Robin Varley, nasz Starszy Manager ds. Ochrony Danych wyjaśnia, na jak wiele sposobów słabe hasła i złe zabezpieczenia mogą narazić na zagrożenie Twoją firmę i Twoich klientów ... i jak możesz tego bardzo łatwo uniknąć!
Niedoskonałe uaktualnienia to niewymuszony błąd w cyberświecie
W sporcie znamy pojęcie „niewymuszonego błędu". Jest to sytuacja, w której zawodnik traci punkt wskutek osobistego błędu, a nie umiejętności przeciwnika. W tenisie zawodnik zazwyczaj źle wykonuje podanie i trafia piłką w siatkę lub poza kort.
W obszarze cyberbezpieczeństwa dwa główne niewymuszone błędy, z którymi się regularnie spotykamy, to słabe hasła i niedoskonałe uaktualnienia. Podczas gdy tego typu przeoczenia mogą wydawać się nieistotne, prawda jest taka, że mogą one mieć katastrofalne skutki, gdy przeciwnik (w tym przypadku cyberprzestępca) wykorzysta błąd.
Wiele już napisano o złym zarządzaniu hasłami poprzez stosowanie „łatwych do odgadnięcia” lub często używanych haseł, zapewniających łatwy dostęp hakerom. Jednak uaktualnienia są równie ważne, choć być może są mniej zrozumiałe.
Czym jest łata?
Łaty to aktualizacje systemu opracowywane w odpowiedzi na nowe podatności lub przewidywane zagrożenia. Łaty są czasami nazywane przez inżynierów oprogramowania „poprawkami", ponieważ są one zazwyczaj opracowywane w celu rozwiązania tych problemów. Nowe podatności są regularnie wykrywane, a tworzenie łat to sposób, w jaki dostawcy oprogramowania wbudowują stałe zabezpieczenia dla swoich klientów i zapewniają odporność swoich produktów w przyszłości. Wielu z nich docelowo łączy ulepszoną funkcjonalność i cechy z regularnym programem zarządzania łatami. Jednak w pewnych okolicznościach łaty są szybko tworzone, aby reagować na konkretne i pilne zagrożenie.
Dlaczego warto stosować łaty?
Jeden z przykładów podkreśla nie tylko rolę łatania, ale również to, jak niewymuszony błąd - brak wdrożenia łaty - może doprowadzić do całkowitej awarii systemu.
W 2017 r. robak komputerowy wymuszający okup pod nazwą WannaCry zainfekował komputery i zaszyfrował dyski twarde, aby użytkownicy nie mieli już do nich dostępu. Robak, który wykorzystał niedawno zidentyfikowaną podatność w systemach operacyjnych Microsoftu, następnie zatrzymał znajdujące się na dyskach pliki w celu uzyskania okupu, żądając zapłaty za ich wydanie. Firma Microsoft szybko opracowała łatę, która zamknęła lukę, przez którą robak WannaCry mógł uzyskać dostęp. Jednak dwa miesiące po udostępnieniu łaty, brytyjski NFZ doświadczył poważnego ataku ze strony WannaCry, który sparaliżował jego system, spowodował odwołanie ponad 19,000 wizyt i pociągnął za sobą koszt ponad 92 milionów funtów w związku z oczyszczeniem i naprawą.
Jak mogło do tego dojść mimo tego, że łata była dostępna? Nie była to wina łaty, ale tego, że ludzie w danej organizacji jej nie zastosowali. To skłania do pytania, dlaczego ktokolwiek miałby nie chcieć zastosować łaty?
Jakie są przyczyny dla braku wdrożenia łaty?
Wszyscy zetknęliśmy się z regularnymi prośbami o aktualizacje systemu. Często pojawiają się one w niewygodnych momentach, a gdy jesteśmy zajęci, perspektywa wyłączenia naszych komputerów w celu dokonania zmian wydaje się być niepotrzebną stratą czasu. W przypadku systemów sieciowych występują te same problemy i wiele organizacji niechętnie przenosi swoje systemy lub usługi w tryb offline (a zatem czyni je niedostępnymi dla klientów i kontrahentów) przez okres czasu wymagany dla wdrożenia łaty.
Podobnie jak w przypadku większości wyzwań związanych z cyberbezpieczeństwem, problem łatania należy rozwiązać poprzez ocenę ryzyka lub, dokładniej, właściwe wyważenie ryzyka. Pomocne może być regularne zaplanowanie okna czasowego na wdrażanie łat, a ponieważ coraz więcej usług jest świadczonych wirtualnie, rozwiązaniem może być etapowe podejście do łatania - takie, które pozwala na utrzymanie ograniczonej, tymczasowej usługi.
Jeśli zajdzie konieczność zastosowania awaryjnej łaty poza regularnym harmonogramem łatania, należy ocenić niedogodności i potencjalny czas przestoju systemu w kontekście potencjalnego przestoju i utraty zysków spowodowanej awarią lub naruszeniem systemu. Krótka pauza podczas zabezpieczania systemu będzie prawdopodobnie mniejszym złem. Nie wszystkie łaty wymagają jednak wyłączenia systemu. Niektóre szybkie łaty lub inaczej „szybkie poprawki" mogą usunąć podatności bez wpływu na czas działania systemu.
Kiedy łatanie ma pośredni wpływ
Osoby zarządzające systemem mogą również niechętnie wdrażać łaty, ponieważ obawiają się konsekwencji dla pozostałej części systemu. Dzieje się tak dlatego, że choć twórcy oprogramowania będą testować łatę w różnych ustawieniach, być może nie mieli czasu na sprawdzenie, jakie dokładnie będą efekty pośrednie w odniesieniu do wszystkich systemów. Jest szansa, że nieprzewidziana reakcja łańcuchowa spowoduje uszkodzenie czegoś innego w systemie wskutek zastosowania łaty, co będzie wymagało dalszej inwestycji czasu i środków na rozwiązanie tych problemów.
W ostatnich latach kwestia ta stała się jednak mniej problematyczna, ponieważ łaty stały się bardziej solidne. We wszystkich sytuacjach, z wyjątkiem sytuacji kryzysowych, są one dokładnie sprawdzane i testowane. Obecnie wiele organizacji pozwala na przykład na automatyczne łatanie systemu Windows. Jednak dobrą praktyką jest jednak testowanie wszystkich łat w środowisku programistycznym, takim jak Wykonywanie Testów Akceptacji przez Użytkownika (UAT), które jest prawie identyczne ze środowiskiem produkcyjnym i poprzez to zapewnia, że wszelkie nieprzewidziane problemy z aplikacją do łatania zostaną wykryte i rozwiązane, zanim wpłyną na główny system.
W przypadku niewykrytego problemu, dobrą praktyką jest również posiadanie planu awaryjnego, który daje pewność, że ludzie będą wiedzieć, jak przywrócić system do odpowiedniego stanu.
Zarządzanie łatami
Dzięki szerokiej gamie sprzętu i systemów operacyjnych w wielu lokalizacjach, w tym pracy zdalnej, wdrożenie planu zarządzania łatami nigdy nie było ważniejsze. Niezastosowanie zaledwie jednej łaty może mieć konsekwencje dla całej sieci.
Program zaplanowanych aktualizacji może uwzględniać optymalny czas dla łatania. W przypadku gdy system musi działać całodobowo przez 7 dni w tygodniu, okres przestoju może zostać ustalony z wyprzedzeniem, aby spowodować możliwie najmniejsze zakłócenia.
Ocena ryzyka pomoże w ustaleniu priorytetów dotyczących konieczności łatania awaryjnego. Na przykład, jeżeli podatność dotyczy tylko podgrupy urządzeń, uzasadnione może być opóźnienie łatania do nadejścia odpowiedniego czasu. Jeżeli jednak podatność wymaga pilnej uwagi, należy opracować strategię natychmiastowego wyłączenia i wdrażania łat.
Zarządzanie łatami nie jest samodzielnym rozwiązaniem, ale integralną częścią ogólnego planu cyberbezpieczeństwa. Należy je wdrażać wraz z programem badań penetracyjnych w celu ujawnienia podatności, których nie można wykryć w inny sposób, w przypadku których łaty nie mają zastosowania lub nie zostały jeszcze opracowane. Profesjonalne porady ekspertów pomogą Ci w opracowaniu i wdrożeniu pragmatycznego i skutecznego planu zarządzania cyberbezpieczeństwem , który obejmuje zarządzanie łatami. W ten sposób unikniesz ryzyka popełnienia niewymuszonego błędu dającego zwycięstwo przeciwnikowi.
Elavon pomoże Ci zidentyfikować w czasie rzeczywistym problemy z łatami na Twojej stronie, w tym wszelkie złośliwe oprogramowanie, na które możesz być narażony. Możemy cię również wspierać w zakresie dowolnych wyzwań związanych ze Standardem Bezpieczeństwa Danych Posiadaczy Kart Płatniczych (PCI DSS), RODO lub cyberbezpieczeństwa, z którymi możesz się zmagać. Skontaktuj się z nami pod adresem data-security@elavon.com w celu omówienia Twoich potrzeb z zakresu bezpieczeństwa danych.