Nacházíme se v době, kdy služby s předem připravenými exploity umožňují průměrnému člověku bez technologických zkušeností a dovedností zahájit složité útoky na firemní prostředí.
Co tedy můžeme dělat? Instalace oprav operačních systémů a aplikací je spolehlivým způsobem, jak některé útoky zablokovat. Je však zapotřebí dělat víc, než jen spouštět automatické aktualizace.
Zde je sedm osvědčených postupů pro patch management (správu oprav), které zajistí vyšší úroveň kybernetické bezpečnosti vaší organizace.
1. Použijte vhodnou službu zjišťování
Nelze zabezpečit něco, o čem vůbec nevíte. Jediným způsobem, jak zjistit, zda existuje narušení bezpečnosti nebo zranitelnost, je využívat široké možnosti zjišťování.
Vhodná služba pro zjišťování (discovery service) zahrnuje kombinaci aktivních a pasivních funkcí zjišťování a schopnost identifikovat fyzické, virtuální a externí systémy, které přistupují do vaší sítě.
Rozvoj tohoto aktuálního inventáře produkčních systémů včetně všeho od IP adres, typů a verzí operačních systémů a fyzických umístění pomáhá udržet úsilí v oblasti správy oprav v souladu s aktuální situací a je důležitý pro pravidelnou inventarizaci vaší sítě.
Pokud jeden počítač v prostředí nemá včas nainstalovanou opravu, může ohrozit stabilitu všech ostatních počítačů, a dokonce i omezit jejich normální fungování.
2. Používejte heterogenní podporu platforem OS
Při snaze vytvořit inventář a používat vhodné nástroje pro zjišťování byste měli zajistit, že to bude zahrnovat široký seznam dodavatelů a operačních systémů.
Systém Windows již není jediným preferovaným operačním systémem, a v důsledku toho již nemůžete situaci řešit jen podporou systému Windows. V mnoha firmách v současné době převládají u koncových uživatelů počítače Apple Mac. Operační systém MacOS přitom může podlehnout zhoubným počítačovým hrozbám, jako je malware, mnohem snáze, než se předpokládá.
Průzkum JAMF z roku 2015 mezi IT odborníky zjistil, že 96 % podnikových IT profesionálů podporuje počítače platformy Mac.
Na výsluní se však dostávají také další operační systémy – Linux a Unix často zabírají ve velkých podnicích 5 až 35 % prostoru datového centra v závislosti na geografickém regionu a Ubuntu je rostoucí linuxová distribuce používaná jako systém pro koncového uživatele. V rámci své strategie správy oprav byste měli podporovat všechny tyto typy operačních systémů.
3. Instalujte opravy aplikací
Přestože mnoho podniků implementovalo podporu platforem operačních systémů a služeb zjišťování, mnohé firmy se omezují jen na operační systémy a aplikace od konkrétních dodavatelů a software od dalších dodavatelů ignorují.
Vezměme si například Windows – aplikace běžící ve Windows, ale pocházející od jiných společností, než je Microsoft, mohou způsobovat až 80 % softwarových zranitelností, což znamená, že potřebujete nejen komplexní pokrytí OS, ale také komplexní pokrytí aplikací.
Situaci dále komplikuje BYOD (používání vlastních zařízení pro firemní účely), protože uživatelé mají různé aplikace běžící na různých operačních systémech, které nejsou ani ve vlastnictví, ani pod kontrolou oddělení IT.
V podnikovém prostředí jsou velmi rozšířené produkty a služby dodavatelů, jako jsou Adobe, Google, Oracle a Mozilla. Mají řadu zranitelností, které je potřeba řešit, protože jsou často cílem útočníků.
Uveďme příklad z roku 2015 – exploity přehrávače Flash Player tvořily 70 % exploitů v sadě Angler, což byl připravený framework s exploity nabízený na černém trhu, ale nedávno došlo k jeho zániku.
V těchto případech není spoléhání se na automatické aktualizace řešením, protože mohou být vypnuté, ignorované uživateli a mohou se také zablokovat.
Dokonce i široce používané automatické aktualizace jsou zranitelné a mohou přestat fungovat: například automatický aktualizační mechanismus prohlížeče Google Chrome přestal v roce 2016 fungovat na dobu minimálně šesti měsíců.
V takovém období se může nahromadit mnoho zranitelných míst, které ze systému udělají perfektní kořist pro kybernetické zločince.
4. Pokryjte vlastní i externí infrastrukturu
Instalace oprav operačního systému a aplikací nemusí znamenat nic, pokud není úspěšně dokončená pro každý počítač v každé lokalitě.
Přestože IT umožňují zaměstnancům opustit síť, nebo dokonce pracovat vzdáleně, aniž se kdykoli do sítě připojují, stále je potřebné zabezpečit tyto uživatele tak, jako by byli připojení do interní infrastruktury.
Systémy správy oprav a další bezpečnostní kontroly by měly poskytnout stejnou úroveň pokrytí a kontroly nad externím prostředím jako nad prostředím interní infrastruktury.
Exploit nultého dne se může objevit kdykoli a nemůžete předvídat, kdy se uživatel vrátí do sítě nebo se připojí k VPN a tyto bezpečnostní hrozby přinese do zbytku sítě.
V současné době, kdy je personál stále více rozptýlen a mnoho koncových uživatelů se nachází v různých lokalitách mimo interní infrastrukturu, je nezbytné, abyste zacházeli se všemi koncovými uživateli stejným způsobem, aby se zabránilo neočekávaným narušením zabezpečení.
5. Opravy každý týden
Když může opustit síť více počítačů koncových uživatelů, roste důležitost frekvence instalací oprav. Možná byste se při instalaci oprav chtěli inspirovat zvykem významných technologických autorit, ale nemuselo by to pro vás být vhodné.
Například Microsoft zachovává předvídatelný cyklus vydávání aktualizací zabezpečení (úterní opravy druhé úterý každého měsíce s výjimkou února 2017), ale většina ostatních dodavatelů má nepředvídatelné plány vydání.
Oracle vydává své čtvrtletní opravy v prvním měsíci čtvrtletí a Adobe vydává čtvrtletně, synchronizovaně s úterními opravami Microsoftu. Společnosti Google a Mozilla nepoužívají harmonogram a jejich vydávání se odvíjí od připravenosti na vydání.
Každá z těchto firem má vlastní plán, který používá pro svůj specifický software, ale jejich frekvence se nehodí pro každého.
Pro ty, kdo chtějí udělat z frekvence instalace oprav hlavní součást své bezpečnostní strategie, je vydávání nových oprav dvakrát týdně skvělým přístupem, který může pomoci zejména při ochraně notebooků.
6. Datové centrum bez agentů
Servery jsou poměrně odlišné, pokud jde o vhodnou správu oprav. Správci serverů často do svých systémů neradi přidávají další agenty a je zde také potřeba podporovat části virtuální infrastruktury, se kterou nemůže agent pracovat, například šablony a vypnuté virtuální stroje (VM).
Navíc instalace agenta do každého virtuálního počítače (VM) může zatížit síťové zdroje, což může vést k degeneraci sítě. Je nutná nějaká spojnice mezi těmito dvěma potřebami. Ideální je flexibilní architektura, která umožňuje podporu serverů bez agenta i s agentem.
7. Zmírnění při výjimkách
Bez ohledu na podporu fungování s agenty nebo bez nich budete často potřebovat při instalaci oprav udělat nějaké výjimky. V současném prostředí zabezpečení však nemůžete u výjimky skončit – musíte přidat zmírnění rizika pro danou výjimku.
Oprava komponenty jádra může způsobit nefunkčnost něčeho a výsledkem například může být zastavení aktualizací prostředí Java 7 po aktualizaci 63.
Zmírnění rizika zajistíte v takovémto případě tak, že můžete udělit pro Javu výjimku, aby zůstala na staré verzi, zamknete oprávnění uživatelů v systému, odstraníte přímý přístup k internetu a použijete whitelisting pro tento systém, tak aby nezpracovával neznámé a nedůvěryhodné zátěže. Pamatujte, že výjimky nejsou ukončením procesu oprav.
Správa oprav je pro počítačovou bezpečnost nepostradatelná, ale zřídka se jí dostává dostatečné pozornosti.
Dodržování těchto sedmi celkem jednoduchých zvyků vám umožní dobře zvládat instalace opravných aktualizací, a tím chránit svá virtuální datová prostředí před přívalem bezpečnostních hrozeb.
Tento příspěvek vyšel v Security Worldu 2/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.