Исследование Verizon: патчи - лишь звено в стратегии безопасности

11.11.2011

Основной составляющей большинства, если не всех, программ ИТ-безопасности, является своевременное исправление уязвимостей в критических системах. Однако, эксперты в области безопасности по-новому взглянули на стратегию, поскольку данные о взломах продолжают демонстрировать, что очень немногие атаки нарушают работу систем используя уязвимости, которые могли бы быть устранены. Согласно данным Отчета о расследованиях утечек данных (Data Breach Investigations Report, DBIR), в 2010 году, например, злоумышленники использовали лишь пять уязвимостей для своих 381 атак, исследованных Verizon. В качестве альтернативы, большинство хакеров использовали ошибки в конфигурации или получали учётные данные к другим системам.

"Данные показывают, что сосредоточение ИТ на патчах может привести к тому, что менеджеры пропустят друге важные стратегии, минимизирующие риски", - заявил Уэйд Бейкер, директор службы исследования рисков компании Verizon. "В целом, индустрия безопасности гораздо более настроена на уязвимости, чем на угрозы или минимизацию ущерба", - говорит он. "Угроза, уязвимость и ущерб являются компонентами риска, но большая часть нашего времени уходит на уязвимости".

Данные Verizon подчеркивают, что патчи, хотя и являются необходимым компонентом любой программы управления уязвимостями, не являются достаточными. Это мем, который как эхо повторяют профессионалы в области безопасности, в том числе Джош Корман, директор компании по исследованию безопасности Akamai, который сослался на исследование говоря о том, что существуют причины для компаний, чтобы рассмотреть и другие стратегии по сокращению количества уязвимостей и влияния утечек.

Эксперты в области безопасности, однако, не говорят о том, что предприятиям следует исключить стратегии управления уязвимостями и процессы патчинга. "Компании должны просто убедиться, что их приоритеты сбалансированы", - говорит Бейкер. Например, если компания пропатчивает свои системы один раз в квартал, то добиваться увеличения скорости внедрения патчей становиться уже не таким важным - нужно убедиться, что исправления были выполнены во всех системах.

"Ускорение процесса патчинга не настолько сокращает риск, как уверенность, что он проведен везде", - объясняет Бейкер. "Проблема заключается не в скорости развертывания исправлений – а в отсутствии развертывания исправлений на отдельных системах".

"Также компании должны уделять больше внимания выявлению плохо настроенных информационных систем и обучению разработчиков методам более безопасного программирования", - говорит Марк Maйффрет, технический директор компании еEye, фирмы по управлению уязвимостями. В ходе исследования уязвимостей, которое провела компания Microsoft в 2010 году, было обнаружено, что два простых изменения - блокировка WebDAV-подключений и отключение преобразования файлов Office - могли бы предотвратить использование 12% всех уязвимостей, в том числе и те, которые использовались в крупных атаках.

"Простые наработанные методы конфигурации для операционной системы, программного обеспечения и сетевой архитектуры могли бы предотвратить или хотя бы уменьшить угрозу Stuxnet, Aurora, и других крупных атак", – добавляет Майффрет.

Однако, Майффрет не согласен с данным Verizon, касающимися патчей. "SQL-инъекции не считаются уязвимостями, поддающимися исправлениям, но могут быть обнаружены хорошим сканером уязвимостей и закрыты, но в большинстве случаев не сторонним патчем", - утверждает он.

Бейкер из компании Verizon принимает такую критику, но отвечает, что эти данные показывают реальную тенденцию: злоумышленники избегают использования уязвимостей в пользу эксплуатации конструктивных недостатков, злоупотребляя украденными учетными данными или наживаясь на доверии пользователей. Кроме поиска недоработанных конфигураций, менеджеры ИТ-безопасности должны просвещать своих пользователей, уменьшать площадь атак своих сетей, а также развивать навыки разработчиков в направлении безопасного кодирования.

"Развитие безопасного программирования также важно, если не больше, чем, внесение исправлений", – утверждает Бейкер. " Просто патчи не могут  обеспечить развитие".