Szybkie aktualizowanie oprogramowania i sprzętu może uchronić firmę przed wieloma cyberzagrożeniami wynikającymi z luk w systemach. Jednak jak pokazują badania Trend Micro i doświadczenia zeszłorocznych ataków WannaCry czy Petya pomimo dostępności poprawek pracownicy nie instalują ich w odpowiednio szybkim czasie, stwarzając tym samym ogromne zagrożenie dla firmy. Jakie procedury powinna przyjąć firma, aby zapobiec nowym atakom?
Luki w zabezpieczeniach a sieci firmowe
Tylko w pierwszej połowie 2018 roku Trend Micro opublikowało ponad 600 porad na temat luk w zabezpieczeniach. Zwykle przedmiotem tych porad jest oprogramowanie, ale w tym roku pojawiło się więcej niż zwykle słabych punktów w sprzęcie, które wymagają aktualizacji oprogramowania sprzętowego.
Jak wynika z raportu, luki w sprzęcie to skomplikowany problem dla administratorów IT, którzy muszą zajmować się wykrywaniem podatności w oprogramowaniu dużych producentów. I chociaż producenci regularnie publikują własne aktualizacje usuwające odkryte słabe punkty, firmy wciąż mają problemy z zabezpieczeniem swoich sieci. Natomiast wykorzystanie słabych punktów zabezpieczeń to najpopularniejsza strategia hakerów. Dlatego organizacje muszą instalować poprawki, publikowane przez producentów sprzętu i oprogramowania, tak szybko jak to możliwe, co znacznie zmniejsza prawdopodobieństwo udanego ataku lub infiltracji wykorzystujących znane luki w zabezpieczeniach.
Aktualizacje oprogramowania sprzętowego wyzwaniem dla działów IT
Choć instalowanie aktualizacji oprogramowania nie jest łatwe (między innymi z powodu wielkiej ich liczby), to poprawki związane z elementami sprzętowymi szczególnie komplikują pracę firmowych informatyków.
W raporcie Trend Micro stwierdzono, że zastosowanie poprawek oprogramowania sprzętowego na wszystkich urządzeniach, na których jest to konieczne, jest dużo trudniejsze. Ponadto niektóre poprawki pogarszają wydajność starszych urządzeń, co może dodatkowo zakłócać działanie firmy. To stwierdzenie dotyczy luk w mikroprocesorach i związanych z nimi poprawek, ale tego rodzaju aktualizacje dla sprzętu utrudniają stałe utrzymanie bezpieczeństwa i niezawodności infrastruktury.
Systemy SCADA pod lupą
Szczególnie dużo luk w zabezpieczeniach odkryto w systemach SCADA. Liczba podatności w pierwszej połowie 2018 roku wzrosła o 30% w porównaniu z drugą połową 2017 roku. Wiele tych luk było związanych ze słabymi punktami oprogramowania interfejsów człowiek-maszyna systemów SCADA. Atak na system SCADA może być tylko jednym z etapów włamania do firmy umożliwiającym uzyskanie informacji na potrzeby dalszych ataków.
Badanie Trend Micro pokazuje, że mimo ogólnego wzrostu liczby luk w systemach SCADA, producenci dużo szybciej przygotowują poprawki usuwające zidentyfikowane słabe punkty. W tym roku badacze Trend Micro odnotowali spadek liczby luk typu „zero-day” w systemach SCADA o 77% w porównaniu z drugą połową 2017 roku. Nie oznacza to jednak, że firmy używające tych systemów nie muszą nieustannie dbać o bezpieczeństwo swoich platform. Choć widać poprawę, to sama liczba wykrytych luk pokazuje wyraźnie, że firmy z infrastrukturami o znaczeniu krytycznym muszą cały czas dbać o bezpieczeństwo systemów SCADA i inwestować w zabezpieczenia wielowarstwowe.
Jaka nauka płynie z oprogramowania WannaCry i Petya?
Luki w systemach, sprzętach, oprogramowaniu i inne problemy bledną w porównaniu z powszechnie występującymi lukami w zabezpieczeniach, których efekty odczuło na swojej skórze wiele działów IT w roku 2018, a zwłaszcza rok wcześniej. Oprogramowanie WannaCry zainfekowało setki tysięcy systemów na całym świecie, żądając od ofiar zapłacenia okupu za odszyfrowanie ważnych plików i danych w niemożliwej do wyśledzenia kryptowalucie. Według badaczy efektem były straty w wysokości miliardów dolarów z powodu wstrzymania działalności i utraconych przychodów w firmach, które padły ofiarą WannaCry.
Po WannaCry pojawiło się oprogramowanie Petya. Łączy je to, że wykorzystują tę samą, wcześniej załataną lukę: MS17-010 nazywaną „EternalBlue”. Duża liczba ofiar i wysokie straty skierowały powszechną uwagę na problem regularnych aktualizacji i zarządzania nimi. Z badania Trend Micro wynika, że mimo dostępności poprawki, która chroniła przed infekcją, wiele firm i użytkowników miało systemy podatne na atak.
Jak pokonać trudności w zarządzaniu aktualizacjami?
Oto cztery najlepsze procedury, które trzeba wziąć pod uwagę podczas wdrażania procesów zarządzania aktualizacjami w firmie:
- Świadomość problemu i automatyzacja: WannaCry i podobne ataki na pewno zwiększyły świadomość problemu, jednak jednym z pierwszych etapów ulepszania strategii aktualizacji musi być uzmysłowienie użytkownikom, jak ważne jest szybkie instalowanie aktualizacji. Podczas badania przeprowadzonego w 2017 roku przez firmy Forbes i BMC stwierdzono, że firmy zwracają na to coraz większą uwagę i zwiększają inwestycje w rozwiązania do automatyzacji instalowania aktualizacji. Ponad 43% dyrektorów stwierdziło, że pracują ze swoimi zespołami informatyków nad nadaniem aktualizacjom wyższego priorytetu.
- Unikanie aktualizacji ad hoc: Choć w niektórych sytuacjach aktualizacje mogą być instalowane ad hoc, stosowanie takiego podejścia jako podstawowej strategii może powodować poważne problemy w firmach. Dyrektorzy i szefowie działów informatycznych powinni wypracować rozwiązania pozwalające uniknąć aktualizacji ad hoc oraz stosować kompleksowe podejście z regularnym harmonogramem, aby zapewnić jak najszybsze instalowanie aktualizacji sprzętu i oprogramowania, w których wykryto luki.
- Właściwe priorytety: Terminowość to jedno z największych wyzwań w obszarze zarządzania aktualizacjami. Czasem zainstalowanie aktualizacji w dniu (a nawet tygodniu) jej wydania jest po prostu niemożliwe. Inne działania i ważne projekty mogą powodować, że zabraknie na to czasu. Jak pisze Mary Shacklett dla TechRepublic, niektóre poprawki, na przykład poprawiające wydajność lub usuwające mniej ważne błędy, można odłożyć na później. Jednak aktualizacje usuwające luki w zabezpieczeniach powinny zawsze mieć wysoki priorytet i być instalowane jak najszybciej.
- Testowanie poprawek przed instalacją: Zainstalowanie aktualizacji to nie koniec pracy informatyków. Administratorzy muszą przetestować poprawki po ich zainstalowaniu, aby mieć pewność, że działają poprawnie i rzeczywiście usuwają problemy.