Ежегодные отчеты Verizon о расследовании взломов раз за разом показывают, что
всё меньше атак (а в последнем отчёте говорится, что лишь 5 уязвимостей
использовались для 381 взлома) используют уязвимости, которые могли быть
исправлены. Следует ли компаниям переоценить свои приоритеты?
Основной составляющей большинства, если не всех, программ ИТ-безопасности,
является своевременное исправление уязвимостей в критических системах.
Однако, эксперты в области безопасности по-новому взглянули на стратегию,
поскольку данные о взломах продолжают демонстрировать, что очень немногие атаки
нарушают работу систем используя уязвимости, которые могли бы быть устранены.
Согласно данным Отчета о расследованиях утечек данных (Data
Breach Investigations Report, DBIR), в 2010 году, например, злоумышленники
использовали лишь пять уязвимостей для своих 381 атак, исследованных Verizon. В
качестве альтернативы, большинство хакеров использовали ошибки в конфигурации
или получали учётные данные к другим системам.
"Данные показывают, что сосредоточение ИТ на патчах может привести к тому,
что менеджеры пропустят друге важные стратегии, минимизирующие риски", - заявил
Уэйд Бейкер, директор службы исследования рисков компании Verizon.
"В целом, индустрия безопасности гораздо более настроена на уязвимости, чем
на угрозы или минимизацию ущерба", - говорит он. "Угроза, уязвимость и ущерб
являются компонентами риска, но большая часть нашего времени уходит на
уязвимости".
Данные Verizon подчеркивают, что патчи, хотя и являются необходимым
компонентом любой программы управления уязвимостями, не являются достаточными.
Это мем, который как эхо повторяют профессионалы в области безопасности, в том
числе: Джош Корман, директор компании по исследованию безопасности Akamai,
который сослался на исследование говоря о том, что существуют причины для
компаний, чтобы рассмотреть и другие стратегии по сокращению количества
уязвимостей и влияния утечек.
Эксперты в области безопасности, однако, не говорят о том, что предприятиям
следует исключить стратегии управления уязвимостями и процессы патчинга.
"Компании должны просто убедиться, что их приоритеты сбалансированы", - говорит
Бейкер. Например, если компания пропатчивает свои системы один раз в квартал, то
добиваться увеличения скорости внедрения патчей становиться уже не таким важным
- нужно убедиться, что исправления были выполнены во всех системах.
"Ускорение процесса патчинга не настолько сокращает риск, как уверенность,
что он проведен везде", - объясняет Бейкер. "Проблема заключается не в скорости
развертывания исправлений – а в отсутствии развертывания исправлений на
отдельных системах".
"Также компании должны уделять больше внимания выявлению плохо настроенных
информационных систем и обучению разработчиков методам более безопасного
программирования", - говорит Марк Maйффрет, технический директор компании еEye,
фирмы по управлению уязвимостями. В ходе
исследования уязвимостей, которое провела компания Microsoft в 2010 году,
было обнаружено, что два простых изменения - блокировка WebDAV-подключений и
отключение преобразования файлов Office - могли бы предотвратить использование
12% всех уязвимостей, в том числе и те, которые использовались в крупных атаках.
"Простые наработанные методы конфигурации для операционной системы,
программного обеспечения и сетевой архитектуры могли бы предотвратить или хотя
бы уменьшить угрозу Stuxnet, Aurora, и других крупных атак", – добавляет
Майффрет.
Однако, Майффрет не согласен с данным Verizon, касающимися патчей.
"SQL-инъекции не считаются уязвимостями, поддающимися исправлениям, но могут
быть обнаружены хорошим сканером уязвимостей и закрыты, но в большинстве случаев
не сторонним патчем", - утверждает он.
Бейкер из компании Verizon принимает такую критику, но отвечает, что эти
данные показывают реальную тенденцию: злоумышленники избегают использования
уязвимостей в пользу эксплуатации конструктивных недостатков, злоупотребляя
украденными учетными данными или наживаясь на доверии пользователей. Кроме
поиска недоработанных конфигураций, менеджеры ИТ-безопасности должны просвещать
своих пользователей, уменьшать площадь атак своих сетей, а также развивать
навыки разработчиков в направлении безопасного кодирования.
"Развитие безопасного программирования также важно, если не больше, чем,
внесение исправлений", – утверждает Бейкер. " Просто патчи не могут
обеспечить развитие".
