Помните «Красный код»? Не тот, что из фильма «Несколько хороших парней!» Code Red, который позорно поразил Интернет 15 июля 2001 года. Разрушения, вызванные этим компьютерным червем, были настолько велики, что заставили Microsoft начать исправлять уязвимости программного обеспечения. До Code Red управление исправлениями было связано с ИТ, а не с кибербезопасностью. Тем временем компьютерные черви продолжали свои атаки. Наконец, в мае 2017 года появился пресловутый крипточервь-вымогатель — WannaCry. Это определенно доставило много проблем службам безопасности и ИТ-отделам Microsoft. Это также позволило организациям осознать, что управление исправлениями — это не просто полезный процесс, это абсолютная необходимость!
По мере роста технологий и экономики небольшие продуктовые магазины превратились в супермаркеты, а теперь и в гипермаркеты. Специалисты по маркетингу, продажам и работе с клиентами перешли от персонализации к гиперперсонализации. Таким образом, следующая глава в управлении исправлениями для каждой организации проста — скорее автоматизация, гиперавтоматизация.
Управление исправлениями: текущее положение дел
Нет сомнений в том, что производители ОС извлекли уроки из прошлых атак на уровне предприятия и развивались. Но в наши дни субъекты угроз также развиты и неистовствуют 24 часа в сутки, 7 дней в неделю. Они питаются уязвимостями программного обеспечения и приложений. Даешь им дюйм, и они преодолеют милю. Хотите верьте, хотите нет, ребята из SaaS, но сейчас проводятся операции по направлениям «киберпреступность как услуга» и «программы-вымогатели как услуга».
Текущее состояние управление патчами как согласится большинство ИТ-директоров, вращается вокруг анализа рисков. Группы безопасности анализируют уязвимости ОС и приложений и определяют их приоритетность, а ИТ-команды внедряют исправления для устранения этих уязвимостей или ошибок. Если эти риски не будут расставлены по приоритетам и о них не будет сообщено заранее, ваш ИТ-отдел будет неохотно внедрять исправления.
В настоящее время самой большой проблемой для ИТ-команд при превентивном выпуске исправлений является доступность и скорость реагирования устройств. Таким образом, если для определенного патча нет красного предупреждения, ИТ-команды не будут распространять его на устройства. И у них есть веские аргументы — простои устройств. Например, на ноутбуке вашего продавца, который находится во время важной презентации на встрече, не может внезапно появиться сообщение «Обновляется устройство, пожалуйста, подождите». Примерно то же самое происходит в большинстве организаций. Это баланс между временем простоя устройства и его безопасностью. Равновесие установить непросто. Затем следует математика — вероятностное сочетание уязвимостей, — поскольку не все уязвимости имеют серьезные последствия для злоумышленников.
Акторы угроз бродят вокруг только что упомянутого равновесия. Специалисты по безопасности во всем мире осведомлены об угрозах программ-вымогателей. В сети охотятся банды, предлагающие программы-вымогатели как услугу (скажем, RaaS), такие как Conti. Киберпреступникам нравятся пробелы или разрозненность, которые могут возникнуть в ваших отделах ИТ и безопасности. В сентябре 2021 года совместная инициатива ФБР и CISA пришла к выводу, что Conti RaaS привела к более чем 400 атакам на глобальные и американские организации.
Текущее состояние дел с управлением исправлениями может не сохраниться в будущем. ИТ-командам и командам по кибербезопасности необходимо более тесное сотрудничество, поскольку в ближайшие годы просто анализа рисков на основе приоритетов для обновлений исправлений будет недостаточно.
Составление карты будущего
Победить неустанный подход игроков RaaS, таких как Конти и других отдельных участников угроз, — это не прогулка по парку. Команды ИТ и кибербезопасности в организациях должны быть более тесно связаны, чем когда-либо прежде. Их общей повесткой дня должна быть борьба с нападениями. Сокращение времени на установку исправлений для устройств должно занимать первое место в списке приоритетов. Если у злоумышленников нет достаточно времени для использования уязвимостей, они, скорее всего, откажутся и перестанут преследовать вашу организацию.
Необходимо усовершенствовать баланс между временем простоя устройства и сокращением времени на установку исправлений, сохраняя при этом безопасность устройства на переднем крае. Как упоминалось ранее, не все уязвимости можно использовать; их всего 10%. Это показывает, что гоняться за каждым маленьким патчем нецелесообразно. Между тем, это также не означает, что остальные 90% следует игнорировать — но они могут подождать. Анализ рисков должен иметь четкое представление о контексте и воздействии угроз. Получение информации об исправлениях и связанных с ними уязвимостях необходимо, чтобы понять, какие из них являются оружием, восприимчивы к RaaS и пригодны для использования.
Правильное сочетание информации об исправлениях и анализа рисков уязвимостей имеет решающее значение для определения приоритетов управления исправлениями на основе вероятности ущерба от угроз.
В будущее с гиперавтоматизацией
В ближайшие 5–10 лет управление исправлениями будет централизовано по двум аспектам — лучшим практикам кибербезопасности и разработке безопасных кодов. Коды необходимо проверять на наличие нарушений безопасности на этапе разработки, а не после того, как они будут добавлены в приложение или программное обеспечение. Это будет иметь важное значение для время простоя устройства и баланс времени исправлений, о котором мы говорили ранее.
Неисправленные уязвимости, которые можно использовать, являются основной причиной большинства утечек данных или проникновения программ-вымогателей в системы и устройства. Простой автоматизации анализа обновлений или аналитики в будущем будет недостаточно. Почему? Есть веские причины. Во-первых, модели удаленной и гибридной работы продолжают развиваться даже в постпандемическом мире. Для поддержки таких моделей все больше организаций будут продолжать внедрять облачные операции. ИТ-команды уже считают управление исправлениями сложной задачей, а учитывая удаленную/гибридную работу и быстрый переход к облаку, эта сложность в будущем не станет проще.
Ответ на все проблемы управления исправлениями и процессами лежит на следующем уровне автоматизации — гиперавтоматизации. Сегодня большинство решений для унифицированного управления конечными точками (UEM) предлагают автоматическое управление исправлениями но даже им в будущем придется быстро перейти к гиперавтоматизации. Пришло время ИТ-отделам и службам безопасности проявлять больше активности и прогнозировать уязвимости в режиме реального времени. Анализ угроз необходимо вывести на новый уровень, чтобы обнаруживать, понимать и реагировать на шаблоны рисков, связанные с исправлениями. Это единственный реальный вариант оставаться синхронизированным со сложными моделями действий субъектов угроз. Вмешательство человека должно быть сведено к минимуму. Конечно, на заключительном этапе будет присутствовать элемент человеческого арбитража. Весь сценарий может показаться ошеломляющим, но организации должны найти способ добиться гиперавтоматизации управления исправлениями с помощью UEM.
Путь к гиперавтоматизации
Так как же ИТ-директору/директору по информационной безопасности/директору по безопасности обеспечить, чтобы гиперавтоматизация стала неотъемлемой частью управления исправлениями в организации? Современное управление исправлениями, основанное на рисках, появилось в 2018 году. Да, это через год после WannaCry (2017). Хотя сегодня анализ рисков и анализ исправлений можно автоматизировать с помощью UEM-решениеждут ли организации еще одной крупномасштабной атаки, чтобы перейти к гиперавтоматизации? Хотят ли они, чтобы Конти нанес сильный удар? Без прав? Мы должны внимательно следить за всем пространством UEM на предмет разработок и инноваций в области управления исправлениями. А инновации будут иметь ключевое значение для внедрения гиперавтоматизации.
Инновационный путь к гиперавтоматизированному управлению исправлениями начнется со внедрения большего количества средств контроля безопасности на основе кода в программное обеспечение, включая коды безопасности, коды разработчиков и политики. Тот же контроль на основе кода будет применяться к исправлениям, уязвимостям и уязвимостям. Проще говоря, гиперавтоматизация исправлений будет заключаться в инклюзивном и встроенном кодировании.
Закрытие
Варианты Code Red и WannaCry продолжат атаковать корпоративную безопасность, а банды RaaS, такие как Conti, будут продолжать проникать в системы. Тем не менее, будущее нуждается и всегда будет иметь «Несколько хороших людей».
Единственный способ защититься от угроз — оставаться на шаг впереди них и идти в ногу с тенденциями инноваций. Автоматизация сканирования и анализа уязвимостей заложит основу для гиперавтоматизированного управления исправлениями. Эволюция UEM также станет ключевым фактором для гиперавтоматизации управления исправлениями. Каким бы сложным ни казалось будущее установки исправлений, командам ИТ и кибербезопасности необходимо объединиться, чтобы сделать переход к гиперавтоматизации реальностью. унифицированное управление конечными точками сыграет важную роль в этом будущем.
Scalefusion UEM предлагает управление исправлениями ОС для Windows. Подпишитесь на 14-дневную бесплатную пробную версию, чтобы узнать больше и запланировать демонстрацию.
