Hlavní navigace

Aktualizace jsou stále Achillovou patou bezpečnosti

2. 1. 2023

Sdílet

 Autor: Depositphotos
Neúnavné a stále zrychlující se tempo kyberzločinců uvaluje profesionály v oblasti kybernetické bezpečnosti do cyklického a nekončícího procesu oprav, pro většinu organizací se ale zvyšující míra rizik stává neudržitelná.

Stejně jako smartphony či počítače upozorňují na vhodnost instalace právě vydané aktualizace, tak i samotný hardware počítačových sítí musí procházet pravidelným upgradem svého softwaru a firmwaru.

Uvažujete o zapojení se do projektů open source?

Tím dochází k řešení oprav zranitelných míst, která by mohla vést k potenciálním bezpečnostním incidentům. Jenže, odborníci na kybernetickou bezpečnost aktuálně čelí chronickému vydávání oprav různých zranitelností a stav se přitom nadále zhoršuje.

Situace se mění od špatné k horší

Organizace všeho druhu po celém světě se ocitly v nekonečné smyčce masivního záplatování zranitelností. Ty se dokonce objevují tak rychle, že než je vydána záplata na dříve objevenou chybu, už hrozí nové potenciální riziko.

„Tento nekonečný až chronický cyklus zranitelností, respektive záplat, přispívá k apatii mezi mnoha podniky a odborníky v oblasti kybernetické bezpečnosti,“ tvrdí Petr Kocmich, bezpečnostní expert ve společnosti Soitron.

Důvody k jejich případné rezignaci přitom mohou být různé. Nejčastěji se tak však děje z důvodu nedostatečného počtu lidských zdrojů (odborníků na kyberbezpečnost) pracujících v organizacích.

Odhalené zranitelnosti jsou přitom pouze špičkou ledovce, protože představují pouze přibližně 10 % objevených potenciálních rizik, o kterých se ví a pracuje na jejich řešení.

Mezitím vývojáři softwaru, hardwaru a IT systémů při pracích vedoucích k nápravám mohou na svět díky dalším vneseným chybám v kódu vnést nová potenciální zranění.

V praxi se tak paradoxně může stát, že aktualizací odborníci na kybernetickou bezpečnost ve firmách ‚nasadí‘ více problémů, než kolik se jich dostupným updatem snaží vyřešit.

Ačkoliv se dá drtivá většina instalací bezpečnostních záplat poměrně dobře automatizovat, stále zde zůstávají nutné procesy v rámci aktualizací a povyšování verzí jednotlivých systémů a firmwarů.

Příkladem mohou být právě síťové prvky, kdy upgrade mnohdy vyžaduje dodatečné dlouhé testování a samotné odstávky systémů včetně specifických procesů při přepnutí na právě zaktualizovaný systém při režimu vysoké dostupnosti.

Tyto aktivity mnohdy provází frustrace a strach z upgradu na rádoby stabilní a testované verze systémů, jež ruku na srdce, nejsou zrovna vždy stabilní a 100% funkční, jak výrobce tvrdí. Tímto nešvarem bohužel trpí prakticky všechny produkty dnešní doby.

Technologie se stává čím dál více komplexnější a z důvodu snahy výrobců dohánět konkurenci implementují nové a nové funkce a integrační prvky (které mnohdy ani zákazník nepotřebuje) a tím zvyšují komplexitu potřebného kódu a riziko zanesení chyb do kódu.

Výrobcem prováděné (automatizované) testování technologie v simulovaném prostředí pak v rámci možných konfigurací a komplexních integrací v reálném světě nemůže nikdy odhalit všechny možné chyby.

„A toto pro administrátory a inženýry představuje obrovské riziko, vedoucí až k jejich vyhoření,”dodává Kocmich. Odhodlání odborníků totiž výrazně klesá, protože si uvědomují, že organizace jsou více zranitelnější.

Věčný stav obrany není udržitelný

Pro toho, kdo se věnuje bezpečnostním rizikům nejde o žádné nové zjištění, protože tempo a sofistikovanost hrozeb se neúnavně zvyšuje a čelí mu nejen soukromé organizace, ale prakticky každý jednotlivec včetně vládních subjektů.

Kyber útočníci jsou tak nejen stále efektivnější, chytřejší, kreativnější ale také čím dál tím hlouběji pronikají do počítačových systémů, a to takovou rychlostí, než jaké jsou možnosti kybernetické bezpečnosti.

Nadále bude platit pravidlo, že bezpečnost reaguje na aktuální typy útoků, učí se z nich a prakticky stále dobíhá pomyslný ujíždějící vlak s útočníky. Dobrou zprávou však je, že bezpečnostní oborníci za tím vlakem neběží tak daleko, ale že se tak tak chytají nástupního madla, vysvětluje Petr Kocmich.

Vzhledem k tomuto novému faktu musí podniky vytvořit takovou správu oprav, aby byla účinná a uvědomit si, že ne všechny záplaty mohou být prospěšné. Nasazení těch špatných může způsobit výpadky systému nebo problémy s jinými aplikacemi a systémy.

Proto je v mnoha ohledech zapotřebí mít kvalitně připravené testovací prostředí které by v ideálním případě kopírovalo prostředí produkční (ano, toto není ani jednoduché, ani levné) a na kterém by bylo možné záplaty a hlavně přechody na vyšší verze pravidelně a dostatečně testovat.

Velkou měrou k vyšší chybovosti přispívá zrychlené vydávání množství oprav, a to nejen těch důležitých z pohledu bezpečnosti, ale také těch, které se v dobré víře snaží dohnat, tedy implementovat vlastnosti, které konkurence již nabízí.

I přestože se před vydáním oprav i updatů provádí rozsáhlé testování, včetně penetračních testů, nikdy nemůže být zaručeno, že dostupné změny jsou dokonalé. Avšak adekvátní metodika testování ve vlastním firemním prostředí snižuje riziko toho, že bezpečnostní tým organizace nasadí špatnou opravu.

Udržování pozitivního myšlení

Dalo by se říci, že nahnutou válku – z důvodu oslabené pozice, jako je ta, ve které operují odborníci na kybernetickou bezpečnost – ještě více ztěžuje klesající míra optimismu. Proto nejdůležitější je nepřestat a pokračovat v boji.

skoleni

Jak ale vyrovnat tuto nepopiratelnou nerovnováhu mezi nadějí a realitou? Slavit každý dílčí úspěch, školit, školit a školit, a to nejen v oblasti kybernetické bezpečnosti a důsledně kontrolovat dodržování zavedených adekvátních procesů.

Odborníci v oblasti kybernetické bezpečnosti by se měli posilovat tím, že budou pravidelně a metodicky rozvíjet své dovednosti a aktivně přispívat do bezpečnostní komunity svými zkušenostmi a poznatky a šířit tak bezpečnostní osvětu, dodává Kocmich.

 

Security World si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí.  Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.