Компьютерная безопасность возможна только тогда, когда программное обеспечение постоянно обновляется. Это должно быть основным принципом для бизнес-пользователей и ИТ-отделов.
Судя по всему, это не так. По крайней мере, для некоторых пользователей Linux, которые игнорируют установку исправлений, критических или иных.
Недавний опрос, спонсируемый Смокингнезависимая от поставщика корпоративная система поддержки коммерческого Linux, показывает, что компании не могут защитить себя от кибератак даже при наличии исправлений.
Результаты показывают, что около 55% респондентов столкнулись с инцидентом кибербезопасности из-за того, что доступное исправление не было применено. На самом деле, после обнаружения критической или высокоприоритетной уязвимости 56% в среднем требовалось от пяти недель до одного года, чтобы исправить эту уязвимость.
Цель исследования состояла в том, чтобы понять, как организации управляют безопасностью и стабильностью в наборе продуктов Linux. Институт Ponemon, спонсируемый TuxCare, в марте провел опрос 564 ИТ-специалистов и специалистов по безопасности в 16 различных отраслях в США.
Данные респондентов показывают, что компаниям требуется слишком много времени для исправления уязвимостей в системе безопасности, даже если решения уже существуют. Несмотря на свое бездействие, многие респонденты отметили, что ощущают на себе тяжкое бремя от широкого спектра кибератак.
Это решаемая проблема, отмечает Игорь Селецкий, генеральный директор и основатель TuxCare. Это не потому, что решения не существует. Скорее, это связано с тем, что предприятиям трудно расставлять приоритеты в отношении будущих проблем.
«Люди, создающие наборы эксплойтов, стали очень, очень хорошими. Раньше 30 дней было лучшей практикой. [for patching]и это по-прежнему идеальная практика для многих правил», — сказал LinuxInsider президент TuxCare Джим Джексон.
Основные выводы
Результаты опроса разоблачают ошибочное представление о том, что операционная система Linux не является строгой и надежной без вмешательства. Поэтому неосведомленные пользователи часто даже не активируют брандмауэр. Следовательно, многие из путей вторжения возникают из-за уязвимостей, которые можно исправить.
«Исправление — один из самых важных шагов, которые организация может предпринять для защиты от программ-вымогателей и других кибератак», — отметил Ларри Понемон, председатель и основатель Ponemon Institute.
Исправление уязвимостей не ограничивается только ядром. Он добавил, что его необходимо распространить на другие системы, такие как библиотеки, виртуализация и серверные части баз данных.
В ноябре 2020 года TuxCare запустила первую в компании услугу поддержки с расширенным жизненным циклом для CentOS 6.0. Он сразу же имел бешеный успех, вспоминает Джексон. Но его по-прежнему беспокоит то, что новые клиенты обращаются за расширенной поддержкой в течение всего жизненного цикла и не устанавливают никаких исправлений.
«Я всегда задаю один и тот же вопрос. Чем вы занимались последние полтора года? Ничего? Ты год не чинил. Вы понимаете, сколько уязвимостей накопилось за это время? — пошутил он.
Трудоемкий процесс
Исследование Ponemon совместно с TuxCare выявило проблемы, с которыми организации сталкиваются при своевременном исправлении уязвимостей. И это несмотря на то, что, по данным Ponemon, в среднем ежегодно тратится 3,5 миллиона долларов в течение 1000 часов еженедельного мониторинга систем на наличие угроз и уязвимостей, исправления, документирования и отчетности о результатах.
«Чтобы решить эту проблему, ИТ-директора и руководители ИТ-безопасности должны работать с другими членами исполнительной команды и членами совета директоров, чтобы гарантировать, что у групп безопасности есть ресурсы и опыт для обнаружения уязвимостей, предотвращения угроз и своевременного исправления уязвимостей», — он сказал.
Отчет показал, что компании-респонденты, которые установили патч, потратили на этот процесс значительное время:
- Максимальное время, затрачиваемое каждую неделю на исправление приложений и систем, составило 340 часов.
- Мониторинг систем на наличие угроз и уязвимостей занимал 280 часов каждую неделю.
- Документирование и/или отчетность по процессу управления исправлениями занимало 115 часов каждую неделю.
Для сравнения, эти цифры относятся к ИТ-команде из 30 человек и рабочей силе в среднем из 12 000 респондентов.
Безграничные оправдания сохраняются
Джексон вспомнил многочисленные разговоры с потенциальными клиентами, которые повторяли одну и ту же грязную историю. Они упоминают инвестиции в сканирование уязвимостей. Они смотрят на отчет об уязвимости, созданный сканированием. Затем они жалуются на то, что у них недостаточно ресурсов, чтобы назначить кого-то для исправления вещей, которые отображаются в отчетах о сканировании.
«Это безумие!» он сказал.
Еще одна проблема, с которой сталкиваются компании, — это вездесущий синдром «ударь крота». Проблема становится настолько большой, что организации и их старшие менеджеры просто не могут справиться с перегруженностью.
Джексон сравнил ситуацию с попыткой обезопасить свои дома. Многие злоумышленники скрываются и являются потенциальными угрозами взлома. Мы знаем, что они приходят искать вещи, которые есть у вас дома.
Поэтому люди вкладывают средства в тщательно продуманный забор вокруг своей собственности и мониторят камеры, пытаясь следить за каждым углом, каждым возможным вектором атаки вокруг дома.
«Затем они оставляют открытыми пару окон и заднюю дверь. Это похоже на то, чтобы оставить уязвимости незакрытыми. Если вы исправите его, его больше нельзя будет использовать», — сказал он.
Так что сначала вернитесь к основам, рекомендовал он. Убедитесь, что вы делаете это, прежде чем тратить на другие вещи.
Автоматизация делает исправление безболезненным
По словам Джексона, проблема с исправлениями остается серьезной. Возможно, единственное, что улучшается, — это способность применять автоматизацию для управления большей частью этого процесса.
«Любая известная нам уязвимость должна быть устранена в течение двух недель. Это побудило людей автоматизировать оперативное исправление и многое другое, чтобы вы могли справиться с десятками тысяч рабочих нагрузок. Вы не можете начинать все каждые две недели. Поэтому вам нужны технологии, которые помогут вам пройти через это и автоматизировать это», — объяснил он в качестве рабочего решения.
Джексон сказал, что считает, что ситуация улучшается. Он видит, что все больше людей и организаций узнают об инструментах автоматизации.
Например, автоматизация может применять исправления для открытых библиотек SSL и G и C, в то время как службы используют их без необходимости возврата служб. Теперь в бета-версии доступно исправление базы данных в режиме реального времени, что позволяет TuxCare применять исправления безопасности к Maria, MySQL, Mongo и другим типам баз данных во время их работы.
«Поэтому вам не нужно перезапускать сервер базы данных или какие-либо клиенты, которые они используют. Продолжая повышать осведомленность, определенно помогает. Похоже, что все больше людей узнают и понимают, что им нужно такое решение», — сказал Джексон.
