Согласно лучшим ИБ-практикам, для исправления уязвимостей ПО устанавливать обновление нужно сразу же после его выхода. Это сокращает временной промежуток, в который организация подвержена риску. Но опросы среди специалистов отрасли показывают, что ИТ-организации перегружены обновлениями, и многие администраторы признают, что просто не справляются. Каков результат? Недавнее исследование института Ponemon показало, что около 60% утечек данных произошли из-за эксплуатации известных уязвимостей ПО, для которых не успели установить обновления.
Патч-менеджмент
Стратегия патч-менеджмента (или управления обновлениями) — это процесс приобретения, тестирования и установки обновленного ПО. К сожалению, многие организации не так уж строго следуют расписанию обновлений. И на это есть множество причин:
Количество
Количество обновлений, выпускаемых для типичного корпоративного программного стека, действительно поражает. Вот количество обновлений безопасности, выпущенных в 2015 году для некоторых приложений:
- Windows 7: 120
- Adobe Flash: 13
- Internet Explorer: 13
Если в качестве примера брать 2015 год и набор обновлений для некоторых стандартных программ на «золотых образах» конечных точек, то можно увидеть, что за год организации потребовалось бы установить обновления 146 раз, в среднем — через каждые 2,5 дня. Это просто невозможно.
Расходы
Время — деньги, и установка обновлений занимает много времени. Стоит помнить также о расходах, связанных с потерей производительности и простоем систем: они могут превратиться в нечто большее, чем просто время на установку обновлений и перезагрузку устройств. Пользователи Microsoft Azure и Office 365 по всему миру не могли войти в свои аккаунты после обновления, которое затронуло сервис многофакторной аутентификации. Кто забудет про суматоху с патчами, когда после обнаружения уязвимостей Meltdown/Spectre вендоры в спешке выпускали нестабильные обновления?
Корпоративная локальная сеть
Обновлять можно только те системы, которые находятся внутри сети или доступны по VPN, и не загружены во время обновления. Это означает, что наиболее уязвимые машины сотрудников, часто бывающих в командировках и использующих сомнительные источники WiFi в кофейнях, не будут получать регулярные обновления. И это в лучшем случае.
Масштаб
Установка обновлений вручную не масштабируется. При автоматической установке требуется тщательно проверить каждое обновление и оценить его потенциальное влияние на бизнес-процессы перед установкой.
Встречайте виртуальный патчинг
Термин «виртуальный патчинг» был придуман несколько лет назад вендорами систем предотвращения вторжений (IPS). Это процесс, при котором блокируются векторы атаки, через которые может быть проэксплуатирована уязвимость. Чтобы это предотвратить, используются различные технологии. Таким образом, организацию можно защитить без затрат и операционных простоев на аварийное обновление, циклы обновления, и, конечно, без дополнительных расходов из-за взломов системы, которая не была вовремя обновлена.
Виртуальный патчинг на уровне сети
Некоторые вендоры полагают, что виртуальный патчинг могут осуществлять только сетевые решения с возможностями анализа пакетов и их сопоставления с базой данных известных уязвимостей. Это было бы разумным подходом, если бы у атак с использованием уязвимостей было одно известное проявление, но это не так. Проблемы в этом случае возникают также с производительностью: при анализе сетевых пакетов и их сравнении с большим количеством сигнатур работа сети замедляется.
Сканирование уязвимостей
Другие вендоры сочетают детект атаки со сканированием на уязвимости. Такой способ может сработать в случае с известными уязвимостями, но он не защитит от уязвимости нулевого дня с момента ее обнаружения и до того, как СЗИ получат обновление с информацией о ней. И этот подход совершенно бесполезен, пока уязвимость не будет обнаружена, что может произойти только через несколько месяцев или даже лет после ее появления.
Виртуальный патчинг Morphisec работает даже для 0-day
Решение Morphisec обеспечивает виртуальный патчинг уязвимостей на конечных точках, появившиеся из-за пробелов в цикле обновления, и меняет парадигму кибербезопасности, обеспечивая проактивное предотвращение эксплойтов. Запатентованная технология Moving Target Defense (MTD) обеспечивает защиту даже для 0-day и еще неизвестных уязвимостей.
Основываясь на подходе MTD, Morphisec разрушает сам вектор атаки, поэтому злоумышленникам не удается проэксплуатировать неисправленные уязвимости. Заказчики могут минимизировать риски, при этом растягивая циклы обновления, помогая перегруженным ИТ-департаментам и снижая стоимость обновления, — нужно просто применить добавить Morphisec в процесс патч-менеджмента.
Заинтересованы в виртуальном патчинге Morphisec?
Чтобы узнать больше, закажите демо, расчет стоимости или пилот Morphisec.