Aktualizace jsou stále Achillovou patou bezpečnosti

Stejně jako smartphony či počítače upozorňují na vhodnost instalace právě vydané aktualizace, tak i samotný hardware počítačových sítí musí procházet pravidelným upgradem svého softwaru a firmwaru.

Tím dochází k řešení oprav zranitelných míst, která by mohla vést k potenciálním bezpečnostním incidentům. Jenže, odborníci na kybernetickou bezpečnost aktuálně čelí chronickému vydávání oprav různých zranitelností a stav se přitom nadále zhoršuje.

Situace se mění od špatné k horší

Organizace všeho druhu po celém světě se ocitly v nekonečné smyčce masivního záplatování zranitelností. Ty se dokonce objevují tak rychle, že než je vydána záplata na dříve objevenou chybu, už hrozí nové potenciální riziko.

„Tento nekonečný až chronický cyklus zranitelností, respektive záplat, přispívá k apatii mezi mnoha podniky a odborníky v oblasti kybernetické bezpečnosti,“ tvrdí Petr Kocmich, bezpečnostní expert ve společnosti Soitron.

Důvody k jejich případné rezignaci přitom mohou být různé. Nejčastěji se tak však děje z důvodu nedostatečného počtu lidských zdrojů (odborníků na kyberbezpečnost) pracujících v organizacích.

Odhalené zranitelnosti jsou přitom pouze špičkou ledovce, protože představují pouze přibližně 10 % objevených potenciálních rizik, o kterých se ví a pracuje na jejich řešení.

Mezitím vývojáři softwaru, hardwaru a IT systémů při pracích vedoucích k nápravám mohou na svět díky dalším vneseným chybám v kódu vnést nová potenciální zranění.

V praxi se tak paradoxně může stát, že aktualizací odborníci na kybernetickou bezpečnost ve firmách ‚nasadí‘ více problémů, než kolik se jich dostupným updatem snaží vyřešit.

Ačkoliv se dá drtivá většina instalací bezpečnostních záplat poměrně dobře automatizovat, stále zde zůstávají nutné procesy v rámci aktualizací a povyšování verzí jednotlivých systémů a firmwarů.

Příkladem mohou být právě síťové prvky, kdy upgrade mnohdy vyžaduje dodatečné dlouhé testování a samotné odstávky systémů včetně specifických procesů při přepnutí na právě zaktualizovaný systém při režimu vysoké dostupnosti.

Tyto aktivity mnohdy provází frustrace a strach z upgradu na rádoby stabilní a testované verze systémů, jež ruku na srdce, nejsou zrovna vždy stabilní a 100% funkční, jak výrobce tvrdí. Tímto nešvarem bohužel trpí prakticky všechny produkty dnešní doby.

Technologie se stává čím dál více komplexnější a z důvodu snahy výrobců dohánět konkurenci implementují nové a nové funkce a integrační prvky (které mnohdy ani zákazník nepotřebuje) a tím zvyšují komplexitu potřebného kódu a riziko zanesení chyb do kódu.

Výrobcem prováděné (automatizované) testování technologie v simulovaném prostředí pak v rámci možných konfigurací a komplexních integrací v reálném světě nemůže nikdy odhalit všechny možné chyby.

„A toto pro administrátory a inženýry představuje obrovské riziko, vedoucí až k jejich vyhoření,”dodává Kocmich. Odhodlání odborníků totiž výrazně klesá, protože si uvědomují, že organizace jsou více zranitelnější.

Věčný stav obrany není udržitelný

Pro toho, kdo se věnuje bezpečnostním rizikům nejde o žádné nové zjištění, protože tempo a sofistikovanost hrozeb se neúnavně zvyšuje a čelí mu nejen soukromé organizace, ale prakticky každý jednotlivec včetně vládních subjektů.

Kyber útočníci jsou tak nejen stále efektivnější, chytřejší, kreativnější ale také čím dál tím hlouběji pronikají do počítačových systémů, a to takovou rychlostí, než jaké jsou možnosti kybernetické bezpečnosti.

Nadále bude platit pravidlo, že bezpečnost reaguje na aktuální typy útoků, učí se z nich a prakticky stále dobíhá pomyslný ujíždějící vlak s útočníky. Dobrou zprávou však je, že bezpečnostní oborníci za tím vlakem neběží tak daleko, ale že se tak tak chytají nástupního madla, vysvětluje Petr Kocmich.

Vzhledem k tomuto novému faktu musí podniky vytvořit takovou správu oprav, aby byla účinná a uvědomit si, že ne všechny záplaty mohou být prospěšné. Nasazení těch špatných může způsobit výpadky systému nebo problémy s jinými aplikacemi a systémy.

Proto je v mnoha ohledech zapotřebí mít kvalitně připravené testovací prostředí které by v ideálním případě kopírovalo prostředí produkční (ano, toto není ani jednoduché, ani levné) a na kterém by bylo možné záplaty a hlavně přechody na vyšší verze pravidelně a dostatečně testovat.

Velkou měrou k vyšší chybovosti přispívá zrychlené vydávání množství oprav, a to nejen těch důležitých z pohledu bezpečnosti, ale také těch, které se v dobré víře snaží dohnat, tedy implementovat vlastnosti, které konkurence již nabízí.

I přestože se před vydáním oprav i updatů provádí rozsáhlé testování, včetně penetračních testů, nikdy nemůže být zaručeno, že dostupné změny jsou dokonalé. Avšak adekvátní metodika testování ve vlastním firemním prostředí snižuje riziko toho, že bezpečnostní tým organizace nasadí špatnou opravu.

Udržování pozitivního myšlení

Dalo by se říci, že nahnutou válku – z důvodu oslabené pozice, jako je ta, ve které operují odborníci na kybernetickou bezpečnost – ještě více ztěžuje klesající míra optimismu. Proto nejdůležitější je nepřestat a pokračovat v boji.

Jak ale vyrovnat tuto nepopiratelnou nerovnováhu mezi nadějí a realitou? Slavit každý dílčí úspěch, školit, školit a školit, a to nejen v oblasti kybernetické bezpečnosti a důsledně kontrolovat dodržování zavedených adekvátních procesů.

Odborníci v oblasti kybernetické bezpečnosti by se měli posilovat tím, že budou pravidelně a metodicky rozvíjet své dovednosti a aktivně přispívat do bezpečnostní komunity svými zkušenostmi a poznatky a šířit tak bezpečnostní osvětu, dodává Kocmich.