Согласно результатам последнего исследования Secunia, своевременная установка патчей является ключевой мерой обеспечения корпоративной безопасности. При ограниченных ресурсах снизить корпоративные риски на 80% можно, поддерживая в актуальном состоянии 12 наиболее критичных для работы программ или 37 самых популярных в пределах конкретного портфолио.
В условиях роста числа интернет-угроз, которые к тому же постоянно эволюционируют, и усложнения нормативных требований к деловым операциям достичь баланса между приемлемым уровнем безопасности ИТ-инфраструктуры и соответствием отраслевым стандартам весьма непросто. По мнению экспертов, эффективной мерой уменьшения коммерческих рисков, способной решить эту проблему с минимальными затратами, является правильный выбор подхода к защите конечного оборудования. Его неистребимая уязвимость доставляет много хлопот корпоративным сисадминам и неизменно играет на руку злоумышленникам, атакующим корпоративные сети.
Традиционные меры интернет-безопасности — межсетевые экраны, антивирусы, IDS — уже плохо справляются с могучей лавиной многоликих зловредов, вооруженных средствами самозащиты. В такой обстановке наличие брешей в пестром корпоративном софте, число которых со временем только увеличивается, представляют собой главную угрозу безопасности бизнес-структуры. У многих организаций нет ни финансов, ни технических возможностей, чтобы держать в тонусе весь программный портфолио, который вдобавок постоянно видоизменяется. Не следует также забывать, что установку патчей в корпоративной сети тормозит процесс тестирования на совместимость, который сам по себе требует дополнительных расходов.
По мнению Secunia, выход здесь один: вычленить набор приоритетных продуктов и строго следить за их актуальностью. Как оказалось, сделать это несложно, нужно лишь тщательно контролировать изменение обстановки и вносить соответствующие коррективы. Эксперты установили, что на типовом ПК под Windows обычно присутствуют 26 программ Microsoft, включая ОС, и 24 инструмента от 13 других вендоров. Однако за 5 лет вклад Microsoft в общий объем уязвимостей при таком составе инструментария уменьшился с 55 до 31%, хотя общее число выявленных брешей в этих 50 популярных продуктах возросло более чем в 3 раза. Как выяснилось, основной прирост произошел за счет новых уязвимостей в приложениях сторонних разработчиков. При этом далеко не все из этих программ имели свой механизм автоматического обновления и долгое время оставались непропатченными.
По оценке Secunia, своевременная установка заплат для десятка наиболее распространенных программ (за вычетом Windows, обновляемой автоматически) позволяет снизить корпоративные риски в среднем на 31%. С другой стороны, если последовательно латать только 10 критически важных для ИТ-инфраструктуры продуктов, можно добиться результата в 71%. Как показывает опыт, применение такой политики на протяжении 6 лет с внесением соответствующих корректив обеспечивает крепкое здоровье 18-ти ключевым инструментам.
Что касается эксплойтов нулевого дня, масштабы этой угрозы, по мнению экспертов, сильно преувеличены. Кибератаки такого рода требуют от злоумышленника больших трудозатрат и хорошей технической подготовки, тогда как вокруг достаточно более доступных целей — хорошо известных, но не закрытых брешей. Кроме того, по данным Secunia, для 65% уязвимостей 0-day на типовом ПК патч выпускается в день публикации, для 75% — в течение 10 дней со дня публикации.