SOS :: Security Operation Space
19 ноября, вторник, 00:00
|
Hot News:

Microsoft и NIST научат бизнес ставить патчи

15 октября 2019 г., вторник, 16:03

Эксперты обеспокоены низкой культурой обновления ПО в корпорациях и намерены решить проблему новым стандартом.

Компания Microsoft и Национальный институт стандартов и технологий США (US National Institute of Standards and Technology, NIST) создадут практическое руководство по установке патчей в корпоративных инфраструктурах. Эксперты намерены повысить грамотность бизнеса в вопросах ИБ и предложить решения для ключевых вопросов, которые возникают при обновлении ПО.

Истоки инициативы — в крупнейших кибератаках

Основу нового проекта еще в 2017 году заложили специалисты Microsoft, которые пытались выяснить причины разрушительных эпидемий WannaCry, NotPetya и Bad Rabbit. Эти шифровальщики поразили десятки тысяч компьютеров по всему миру, используя уязвимости Windows, уже пропатченные вендором.

Представители Microsoft, включая ведущего архитектора защитных решений Марка Саймоса (Mark Simos), провели интервью с ответственными сотрудниками нескольких крупных организаций, чтобы понять, почему предприятия медлят с обновлением ПО. Как выяснилось, многие клиенты компании с трудом понимают угрозу ИБ-уязвимостей и пренебрегают патчами ради краткосрочной стабильности. Они опасаются, что установка новой версии вызовет сбои в инфраструктуре или сделает недоступными важные корпоративные системы. Сотрудники IT-служб зачастую не знают, как тестировать заплатки, и ограничиваются изучением онлайн-форумов, где они пытаются узнать о возможных проблемах.

Суть планируемого стандарта

Эксперты заключили, что индустрии необходим общепринятый стандарт с прописанной процедурой обновления ПО. Инициатива Critical Cybersecurity Hygiene: Patching the Enterprise («Критически важный аспект кибербезопасности: установка патчей на предприятиях») призвана расширить существующий пакет рекомендаций NIST, который был опубликован по результатам ранних исследований Microsoft. Представители института намерены подойти к проблеме с практической стороны и предоставить корпоративным IT-службам конкретные рекомендации.

«В рамках нового проекта будут рассмотрены проприетарные и открытые инструменты, которые помогают справиться с самыми серьезными трудностями при установке патчей, — говорят эксперты NIST. — Это приоритизация IT-систем, тестирование патчей, отслеживание их применения и верификация. Рекомендации по использованию этих инструментов дополнит руководство по выстраиванию политик и процессов на всем жизненном цикле обновлений».

Сроки выпуска планируемого документа пока неизвестны. В то же время комментаторы отмечают, что это первый случай подобного сотрудничества NIST с частной корпорацией. По их словам, поддержка других заинтересованных сторон может значительно ускорить подготовку документа.

Проблема незакрытых уязвимостей

Упомянутые выше эпидемии шифровальщиков — далеко не единственные случаи, когда известные уязвимости применяются в масштабных атаках. Непропатченные баги помогают операторам IoT-ботнетов расширять свои владения, да и другие киберпреступники постоянно следят за публикациями багов, чтобы успеть воспользоваться ими до установки патчей на местах.

В начале 2018 года аналитики подсчитали, что в среднем патч выходит через 12-13 дней после обнародования уязвимости, а эксплойты появляются уже к концу первой недели. В некоторых случаях злоумышленникам хватает и трех дней — именно столько прошло с момента выпуска патча для CVE-2017-5638 в Apache Struts до обнаружения первых попыток использования этой лазейки. Позднее злоумышленники воспользовались ею для проникновения в сети кредитного бюро Equifax. Несмотря на широкую огласку этого инцидента, уязвимость CVE-2017-5638 продолжает использоваться в кибератаках по сей день.

Не теряет актуальности и эксплойт к уязвимости EternalBlue, которая спровоцировала атаки WannaCry в 2017 году. В 2019-м ее применяли в атаках на город Балтимор и при построении нового ботнета Smominru.

Как подчеркнули в своей публикации эксперты Microsoft, в сегодняшних условиях поддержание IT-активов в актуальном состоянии становится частью корпоративной социальной ответственности. Именно поэтому присоединиться к работе над новой инициативой могут все желающие — от разработчиков ПО, пригодного для повышения эффективности патчинга, до частных лиц и компаний, имеющих полезный опыт в управлении этим процессом в рамках предприятия.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:15
16:13
15:30
12:15
10:15
08:15
06:15
17:15
15:36
14:30
14:15
14:15
14:15
13:15
10:15
08:15
07:15
06:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.586
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.