 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Эксперты обеспокоены низкой культурой обновления ПО в корпорациях и намерены решить проблему новым стандартом.
Компания Microsoft и Национальный институт стандартов и технологий США (US National Institute of Standards and Technology, NIST) создадут практическое руководство по установке патчей в корпоративных инфраструктурах. Эксперты намерены повысить грамотность бизнеса в вопросах ИБ и предложить решения для ключевых вопросов, которые возникают при обновлении ПО.
Основу нового проекта еще в 2017 году заложили специалисты Microsoft, которые пытались выяснить причины разрушительных эпидемий WannaCry, NotPetya и Bad Rabbit. Эти шифровальщики поразили десятки тысяч компьютеров по всему миру, используя уязвимости Windows, уже пропатченные вендором.
Представители Microsoft, включая ведущего архитектора защитных решений Марка Саймоса (Mark Simos), провели интервью с ответственными сотрудниками нескольких крупных организаций, чтобы понять, почему предприятия медлят с обновлением ПО. Как выяснилось, многие клиенты компании с трудом понимают угрозу ИБ-уязвимостей и пренебрегают патчами ради краткосрочной стабильности. Они опасаются, что установка новой версии вызовет сбои в инфраструктуре или сделает недоступными важные корпоративные системы. Сотрудники IT-служб зачастую не знают, как тестировать заплатки, и ограничиваются изучением онлайн-форумов, где они пытаются узнать о возможных проблемах.
Эксперты заключили, что индустрии необходим общепринятый стандарт с прописанной процедурой обновления ПО. Инициатива Critical Cybersecurity Hygiene: Patching the Enterprise («Критически важный аспект кибербезопасности: установка патчей на предприятиях») призвана расширить существующий пакет рекомендаций NIST, который был опубликован по результатам ранних исследований Microsoft. Представители института намерены подойти к проблеме с практической стороны и предоставить корпоративным IT-службам конкретные рекомендации.
«В рамках нового проекта будут рассмотрены проприетарные и открытые инструменты, которые помогают справиться с самыми серьезными трудностями при установке патчей, — говорят эксперты NIST. — Это приоритизация IT-систем, тестирование патчей, отслеживание их применения и верификация. Рекомендации по использованию этих инструментов дополнит руководство по выстраиванию политик и процессов на всем жизненном цикле обновлений».
Сроки выпуска планируемого документа пока неизвестны. В то же время комментаторы отмечают, что это первый случай подобного сотрудничества NIST с частной корпорацией. По их словам, поддержка других заинтересованных сторон может значительно ускорить подготовку документа.
Упомянутые выше эпидемии шифровальщиков — далеко не единственные случаи, когда известные уязвимости применяются в масштабных атаках. Непропатченные баги помогают операторам IoT-ботнетов расширять свои владения, да и другие киберпреступники постоянно следят за публикациями багов, чтобы успеть воспользоваться ими до установки патчей на местах.
В начале 2018 года аналитики подсчитали, что в среднем патч выходит через 12-13 дней после обнародования уязвимости, а эксплойты появляются уже к концу первой недели. В некоторых случаях злоумышленникам хватает и трех дней — именно столько прошло с момента выпуска патча для CVE-2017-5638 в Apache Struts до обнаружения первых попыток использования этой лазейки. Позднее злоумышленники воспользовались ею для проникновения в сети кредитного бюро Equifax. Несмотря на широкую огласку этого инцидента, уязвимость CVE-2017-5638 продолжает использоваться в кибератаках по сей день.
Не теряет актуальности и эксплойт к уязвимости EternalBlue, которая спровоцировала атаки WannaCry в 2017 году. В 2019-м ее применяли в атаках на город Балтимор и при построении нового ботнета Smominru.
Как подчеркнули в своей публикации эксперты Microsoft, в сегодняшних условиях поддержание IT-активов в актуальном состоянии становится частью корпоративной социальной ответственности. Именно поэтому присоединиться к работе над новой инициативой могут все желающие — от разработчиков ПО, пригодного для повышения эффективности патчинга, до частных лиц и компаний, имеющих полезный опыт в управлении этим процессом в рамках предприятия.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
