Kritické zranitelnosti zůstávají neopravené měsíce, zneužít se ale dají za pár dnů

7. 10. 2024. (redaktor: František Doupal, zdroj: ANECT)
Eliminace zranitelností ve firemní IT infrastruktuře pomáhá předcházet vážným bezpečnostním incidentům a jejich důsledkům. K jejich rychlé detekci a třídění podle závažnosti slouží především nástroje na automatické skeny zranitelností. Zejména v případě větších firem se však zvyšuje riziko, že kritické zranitelnosti nebudou řešeny včas.

„Nástroje, které dříve pomáhaly zvyšovat firemní bezpečnost, přestávají zejména v případě větších podniků přinášet očekávaný užitek. Jednou z cest, jak se můžou firmy z této pasti dostat, je agregace správy zranitelností, vedoucí k výrazně přesnější prioritizaci,“ uvedl Petr Mojžíš, security architect společnosti ANECT.

Jako zranitelnost se označuje situace, kdy se na konkrétní IT infrastruktuře najde něco, co je zneužitelné útočníky. Jakmile je v nějakém softwaru či ovladači nalezena nová zranitelnost (kdekoliv na světě), je jí přiřazena míra závažnosti a je nahlášena do celosvětových databází, na základě čehož dokážou automatické skenovací nástroje při konkrétním testu zjistit, jestli se tato zranitelnost vyskytuje také na systémech IT infrastruktury v libovolné organizaci.

Nejnáročnější a zároveň nejdůležitější část práce ale nastává až po dokončení skenu. Jde o samotné odstranění nalezených zranitelností (tzv. patching, neboli „záplatování“). Toto odstranění zranitelnosti si lze představit třeba jako instalaci nové verze softwaru nebo změnu konfigurace.

To je však samo o sobě rizikové. „Zavedením nové verze totiž na jedné straně odstraníte nalezenou zranitelnost, ale zároveň můžete přidat nechtěně nějakou novou, nebo z nějakého důvodu přestane něco fungovat. Proto je potřeba tuto novou verzi nejdříve otestovat, zda nedojde k nějakým nežádoucím efektům,“ vysvětlil Ivan Svoboda, poradce pro kybernetickou bezpečnost společnosti ANECT.

Skenovací nástroje dokážou zcela běžně nalézt na jediném serveru i desítky různě závažných zranitelností. Další desítky se nacházejí v operačních systémech, v samotných aplikacích, síťových prvcích či jakémkoli jiném zařízení, třeba v tiskárně či kameře.S rostoucí velikostí firmy se tak významně zvyšuje počet požadavků na jejich opravu.

„Manažeři zodpovědní za provoz IT ve velkých firmách měsíčně dostávají vyšší stovky až tisíce takových požadavků. V jednu chvíli jich je přitom už tolik, že je prostě začnou ignorovat všechny a veškeré ošetřování zranitelností přichází až s aktualizacemi, které jsou instalovány z jiných než bezpečnostních důvodů. Průměrná doba odstranění kritické zranitelnosti je potom podle našich pozorování často dokonce vyšší než doba odstranění méně závažných problémů," řekl Petr Mojžíš.

Pokud se totiž zranitelnost nachází v kritické aplikaci nebo na serveru, který je klíčový pro běh firemních systémů, není vždy možné ji odstranit za běžného provozu, ale je potřeba záplatu otestovat a nasadit v době, kdy je vytíženost těchto systémů nižší. Existuje totiž riziko, že při jejím odstraňování dojde k nezamýšlenému pádu firemních systémů, což může znamenat vysoké finanční nebo reputační ztráty.

Rychlé opravy by se měly dočkat především závažné a zároveň zneužívané zranitelnosti

Jednotlivé nástroje, které skenují zranitelnosti ve firemních sítích, dokážou každé z nich přiřadit míru jejich závažnosti. Děje se tak dvěma způsoby. Nástroje využívají především už zmíněné veřejné databáze, které obsahují informace o potenciální závažnosti dané chyby. Některé potom využívají i služeb společností, které se zaměřují na Cyber Threat Intelligence, jejíž součástí je také informace o tom, které zranitelnosti jsou aktivně využívané. Mezi těmito množinami je však překvapivě malý překryv.

„Pro firmy je tedy klíčové, aby vyhodnocovaly oba tyto zdroje, protože díky tomu se dokážou soustředit na ty zranitelnosti, které jsou nebezpečné a zároveň jsou aktivně zneužívané. Pokud by vycházely pouze z informací o jejich potenciální nebezpečnosti, tak ze statistického pohledu mají více než 60% pravděpodobnost, že se budou dříve věnovat zranitelnosti, která je sice označená jako závažná, ale která není reálně zneužívaná. A mezitím nechají neopravené ty, které jsou důležité a zároveň široce zneužívané," upozornil Ivan Svoboda. Zároveň dodal, že pro zlepšení prioritizace je potřeba také vědět, zda jde o kritický server nebo prvek, který je viditelný mimo interní síť. „Bohužel firmy často nevědí, které prvky jsou pro ně klíčové a bez kterých se chod jejich byznysu neobejde. Tato znalost je přitom klíčová nejen pro správnou prioritizaci oprav, ale především pro ochranu těchto prvků a dat a zajištění kontinuity provozu v případě úspěšného hackerského útoku."

Kritické zranitelnosti zůstávají neopravené měsíce, hackeři je přitom začínají zneužívat v řádu dní

Popsané principy vedou k jedinému cíli, kterým je zvýšení přehlednosti o stavu firemní IT infrastruktury a efektivní využití interních zdrojů. Jinými slovy jde o to, aby měly firmy možnost se na základě toho, kolik zranitelností jsou reálně schopné řešit v řádu dní, možnost definovat si jasná kritéria pro to, čemu se mohou vzhledem ke svým možnostem věnovat. „Mohou si například stanovit, že počet těch nejkritičtějších zranitelností by neměl přesáhnout X událostí měsíčně. Mělo by jít o číslo, na kterém se shodne kybernetická bezpečnost společně s provozem IT. Tak, aby bylo jasné, že provoz je tento počet reálně schopen opravdu odbavit. Následně je možné nastavit skenovací, filtrační a prioritizační pravidla a pokud je počet požadavků vyšší, tato pravidla dále zpřísňují. Toho lze přitom s využitím nových nástrojů dosáhnout jak interně, nebo je možné tuto správu pořídit jako službu. Typicky jde o doplňkové aktivity bezpečnostních a dohledových center, která se primárně starají o monitoring síťového provozu a o reakce na bezpečnostní incidenty," vysvětlil Petr Mojžíš.

Výše uvedená prioritizace zranitelností výrazně pomáhá tomu, aby firma zůstala chráněná před nejzávažnějšími hrozbami plynoucími z chyb ve své IT infrastruktuře, protože snižuje počet událostí, na které je potřeba rychle reagovat. Zatímco firmy podle zkušeností ANECTu ignorují i ty nejzávažnější zranitelnosti klidně celé měsíce, hackeři jsou v průměru schopní začít zneužívat kritickou zranitelnost pět dní od jejího nalezení. Proto mají také například ve Velké Británii firmy povinnost odstranit kritickou zranitelnost viditelnou mimo interní síť právě do pěti dní a do dvou týdnů potom tu, která se nachází v interní síti.

I proto je vhodné využívat pro skenování takové nástroje, které kromě samotného nalezení zranitelností a jejich prioritizace dokážou pomoci i při jejich následném odstraňování neboli patchování.

Velké firmy potřebují kromě prioritizace také integraci výsledků z různých skenovacích nástrojů

Ani to však nemusí stačit. Velké firmy často používají hned několik různých nástrojů na skenování zranitelností. Například jeden nástroj pro skenování technické infrastruktury, jiný pro skenování aplikací, další nástroj pro skenování cloudu a kontejnerů, další nástroje pro penetrační testy atd. A každý z těchto nástrojů generuje pravidelně nějaké seznamy nálezů, ale většinou s trochu odlišným číselníkem závažnosti, s jiným reportingem, s jiným workflow a podobně. „V tu chvíli přichází potřeba přidat další unifikační integrační vrstvu, která umožní sjednotit výstupy ze všech těchto nástrojů i následnou práci a dohled nad odstraňováním těch nejkritičtějších zranitelností. Tak, aby IT provoz nebo vývoj věděl, že do týdne je například potřeba odstranit zranitelnost číslo 13 z nástroje X a zranitelnost č. 257 z nástroje Y,“ vysvětlil Svoboda.

Všechny výše zmíněné problémy jsou dnes řešitelné pomocí specializovaných integračních nástrojů či pomocí externě outsourcovaných služeb zaměřených právě na efektivní správu zranitelností.

Štítky: 
Bezpečnost, Anect
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více
Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více