Na początku 2019 r. Firma Pulse Secure wypuściła poprawkę na lukę w zabezpieczeniach serwera VPN.
Firma kontaktowała się z klientami telefonicznie, pocztą e-mail, alertami w produkcie i powiadomieniami online, aby przypomnieć im o zainstalowaniu poprawki, ale w styczniu ubiegłego roku agencja ds. Cyberbezpieczeństwa i infrastruktury Departamentu Bezpieczeństwa Wewnętrznego opublikowała alert, który powiedział, że widzi „szeroką eksploatację” luki w zabezpieczeniach.
Wydano CISA kolejny alert w kwietniuo tym, jak daleko atakujący rozprzestrzenili się w sieciach rządowych i komercyjnych po wykorzystaniu tej luki.Pomimo tych wysiłków, aby poinformować organizacje o zagrożeniu, niektórym firmom nie udało się wprowadzić poprawek.W rzeczywistości na początku tego miesiąca haker ujawnił nazwy użytkownika i hasła do ponad 900 serwerów Pulse Secure VPN.
Co tu się dzieje?Dlaczego firmy mają tyle problemów z tak podstawową częścią higieny cyberbezpieczeństwa, łataniem?
Według badań opublikowanych pod koniec ubiegłego roku przez Ponemon Institute, 60% naruszeń, które miały miejsce w ciągu ostatnich dwóch lat, można było zapobiecjeśli łatka została nałożona na czas.Ale tylko 32% respondentów stwierdziło, że byli w stanie skrócić czas potrzebny na załatanie krytycznych luk w zabezpieczeniach w porównaniu z poprzednim rokiem - białe 36% stwierdziło, że zajęło to więcej czasu niż wcześniej.
Problem zarządzania poprawkami jest tak duży, że organizacje mogą napotkać „zmęczenie łatkami” - powiedział Angelos Keromytis, profesor z Georgia Institute of Technology zajmujący się systemami i bezpieczeństwem sieci, a także współzałożyciel firmy Allure Security Technology, zajmującej się cyberbezpieczeństwem.
„Kiedy zarządzasz dużym centrum danych, istnieje ograniczenie co do tego, ile możesz mieć na oku” - powiedział w rozmowie z Data Center Knowledge.
Ponadto czasami ludzie myślą, że plastry ich nie dotyczą.
„Ze względu na sposób, w jaki skonfigurowały sieci i aplikacje, wiele podmiotów uważa, że są izolowane, więc uważają, że nie są tak podatne na ataki” - powiedział.„Istnieje wiele różnych powodów, dla których można nie łatać”.
Centra danych szczególnie narażone
Stosowanie poprawek jest problemem dla większości dużych organizacji, ale centra danych mają szczególne wyzwania.Obejmują one potencjalne zakłócenia działalności spowodowane przestojami, zakłócenia spowodowane nieprzewidzianymi konsekwencjami oraz brak świadomości podatnych systemów.
Według Grega Touhilla, prezesa AppGate Federal Group - firmy zajmującej się cyberbezpieczeństwem wyodrębnionej w zeszłym roku przez dostawcę centrów danych Cyxtera - i pierwszego w kraju dyrektora ds. Bezpieczeństwa informacji podczas administracji Obamy, menedżerowie centrów danych nie zawsze wiedzą, gdzie znajdują się luki są.
Po pierwsze, istnieje drażliwy problem wspólnej odpowiedzialności.Jeśli centrum danych znajduje się w obiekcie kolokacyjnym lub w chmurze, dostawca zajmie się niektórymi, ale nie wszystkimi zadaniami związanymi z bezpieczeństwem.Ze strony dostawców tylko tyle mogą zrobić z infrastrukturą klientów.
„Faktyczna konserwacja i konfiguracja sprzętu w szafie jest często nadal zachowywana przez klienta” - powiedział Touhill DCK.
Nawet jeśli obszary odpowiedzialności są jasne, wyzwaniem jest poznanie luk w zabezpieczeniach, które należy załatać.
„Kiedy byłem w Siłach Powietrznych, nasze własne czerwone zespoły wychodziły i korzystały z komercyjnych gotowych narzędzi, z których korzystaliby potencjalni hakerzy i przeciwnicy, narzędzi do skanowania, a my skanowaliśmy od wewnątrz i skanowaliśmy z zewnątrz - powiedział Touhill.„I używalibyśmy testów piórkowych innych firm, które przeprowadzałyby logiczne i fizyczne testy pióra”.
Hakerzy często odkrywają podatne na ataki, niezałatane systemy, skanując sieć WWW lub uzyskując dostęp do środowiska, a następnie skanując sieci wewnętrzne, aby znaleźć możliwości dalszego rozprzestrzeniania się.
Problem z przestojami
Największym problemem centrów danych jest to, że stosowanie poprawek może powodować przestoje.
Klienci oczekują, że ich centra danych będą działały przez 100% czasu, powiedział DCK Josh Axelrod, lider ds. Cyberbezpieczeństwa w Ernst & Young.
W rezultacie łatanie może być konieczne w bardzo ograniczonych ramach czasowych, kiedy będzie to najmniej uciążliwe.Oznacza to, że łatanie niektórych systemów może zająć dużo czasu.Jednym z rozwiązań tego problemu może być przestrzeń odzyskiwania po awarii.Jeśli część infrastruktury centrum danych ulegnie awarii, dobry system przywracania po awarii automatycznie przeniesie obciążenia, których dotyczy problem, do środowiska zapasowego.Ten sam system mógłby teoretycznie posłużyć do łatania.
„Klienci mogą zobaczyć, jak ich obciążenia są natychmiast przenoszone do czystego środowiska, w którym zastosowano poprawkę” - powiedział.
Chociaż tego rodzaju infrastruktura jest droga w konfiguracji i nie jest powszechnie dostępna, Axelrod zauważył: „Właśnie tam musimy się dostać”.
Innym poważnym problemem związanym z łataniem systemów centrów danych jest to, że mogą one zakłócać krytyczne operacje biznesowe.
„Nie wiesz, jak ta aktualizacja wpłynie na uruchamiane aplikacje” - powiedział nam Keith Mularski, dyrektor zarządzający ds. Cyberbezpieczeństwa w Ernst & Young.
Uruchomienie automatycznej aktualizacji na komputerze końcowym może obniżyć produktywność jednego pracownika, jeśli coś pójdzie nie tak.Automatyczna aktualizacja systemu operacyjnego serwera może spowodować zamknięcie całej firmy.
„Musisz przetestować i upewnić się, że łatka nie wpłynie na Twój biznes” - powiedział.
Jednym podejściem jest użycie środowisk programistycznych, które organizacja może już mieć, do testowania aplikacji w celu sprawdzenia potencjalnych problemów po zastosowaniu poprawki, ale wymagałoby to pewnej koordynacji między kierownikami centrów danych a zespołami programistycznymi.
Zautomatyzuj, outsourcuj lub przenieś się do chmury
Vikas Shah, wiceprezes IT w AArete, firmie konsultingowej w zakresie zarządzania, powiedział nam, że jeśli centrum danych nie ma zasobów, aby poradzić sobie z problemem związanym z łataniem, istnieje kilka możliwości.Jednym z nich byłoby zainwestowanie w środowiska testowe w celu zmniejszenia złożoności poprawek i przestojów oraz w technologię automatyzacji.Na przykład firma Microsoft oferuje usługi Windows Server Update Services i Systems Center Configuration Manager.
„Oba te produkty oferują świetne rozwiązania, ale są przeznaczone dla dużych organizacji z dedykowanymi zespołami” - powiedział.
Inne narzędzia obejmują Solarwinds Patch Manager, LANDesk Patch Manager, ManageEngine Patch Manager Plus i Ivanti Windows Patch.
„Większość z tych narzędzi może działać niezależnie, a także może być zintegrowana z programami WSUS lub SCCM firmy [Microsoft]” - powiedział, dodając, że są też dostawcy serwerów, którzy mogą obsłużyć to zadanie, w tym Rackspace, Connection, Cognizant.
Wreszcie Shah zasugerował, aby przedsiębiorstwa rozważały przeniesienie swoich centrów danych z lokalnych do chmury.Przejście do chmury nie zwalnia firmy z wszelkiej odpowiedzialności za własne bezpieczeństwo, ale dostawcy chmury obsługują poprawki związane z podstawową infrastrukturą.