Шесть жестоких истин для CIO. Часть 4

4 январь, 2018 - 16:42Александр Черников

Очень часто можно услышать рассуждения о вирусах и другом вредоносном ПО. Гораздо реже говорят об обновлении систем, патчах к ПО, замене версий. Здесь, как правило, исповедуется принцип «Работает – не трогай». Только вот это самое вредоносное ПО находит все новые дыры в системных и прикладных программах.

Истина 4. Ваше ПО непропатчено и небезопасно

Шесть жестоких истин для CIO. Часть 4


ПО без последних обновлений и исправлений – это большой риск для безопасности и соблюдения регулятивного законодательства. И все же, согласно обзору Flexera от февраля 2017 г., по крайней мере 10% американских пользователей в 2016 г. работали на непропатченных версиях Windows, хотя очень многие обновления от Microsoft направлены именно на «затыкание дыр» в системе.

Отчет «The 2016 Duo Trusted Access Report: The Current State of Device Security» компании Duo Labs от мая 2016 г. утверждает, что четверть бизнес-систем находится в опасности из-за устаревшего ПО. Вот некоторые его выводы.

Duo Labs: Не ленитесь обновляться

  • 25% систем с Windows имеют устаревшие и уже не поддерживаемые версии Internet Explorer (IE). Половина всех систем с Windows XP использует IE7 или IE8. Это в сумме с IE11 и Edge дает более 700 известных уязвимостей.

  • 60% пользователей Flash и 72% Java работают с устаревшими версиями. Flash и Java – печально известные цели, которые использовались нападавшими, чтобы получить доступ к компьютерам их жертв. В то время, как Flash and Java хорошо патчатся и обновляются, пользователи все же используют устаревшие версии, что может поставить под угрозу не только их, но и всю организацию, в которой они работают.

  • Google Chrome – самый актуальный браузер среди рассмотренных. Более 80% пользователей Chrome обновлены, – по сравнению с 66% у Firefox,  58% у Edge и IE11. Chrome всегда более актуальный, чем другие браузеры, поскольку Google устанавливает обновления и новые версии автоматически, без необходимости одобрения от пользователя.

  • Пользователи Mac имеют более актуальное состояние своих операционных систем, чем пользователи Windows. Пользователи Apple более вероятно работают с обновленной ОС, потому что эти обновления, как известно, более устойчивы, чем обновления Windows. Новая OS X также в большой степени продвинута, в то время, как у главных обновлений Windows исторически сложилась репутация источника больших проблем, которые иногда даже заканчиваются «синим экраном смерти».

Шесть жестоких истин для CIO. Часть 4

Почему складывается такая картина, частично объясняет Джеймс Ли (James Lee), исполнительный вице-президент и CMO компании Waratek, которая занимается безопасностью приложений

«У нас полно клиентов, которые не могут идти в ногу с патчами, потому, что их компании быстро растут, и требуется много времени, чтобы постоянно обновлять системы», – говорит он. – «Кроме того, у них, как правило, есть наследуемые приложения, которые не могут быть обновлены или сделаны более безопасными иначе, как полным переписыванием кода или их заменой.

Еще хуже, что безопасность часто является слишком низким приоритетом для разработчиков ПО, которые в основном заботятся о том, чтобы акцентировать какие-то его особенности и преимущества, а также написать код вовремя и в рамках бюджета. Результат – создание ПО, которое все более и более уязвимо для нападений».

Проблемы с патчингом

Не устраненные уязвимости являются повседневным фактом жизни во многих IT-средах. Случаи проникновения ransomware, такие как WannaCry, служат доказательством того, что предприятия отстают от исправлений.

Шесть жестоких истин для CIO. Часть 4

Результат работы WannaCry за первые 24 часа после появления. Вывод – практически нигде в мире не следят за обновлениями и предупреждениями

WannaCry удалось нарушить работу более 220 тыс. систем, несмотря на то, что им использовалась уже известная уязвимость. Она должна была быть исправлена в большинстве инфраструктур, поскольку Microsoft выпустила соответствующий патч более чем за два месяца до заражения.

Проблема исправлений не может быть решена путем привлечения дополнительного персонала для ручной инсталляции и тестирования приложений. Выявление всех уязвимостей в ПО требует значительного количества времени и усилий – обычно больше, чем могут позволить себе организации. Просить разработчиков об устранении всех уязвимостей также бесполезно, поскольку многие из них не находятся в коде приложения, который они пишут и проверяют.

Даже если организации готовы исправлять уязвимости в своем собственном коде, приложения все равно могут быть уязвимы, поскольку разработчики приложений пишут только 10-20% кода, который работает в системе. Некоторые из этих компонентов являются закрытыми проприетарными компонентами, но большинство имеют открытый исходный код.

Согласно последнему исследованию Sonatype, в 2017 году из Центрального репозитория было загружено 52 млрд. компонентов Java с открытым исходным кодом. Это – увеличение на 68% с 2016 года, что свидетельствует о тенденции к продолжению роста.

Ничего удивительного. Открытый источник способствует быстрым инновациям и быстрым поставкам и, таким образом, играет центральную роль в разработке ПО и жизненном цикле в целом. Но такие быстрые инновации и быстрая доставка могут стоить дорого.

Sonatype проанализировала 1,8 млн. компонентов Java, доступных в Центральном репозитории, и определила, что 5,9% из них содержат уже известные и описанные уязвимости. Исследователи из North East University проанализировали данные из более чем 133 тыс. веб-сайтов и сообщили, что 37% из них включают по крайней мере одну библиотеку с известной уязвимостью.

Устранение этих уязвимостей, в принципе, несложно – нужно просто установить более новую версию компонента. Но реальность в том, что этот процесс может быть трудно управляемым и масштабируемым, поскольку более 10 тыс. новых версий компонентов с новыми функциями, исправленными ошибками и безопасностью публикуются ежедневно. В частности, команды безопасности и DevSecOps перегружены и часто не могут легко справиться с огромным количеством исправлений, которые должны применяться.

Выводы из Истины 4

Тут уж как ни крути, на злобных хакеров проблему спихнуть не удастся. Дело спасения утопающих – дело рук самих утопающих. Конечно, совершенно неинтересно и даже противно постоянно следить за актуальностью своего системного и прикладного ПО, в то время, как необходимо делать свою основную работу.

Штатные безопасники тоже не могут уследить за всем этим, особенно, если организация большая. Универсального рецепта здесь нет. Общая рекомендация (даже скорее просьба к пользователям), которую дают специалисты – хотя бы максимально разделяйте систему и данные, а также не ленитесь делать резервные копии.

В заключительной части этой серии блогов мы рассмотрим проблемы сети и подведем общие итоги.