Najczęstsze błędy popełniane przez administratorów – aktualizacje

Aktualizacje aplikacji i ich komponentów

Nie bez powodu „Używanie komponentów ze znanymi podatnościami” od lat ma stałe miejsce na liście 10 najczęściej występujących problemów z bezpieczeństwem aplikacji WWW, zwanej OWASP Top10. Choć w dzisiejszym świecie to właśnie aplikacje WWW odgrywają dominującą rolę, to problem aktualizacji dotyczy wszystkich rodzajów aplikacji używanych w firmach i instytucjach. Mnogość narzędzi, w które wyposażamy naszych pracowników i klientów powoduje, że coraz trudniej jest zachować nad nimi kontrolę. Już sama inwentaryzacja używanych rozwiązań dla wielu organizacji stanowi problem, a zbadanie stanu ich aktualizacji okazuje się wyzwaniem przerastającym większość firm.

Dobrym przykładem, czym kończy się taka sytuacja, może być historia amerykańskiej firmy Equifax, z której włamywacze wykradali przez wiele miesięcy dane jej klientów. Gdy okazało się, że popularny komponent aplikacji Apache Struts posiada krytyczną podatność, umożliwiającą zdalne wykonanie kodu, pracownicy Equifaxu dwukrotnie skanowali swoją sieć w poszukiwaniu aplikacji podatnych na atak – i dwukrotnie ich nie wykryli. Okazało się jednak, że włamywacze byli sprawniejsi i między pierwszym a drugim skanowaniem zidentyfikowali podatny serwer, włamali się do niego i następnie miesiącami wyprowadzali cenne informacje z kilkudziesięciu baz danych.²

Aktualizacje systemów operacyjnych

Oprócz aktualizacji aplikacji nie mniej ważnym problemem jest aktualizacja używanych systemów operacyjnych. Wagę tego zagadnienia najlepiej pokazał atak złośliwego oprogramowania WannaCry, które wykorzystywało podatność w usłudze SMB (Server Message Block) znaną w momencie ataku od kilku tygodni. Mimo iż istniały aktualizacje pozwalające na usunięcie podatności, WannaCry było w stanie zainfekować tysiące firm na całym świecie, w tym także wielkie korporacje takie jak Nissan, Renault czy FedEx³ i poczynić w nich znaczne zniszczenia.

Choć konieczność aktualizacji systemów Windows i waga podatności były świetnie znane, to nie wystarczyło to do zapewnienia, by publicznie dostępne serwery zostały załatane w ciągu miesiąca od opublikowania narzędzi umożliwiających przeprowadzenie ataku. Co więcej, ataki WannaCry zdarzają się nadal, nawet półtora roku od jego pojawienia się w sieci. Niedawno ich ofiarą padł producent układów scalonych używanych w produktach firmy Apple. Źródłem infekcji okazał się być laptop serwisanta, podłączony do wewnętrznej sieci produkcyjnej. Mimo skali zagrożenia komputery w niej obecne nie otrzymały na czas odpowiednich aktualizacji.

Wygrać wyścig

Walka z cyberprzestępcami nie jest prostym zadaniem. W opisywanym powyżej przypadku firmy Equifax między opublikowaniem informacji o odkryciu błędu a jego wykorzystaniem przez przestępców minęły zaledwie dwa dni. W przypadku występujących w ostatnich miesiącach podatności serwisów opartych o platformę Drupal czas od odkrycia do wykorzystania błędu skrócił się do kilku godzin. Przestępcy wiedzą, że czas na przeprowadzenie ataku na najciekawsze cele szybko upływa, dlatego na bieżąco monitorują nowe podatności i starają się je jak najszybciej wykorzystać. Organizacje, które chcą im stawić czoła, nie mogą być w tym wyścigu gorsze.

Nie każda firma może jednak utrzymywać całodobowy zespół monitorowania i reagowania na tego typu incydenty. Z pomocą przychodzą tu usługi oferowane i zarządzane przez zewnętrzne podmioty takie jak np. Managed Web Application Firewall, czyli mechanizmy zabezpieczające aplikacje WWW przed znanymi i świeżo odkrytymi podatnościami. Dzięki pracy ekspertów dbających o aktualizacje sygnatur ataków firmy mogą stosować „wirtualne likwidowanie podatności” – zanim zdążą zaktualizować swoje aplikacje, odpowiednie platformy uniemożliwią przestępcom wykorzystanie błędów.

Złośliwe aktualizacje

Omawiając temat aktualizacji oprogramowania nie sposób nie wspomnieć o atakach, w których wektorem ataku były złośliwe, zmodyfikowane przez przestępców aktualizacje oprogramowania używanego przez wiele firm na całym świecie. Takimi przykładami mogą być niedawne incydenty NotPetya czy CCleanera, gdzie dzięki przejęciu kontroli nad serwerem aktualizacji przestępcy mogli w niezauważalny dla użytkowników sposób infekować miliony komputerów. Te ataki mogą stanowić istotne zagrożenie i być argumentem przeciwko regularnemu aktualizowaniu aplikacji. Należy jednak zauważyć, że ryzyka, wynikające z używania nieaktualnych aplikacji, znacznie przewyższają te płynące z ich regularnego aktualizowania. Ataki na nieaktualne aplikacje trudno nawet zliczyć, podczas gdy ataki złośliwych aktualizacji to nadal pojedyncze incydenty w skali roku.

Podsumowanie

Dbanie o terminowe aktualizacje jest trudnym, nigdy nie kończącym się wyzwaniem. Aby mu podołać warto przestrzegać poniższych zaleceń:

• Usuwanie nieużywanych systemów i aplikacji pozwala zmniejszyć pulę rozwiązań wymagających aktualizacji.
• Automatyzacja procesów aktualizacji jest przydatna w organizacji o każdej skali działania i znacząco odciąża pracowników odpowiedzialnych za ten proces, pozwalając im skupić się na aplikacjach i systemach, gdzie automatyzacja aktualizacji nie jest pożądana lub możliwa.
• W przypadkach, gdy aktualizacja nie jest możliwa, należy wdrożyć inne mechanizmy, takie jak filtrowanie ruchu, separacja podatnych systemów oraz monitoring.

¹ https://www.servicenow.com/content/dam/servicenow-assets/public/en-us/doc-type/resource-center/analyst-report/ponemon-state-of-vulnerability-response.pdf
² https://oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
³ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

Ten artykuł dotyczy produktu

Zarządzany WAF

Przejdź do produktu

Data publikacji: 01.01.2019