.

Сложность установки. В компании Barkly провели опрос на тему установки обновлений Meltdown и Spectre среди специалистов по ИБ. 4. 80% респондентов посчитали процесс установки патчей для закрытия уязвимостей в чипах Intel «неясным».

Со временем утилиты начали появляться, но гарантировать их надежность было нельзя, — рассказывает Сергей Белкин, начальник отдела развития 1cloud. «Когда появились Meltdown и Spectre, не было удобной тестовой утилиты для выявления этих уязвимостей. Однако потом появились решения (в частности, для ряда дистрибутивов Linux), позволяющие выяснить, подвержена система Meltdown и Spectre или нет, одной командой в консоли». — Позже в Microsoft предложили метод проверки, но и он был довольно сложен.

Как повысить скорость обновлений

1. Автоматизировать установку патчей. Автоматизация процесса обновления упрощает задачу администраторам и конечным пользователям. Система сама скачивает патчи из интернета, а сисадмину остается следить за процессом установки. Это особенно важно для облачных провайдеров, так как в их ведении находится огромное количество «машин».

Они позволяют выбрать необходимые патчи, предлагаемые поставщиком ОС. Существуют инструменты (к примеру, HPE Server Automation), которые централизованно обновляют операционные системы на серверах ЦОД. Еще с их помощью можно настроить сам процесс установки, например, чтобы исключить обновления, не подходящие для конкретной среды.

Обучать сотрудников. Важную роль в обеспечении безопасности данных играют люди. 2. Потому нужно повышать осведомленность ИТ-специалистов и рядовых сотрудников компании, вкладывать средства и время хотя бы в проведение курсов базовой кибергигиены.


/ Flickr / Kelly / CC

Австралийское подразделение PricewaterhouseCoopers проводит среди своих клиентов игру Game of Threats, когда в особом симуляторе соревнуются команды «хакеров» и «защитников системы». В целом для лучшего усвоения знаний о безопасности данных можно использовать самые разные методы, например геймификацию.

Вкладывать больше средств в кибербезопасность. По оценке Gartner, в 2018 году расходы организаций на кибербезопасность увеличатся на 12,4% в сравнении с прошлым годом. 3. Фирмы будут тратить больше денег на автоматизацию процессов и новые технологии защиты данных, чтобы специалисты по ИБ могли работать эффективнее.

Что дальше

Медленная установка обновлений безопасности — это системная проблема. И, вероятно, она будет доставлять «неудобства» еще довольно долгое время, особенно в свете обнаружения новых крупных уязвимостей процессоров, например Foreshadow. Однако если больше компаний начнет оперативно устанавливать патчи, то это положительно скажется на всей экосистеме и значительно снизит число утечек персональных данных. Подобных той, что произошла с Equifax.

Еще пара постов из корпоративного блога 1cloud:

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть