Ежегодные отчеты Verizon о расследовании взломов раз за разом показывают, что
всё меньше атак (а в последнем отчёте говорится, что лишь 5 уязвимостей
использовались для 381 взлома) используют уязвимости, которые могли быть
исправлены. Следует ли компаниям переоценить свои приоритеты?

Основной составляющей большинства, если не всех, программ ИТ-безопасности,
является своевременное исправление уязвимостей в критических системах.

Однако, эксперты в области безопасности по-новому взглянули на стратегию,
поскольку данные о взломах продолжают демонстрировать, что очень немногие атаки
нарушают работу систем используя уязвимости, которые могли бы быть устранены.
Согласно данным Отчета о расследованиях утечек данных (Data
Breach Investigations Report
, DBIR), в 2010 году, например, злоумышленники
использовали лишь пять уязвимостей для своих 381 атак, исследованных Verizon. В
качестве альтернативы, большинство хакеров использовали ошибки в конфигурации
или получали учётные данные к другим системам.

"Данные показывают, что сосредоточение ИТ на патчах может привести к тому,
что менеджеры пропустят друге важные стратегии, минимизирующие риски", — заявил
Уэйд Бейкер, директор службы исследования рисков компании Verizon.

"В целом, индустрия безопасности гораздо более настроена на уязвимости, чем
на угрозы или минимизацию ущерба", — говорит он. "Угроза, уязвимость и ущерб
являются компонентами риска, но большая часть нашего времени уходит на
уязвимости".

Данные Verizon подчеркивают, что патчи, хотя и являются необходимым
компонентом любой программы управления уязвимостями, не являются достаточными.
Это мем, который как эхо повторяют профессионалы в области безопасности, в том
числе: Джош Корман, директор компании по исследованию безопасности Akamai,
который сослался на исследование говоря о том, что существуют причины для
компаний, чтобы рассмотреть и другие стратегии по сокращению количества
уязвимостей и влияния утечек.

Эксперты в области безопасности, однако, не говорят о том, что предприятиям
следует исключить стратегии управления уязвимостями и процессы патчинга.
"Компании должны просто убедиться, что их приоритеты сбалансированы", — говорит
Бейкер. Например, если компания пропатчивает свои системы один раз в квартал, то
добиваться увеличения скорости внедрения патчей становиться уже не таким важным
— нужно убедиться, что исправления были выполнены во всех системах.

"Ускорение процесса патчинга не настолько сокращает риск, как уверенность,
что он проведен везде", — объясняет Бейкер. "Проблема заключается не в скорости
развертывания исправлений – а в отсутствии развертывания исправлений на
отдельных системах".

"Также компании должны уделять больше внимания выявлению плохо настроенных
информационных систем и обучению разработчиков методам более безопасного
программирования", — говорит Марк Maйффрет, технический директор компании еEye,
фирмы по управлению уязвимостями. В ходе
исследования уязвимостей
, которое провела компания Microsoft в 2010 году,
было обнаружено, что два простых изменения — блокировка WebDAV-подключений и
отключение преобразования файлов Office — могли бы предотвратить использование
12% всех уязвимостей, в том числе и те, которые использовались в крупных атаках.

"Простые наработанные методы конфигурации для операционной системы,
программного обеспечения и сетевой архитектуры могли бы предотвратить или хотя
бы уменьшить угрозу Stuxnet, Aurora, и других крупных атак", – добавляет
Майффрет.

Однако, Майффрет не согласен с данным Verizon, касающимися патчей.
"SQL-инъекции не считаются уязвимостями, поддающимися исправлениям, но могут
быть обнаружены хорошим сканером уязвимостей и закрыты, но в большинстве случаев
не сторонним патчем", — утверждает он.

Бейкер из компании Verizon принимает такую критику, но отвечает, что эти
данные показывают реальную тенденцию: злоумышленники избегают использования
уязвимостей в пользу эксплуатации конструктивных недостатков, злоупотребляя
украденными учетными данными или наживаясь на доверии пользователей. Кроме
поиска недоработанных конфигураций, менеджеры ИТ-безопасности должны просвещать
своих пользователей, уменьшать площадь атак своих сетей, а также развивать
навыки разработчиков в направлении безопасного кодирования.

"Развитие безопасного программирования также важно, если не больше, чем,
внесение исправлений", – утверждает Бейкер. " Просто патчи не могут 
обеспечить развитие".

Оставить мнение

Check Also

Как работает Linux: от нажатия кнопки включения до рабочего стола

Лучший способ понять, как работает операционная система, — это проследить поэтапно ее загр…