Kritické zranitelnosti zůstávají neopravené měsíce, zneužít se ale dají za pár dnů

7. 10. 2024. (redaktor: František Doupal, zdroj: ANECT)
Eliminace zranitelností ve firemní IT infrastruktuře pomáhá předcházet vážným bezpečnostním incidentům a jejich důsledkům. K jejich rychlé detekci a třídění podle závažnosti slouží především nástroje na automatické skeny zranitelností. Zejména v případě větších firem se však zvyšuje riziko, že kritické zranitelnosti nebudou řešeny včas.

„Nástroje, které dříve pomáhaly zvyšovat firemní bezpečnost, přestávají zejména v případě větších podniků přinášet očekávaný užitek. Jednou z cest, jak se můžou firmy z této pasti dostat, je agregace správy zranitelností, vedoucí k výrazně přesnější prioritizaci,“ uvedl Petr Mojžíš, security architect společnosti ANECT.

Jako zranitelnost se označuje situace, kdy se na konkrétní IT infrastruktuře najde něco, co je zneužitelné útočníky. Jakmile je v nějakém softwaru či ovladači nalezena nová zranitelnost (kdekoliv na světě), je jí přiřazena míra závažnosti a je nahlášena do celosvětových databází, na základě čehož dokážou automatické skenovací nástroje při konkrétním testu zjistit, jestli se tato zranitelnost vyskytuje také na systémech IT infrastruktury v libovolné organizaci.

Nejnáročnější a zároveň nejdůležitější část práce ale nastává až po dokončení skenu. Jde o samotné odstranění nalezených zranitelností (tzv. patching, neboli „záplatování“). Toto odstranění zranitelnosti si lze představit třeba jako instalaci nové verze softwaru nebo změnu konfigurace.

To je však samo o sobě rizikové. „Zavedením nové verze totiž na jedné straně odstraníte nalezenou zranitelnost, ale zároveň můžete přidat nechtěně nějakou novou, nebo z nějakého důvodu přestane něco fungovat. Proto je potřeba tuto novou verzi nejdříve otestovat, zda nedojde k nějakým nežádoucím efektům,“ vysvětlil Ivan Svoboda, poradce pro kybernetickou bezpečnost společnosti ANECT.

Skenovací nástroje dokážou zcela běžně nalézt na jediném serveru i desítky různě závažných zranitelností. Další desítky se nacházejí v operačních systémech, v samotných aplikacích, síťových prvcích či jakémkoli jiném zařízení, třeba v tiskárně či kameře.S rostoucí velikostí firmy se tak významně zvyšuje počet požadavků na jejich opravu.

„Manažeři zodpovědní za provoz IT ve velkých firmách měsíčně dostávají vyšší stovky až tisíce takových požadavků. V jednu chvíli jich je přitom už tolik, že je prostě začnou ignorovat všechny a veškeré ošetřování zranitelností přichází až s aktualizacemi, které jsou instalovány z jiných než bezpečnostních důvodů. Průměrná doba odstranění kritické zranitelnosti je potom podle našich pozorování často dokonce vyšší než doba odstranění méně závažných problémů," řekl Petr Mojžíš.

Pokud se totiž zranitelnost nachází v kritické aplikaci nebo na serveru, který je klíčový pro běh firemních systémů, není vždy možné ji odstranit za běžného provozu, ale je potřeba záplatu otestovat a nasadit v době, kdy je vytíženost těchto systémů nižší. Existuje totiž riziko, že při jejím odstraňování dojde k nezamýšlenému pádu firemních systémů, což může znamenat vysoké finanční nebo reputační ztráty.

Rychlé opravy by se měly dočkat především závažné a zároveň zneužívané zranitelnosti

Jednotlivé nástroje, které skenují zranitelnosti ve firemních sítích, dokážou každé z nich přiřadit míru jejich závažnosti. Děje se tak dvěma způsoby. Nástroje využívají především už zmíněné veřejné databáze, které obsahují informace o potenciální závažnosti dané chyby. Některé potom využívají i služeb společností, které se zaměřují na Cyber Threat Intelligence, jejíž součástí je také informace o tom, které zranitelnosti jsou aktivně využívané. Mezi těmito množinami je však překvapivě malý překryv.

„Pro firmy je tedy klíčové, aby vyhodnocovaly oba tyto zdroje, protože díky tomu se dokážou soustředit na ty zranitelnosti, které jsou nebezpečné a zároveň jsou aktivně zneužívané. Pokud by vycházely pouze z informací o jejich potenciální nebezpečnosti, tak ze statistického pohledu mají více než 60% pravděpodobnost, že se budou dříve věnovat zranitelnosti, která je sice označená jako závažná, ale která není reálně zneužívaná. A mezitím nechají neopravené ty, které jsou důležité a zároveň široce zneužívané," upozornil Ivan Svoboda. Zároveň dodal, že pro zlepšení prioritizace je potřeba také vědět, zda jde o kritický server nebo prvek, který je viditelný mimo interní síť. „Bohužel firmy často nevědí, které prvky jsou pro ně klíčové a bez kterých se chod jejich byznysu neobejde. Tato znalost je přitom klíčová nejen pro správnou prioritizaci oprav, ale především pro ochranu těchto prvků a dat a zajištění kontinuity provozu v případě úspěšného hackerského útoku."

Kritické zranitelnosti zůstávají neopravené měsíce, hackeři je přitom začínají zneužívat v řádu dní

Popsané principy vedou k jedinému cíli, kterým je zvýšení přehlednosti o stavu firemní IT infrastruktury a efektivní využití interních zdrojů. Jinými slovy jde o to, aby měly firmy možnost se na základě toho, kolik zranitelností jsou reálně schopné řešit v řádu dní, možnost definovat si jasná kritéria pro to, čemu se mohou vzhledem ke svým možnostem věnovat. „Mohou si například stanovit, že počet těch nejkritičtějších zranitelností by neměl přesáhnout X událostí měsíčně. Mělo by jít o číslo, na kterém se shodne kybernetická bezpečnost společně s provozem IT. Tak, aby bylo jasné, že provoz je tento počet reálně schopen opravdu odbavit. Následně je možné nastavit skenovací, filtrační a prioritizační pravidla a pokud je počet požadavků vyšší, tato pravidla dále zpřísňují. Toho lze přitom s využitím nových nástrojů dosáhnout jak interně, nebo je možné tuto správu pořídit jako službu. Typicky jde o doplňkové aktivity bezpečnostních a dohledových center, která se primárně starají o monitoring síťového provozu a o reakce na bezpečnostní incidenty," vysvětlil Petr Mojžíš.

Výše uvedená prioritizace zranitelností výrazně pomáhá tomu, aby firma zůstala chráněná před nejzávažnějšími hrozbami plynoucími z chyb ve své IT infrastruktuře, protože snižuje počet událostí, na které je potřeba rychle reagovat. Zatímco firmy podle zkušeností ANECTu ignorují i ty nejzávažnější zranitelnosti klidně celé měsíce, hackeři jsou v průměru schopní začít zneužívat kritickou zranitelnost pět dní od jejího nalezení. Proto mají také například ve Velké Británii firmy povinnost odstranit kritickou zranitelnost viditelnou mimo interní síť právě do pěti dní a do dvou týdnů potom tu, která se nachází v interní síti.

I proto je vhodné využívat pro skenování takové nástroje, které kromě samotného nalezení zranitelností a jejich prioritizace dokážou pomoci i při jejich následném odstraňování neboli patchování.

Velké firmy potřebují kromě prioritizace také integraci výsledků z různých skenovacích nástrojů

Ani to však nemusí stačit. Velké firmy často používají hned několik různých nástrojů na skenování zranitelností. Například jeden nástroj pro skenování technické infrastruktury, jiný pro skenování aplikací, další nástroj pro skenování cloudu a kontejnerů, další nástroje pro penetrační testy atd. A každý z těchto nástrojů generuje pravidelně nějaké seznamy nálezů, ale většinou s trochu odlišným číselníkem závažnosti, s jiným reportingem, s jiným workflow a podobně. „V tu chvíli přichází potřeba přidat další unifikační integrační vrstvu, která umožní sjednotit výstupy ze všech těchto nástrojů i následnou práci a dohled nad odstraňováním těch nejkritičtějších zranitelností. Tak, aby IT provoz nebo vývoj věděl, že do týdne je například potřeba odstranit zranitelnost číslo 13 z nástroje X a zranitelnost č. 257 z nástroje Y,“ vysvětlil Svoboda.

Všechny výše zmíněné problémy jsou dnes řešitelné pomocí specializovaných integračních nástrojů či pomocí externě outsourcovaných služeb zaměřených právě na efektivní správu zranitelností.

Štítky: 
Bezpečnost, Anect
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Vliv bezpečnostních řešení na pojistné události v kyberbezpečnosti

4. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Z průzkumu společnosti Sophos vyplývá, že hodnota pojistného plnění z kybernetického pojištění, které uplatňují organizace využívající služby MDR, je v průměru o 97,5 % nižší než u organizací, které se spoléhají pouze na ochranu koncových bodů. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více