Felbolydult az IT-világ, miután egy sor nulladik napi MS Exchange sebezhetőséget fedeztek fel biztonsági szakértők. Az eset felhívta a figyelmet a frissítések fontosságára is, amit újból és újból meg kell ismételnünk.
Márciusban négy kritikus fontosságú MS Exchange sebezhetőséghez adott ki frissítést a gyártó. Április közepén a Microsoft további két kritikus sebezhetőséget fedezett fel az Exchange Server 2013-i, 2016-i és 2019-i kiadásában; kihasználásukkal a támadók távolról átvehetik az ellenőrzést a szerverek felett. A hibákat az amerikai NSA jelentette a gyártónak, így a hackerközösségnek nem volt ideje kihasználni – a jelentés pillanatáig.
A kritikus jellegű biztonsági hibák esetében rendkívül fontos, hogy a vállalatok milyen gyorsan képesek frissíteni a sérülékeny rendszereket. A márciusban bejelentett MS Exchange-hibák esetén még egy héttel a híradások után is tízezrével voltak elérhetők nem frissített rendszerek az interneten. Ennek hatásait már most is lehet érezni, például az egyre gyakoribb zsarolóvírusos támadásokban.
Hasonló problémákról bármely kritikus sérülékenység esetén beszámolhatnánk. A késlekedés oka évtizedek óta ugyanaz: a frissítés folyamata nem triviális, a patch-eket tesztelni kell, mielőtt a munkára használt számítógépekre felteszik őket a rendszergazdák, vagy az adott frissítést a szakemberek különböző okok miatt nem tartják fontosnak. A helyzetet az sem segíti, hogy megnőtt a frissítések gyakorisága, bár a Microsoft védelmére legyen mondva, igyekeztek évi két nagy frissítésre korlátozni ezt a tevékenységet. Így amikor a rendszergazdák épp végeztek az utolsó simításokkal, már érkezik az újabb frissítés. Ez önmagában is kihívás, de ne feledjük, a szervezetet nem egyetlen alkalmazás működteti.
És itt kezdődik a probléma. Az IT-vezetőség azt gondolja, hogy a rendszergazdák – mellékesen – a frissítéssel is tudnak foglalkozni, ami lássuk be, valóban mindennapi munkájuk egyik része. Ha őszinték vagyunk, a gyakorlatban a rendszerek frissen tartása a huszonötödik a fontossági listában. És nem ez a legkreatívabb és legmotiválóbb munka a világon. A munkaerő-hiánnyal küszködő IT-részlegek sokszor egyszerűen nem tudnak lépést tartani a frissítésekkel.
Ezen a ponton lépjünk egyet hátra. A biztonság nemcsak frissítésekről és a sérülékenységek foltozásáról szól. Kritikus összetevői a vállalati IT-biztonsági stratégiának, de ez nem minden. A sérülékenységek foltozása mellett olyan biztonsági eszközök és megoldások léteznek, mint a többfaktoros azonosítás, a tűzfalak, IPS, titkosítás, egy jól megtervezett antivírus megoldás, melyet mesterséges intelligencia segít ki, vagy az alkalmazottak biztonsági oktatása. Egyetlen összetevő sem garantálhatja a vállalat biztonságát. Az IT-biztonság több tényező sikeres összegzése.
Ennek megfelelően egyetlen sikeres támadás sem egy összetevő gyengeségén, hanem több komponens hibáján múlik. Ha a támadó egy cselekedete vagy egy komponens kiesése a teljes vállalati IT-infrastruktúrát is magával rántja, ott tervezési problémák is vannak.
A frissítések lassú telepítésének egyik oka, a szervezeti tesztkörnyezetek hiánya. Sokat hangoztatott kifogás, hogy a vállalatok már megégették magukat a kritikus alkalmazás frissítése után. Az eredmény, hogy a gyors frissítés helyett a hosszas teszteléssel foglalkoznak, így nem kockáztatják a mindennapi üzletmenet-folytonosságot. A szervezetek kevésbé félnek a biztonsági incidensektől, mint a frissítés üzletmenet folytonosságára gyakorolt hatásáról. Ami viszont nem jó. A szervezeteknek tisztán meg kell határozniuk, hogy mit frissítsenek és hogyan, és főként mikor.
A CVSS (Common Vulnerability Scoring System – nyílt iparági szabvány az IT-rendszereket érintő biztonsági rések súlyosságának felmérésére) rendszer jó kiindulópont.
Ennek alapján, minden kritikus biztonsági frissítés telepítését gyorsítani lehet. Nem javasolható a tesztelés elhagyása, de ajánlott, hogy lehetőség szerint minél gyorsabban és hatékonyabban teszteljen a vállalat, hogy minél hamarabb, pár nap alatt telepíthető legyen a kritikus frissítés. Ez idő alatt ideiglenes megoldásokkal, kerülő utakkal, de kezelendő a biztonsági kockázat.
Az is a valósághoz tartozik, hogy főleg a kisebb vállalatoknak nincs meg a szükséges eszközük a frissítések menedzselésére. A fontos, például Windows-frissítésekről a sajtóból is értesülhetnek, a kisebb eszközök frissítéséről bárki lemaradhat. Megfelelő eszközök, például frissítéseket kezelő megoldások beszerzésével ez orvosolható.
Ezek után egy terület még mindig nagy kockázat: az árnyékinformatika. Ha az alkalmazottak használnak nem szabványos vállalati programokat, akkor jó ötlet szabványossá tenni őket. Így az IT az ellenőrzése alá vonhatja őket, és frissítésükkel is foglalkozhat.
Az előrelátható jövőben az embereknek továbbra is szükségük lesz programokra, és a milliárdnyi programsor között biztos lesz hibás is. A frissítés tehát továbbra is szükséges rossz marad. Azonban a kritikus frissítések esetében megoldás lehet az automatikus patchelés. Hát nem azért fejleszti az emberiség a mesterséges intelligenciát, hogy rábízza az unalmas, repetitív feladatokat?!