Что больше угрожает безопасности: патчинг или хакерская атака?

Что больше угрожает безопасности: патчинг или хакерская атака?

Последние кибератаки WannaCry и NotPetya (считается маскирующейся версией вируса-вымогателя Petya, впервые обнаруженного в марте 2016 года) вызвали массовые сбои систем в тысячах компаний по всему миру. Поскольку вредоносы используют уязвимости, хорошо известные вендорам средств информационной безопасности, напрашивается вопрос: если есть «вакцина» от подобных вирусов, почему она до сих пор не была установлена на зараженные компьютеры?

 

 

 

1. Введение

2. Что важно знать про патчи и безопасность

3. Рекомендации

4. Заключение

 

 

Введение

Чаще всего к ситуации относятся с пренебрежением. Патч в организации был, но специалисты недооценили важность его установки. В другой раз было понимание необходимости, но недостаток ресурсов мешал пропатчить систему вовремя. Однако иногда все происходит совсем наоборот: недобросовестность сотрудников сменяется желанием броситься в бой со сложно организованной информационной системой, в то время как следует быть более осмотрительным и внимательным при патчинге, особенно если речь идет об обновлении ИБ-системы. К сожалению, многие эксперты по вопросам безопасности оказываются именно в этой группе, и очень часто их компании имеют наибольший риск повреждения, и они с большей вероятностью страдают от сильнейших вирусов.

 

Что важно знать про патчи и безопасность

Здесь следует отметить несколько важных моментов.

  1. Устанавливать ИБ-патчи так же опасно, как вносить другие изменения

Не исключено, что во время установки защитного обновления бизнес-приложения компании начнут работать с перебоями или совсем выйдут из строя. Это может нарушить привычный ход процессов и нанести ущерб. Тем не менее, это справедливо для всех видов изменений программных компонентов, а не только для тех, которые связаны с улучшением безопасности. Распространенным подходом к управлению рисками является отсрочка массовой установки изменений, включая патчи, до тех пор, пока все (или по крайней мере самые существенные) бизнес-приложения не будут тщательно протестированы внутренними ресурсами, чтобы удостовериться, что они исправно работают.

Хотя в теории предварительное тестирование ИБ-патчей звучит неплохо, и многим это кажется единственным верным подходом, проверка настроек компании обычно занимает несколько дней или недель. В результате это приводит к непредвиденным последствиям в виде внезапно появившегося еще до установки патча вируса. Кроме того, охват и глубина такого самостоятельного тестирования, даже если оно уже проведено, носят незаконченный характер, поэтому риск может снизиться лишь частично. Таким образом, пропатчивание опасно, но вредоносная программа, подчинившая себе всю инфраструктуру, может обернуться катастрофическими последствиями. Этим риском обязательно нужно научиться управлять. 

  1. Когда зловред наносит удар, даже экстренное пропатчивание не будет лишним

Опыт показывает, что даже при угрозе заражения вирусом те сотрудники, которые неохотно устанавливают патчи безопасности без предварительного тестирования, как правило, сдаются первыми и дают зеленый свет экстренному пропатчиванию. Почему? Возможно, потому что равновесие резко меняется в сторону опасности.

Еще до вредоносного вмешательства вопрос, устанавливать патч или нет, заключается в выборе между небольшой вероятностью разрушения (внедрение патча само по себе рискованно) и предполагаемыми, гипотетическими опасностями (ничего не менять, позволить функционировать как раньше — «если ничего не сломано, нечего чинить»). Но когда происходит вирусная атака, тотчас же возрастает вероятность серьезного сбоя системы компании и риск что-нибудь еще сломать через пропатчивание в сравнении неожиданно меркнет.

  1. Компьютеры без патчей представляют собой риск даже для тех устройств, которые уже прошли эту процедуру

Теперь поле игры меняется. В то время как вирусная атака в одном направлении еще может быть остановлена, вредоносная программа может другими путями распространять угрозу и причинять более серьезный ущерб ИТ-инфраструктуре. То есть сейчас как никогда важно уменьшить радиус возможных атак. Это огромный мотивирующий фактор для всеобъемлющей и своевременной установки программ безопасности и использования других различных защитных технологий, призванных обеспечить среду, где у всех девайсов есть необходимые патчи. Например, системы управления доступом. 

Вопрос не в том, необходима ли установка патчей, а в том, как найти баланс между уменьшением операционных рисков, вызванных использованием патчей безопасности, и способностью быть достаточно быстрым, чтобы гарантировать эффективную защиту от отдельных вспышек, понимая, что время между обнаружением уязвимых мест и их интенсивным развитием стремительно сокращается.

 

Рекомендации

  1. Положитесь на тех, кто через это уже прошел

ИБ-специалисты, выше нос, вы не одиноки! Среди нас немало тех, кто сталкивается с дилеммой, внедрять определенный патч или нет. Не только вы тестируете патч, другие тоже его проверяют. И только некоторые решатся на невероятное: установить патч без теста, доверяя производителям программного обеспечения, которые утверждают, что все будет в порядке. Точно так же как вы полагаетесь на информацию в Twitter, Facebook или на статьи в СМИ и узнаете о последствиях конкретного вируса, таким же образом вы можете использовать эти ресурсы, чтобы определить потенциальную проблему, связанную с патчем безопасности.

  1. Пропатчивание не обязательно должно произойти как большой взрыв 

Не все компьютеры в корпоративной сети играют важную роль для бизнеса. Наверняка найдется пара устройств, неисправность которых не нарушит работу всей системы и не причинит неудобств. Во многих компаниях есть небольшая инфраструктура (в идеале, компьютеры из разных департаментов, обслуживающие определенные функции бизнеса) для экспериментирования над программным обеспечением, в том числе и с патчами безопасности.

Изменения и патчи устанавливаются на эти компьютеры и тщательно тестируются перед тем, как будут внедрены в инфраструктуру. Несмотря на то, что этот способ подходит не всем компаниям, он может быть альтернативой тестирования патчей, требующих внимательного рассмотрения. Такой подход значительно сократит время на пропатчивание.

  1. Важнее всего — вовремя обнаружить угрозу и принять соответствующие меры

Как гласит известная поговорка: «Лучшее лечение — это профилактика». Соответственно, каждая минута раннего обнаружения и мгновенного реагирования на вирусную атаку может спасти дни и даже недели чисток и восстановлений. Необходимо как можно быстрее запустить патчи и даже внедрить технологию, которая разрешит получать доступ к информационным ресурсам компании только наделенным такими правами безопасным устройствам.

 

Заключение

Безусловно, невозможно предотвратить все атаки. Когда вредоносная программа наносит удар, причиненный ущерб зачастую растет в геометрической прогрессии пропорционально затраченному времени на обнаружение и успешное сдерживание угрозы.

Это время может быть сокращено только с помощью современных технологий, которые промониторят сразу несколько событий в режиме реального времени. Они оповестят персонал о подозрительной и потенциально опасной активности и подготовят необходимые инструменты, чтобы быстро проанализировать и понять основные причины нетипичных действий. Кроме того, система может подготовить план ответных мер и распределить зоны ответственности сотрудников. Предотвращайте атаки максимально, насколько это возможно, и реагируйте даже на такие угрозы, которые на первый взгляд вы не в силах отразить. Сделайте все возможное, чтобы всегда быть начеку, вовремя выявлять атаки и незамедлительно на них отвечать.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru