Problem starych luk w zabezpieczeniach — i co z tym zrobić

Z reguły działy IT koncentrują się na kolejnym zagrożeniu: podatności na zero dni czające się w systemie, zapadnie ukryte przed wzrokiem. To jest zrozumiałe. Boimy się nieznanego, a luki zero-day są z definicji nieznane. Umysł nieuchronnie przeskakuje do przodu do nieopisanych szkód, które mogą spowodować, jeśli i kiedy atakujący w końcu je zidentyfikują.

Jednak skupienie się na kolejnym zagrożeniu, nieznanym ryzyku, może zaszkodzić organizacji. Ponieważ, jak się okazuje, większość luk w zabezpieczeniach, o które firmy powinny się martwić, została już zidentyfikowana.

Według niedawnego raportu firmy Securin zdecydowana większość — 76% — luk wykorzystanych przez oprogramowanie ransomware w 2022 r. to luki stare, wykryte między 2010 a 2019 r. Spośród 56 luk związanych z oprogramowaniem ransomware w 2022 r. 20 z nich to stare luki wykryte między 2015 r. i 2019.

Innymi słowy: w czasie, gdy ataki typu ransomware są prawdopodobnie największym zagrożeniem dla organizacji, luki w zabezpieczeniach najczęściej wykorzystywane przez osoby atakujące ransomware są już nam znane. A jednak niezliczone firmy otworzyły się na nie.

Nie można całkowicie obwiniać działów IT za ten uporczywy problem — większość z nich jest przepracowana, przeciążona i zaangażowana w segregację z niekończącą się kaskadą zagrożeń z każdego kierunku. Jednak odpowiednia higiena cyberbezpieczeństwa wymaga, aby zespoły IT poważnie traktowały te stare luki i uwzględniały je w swoich codziennych procesach bezpieczeństwa.

Dlaczego stare luki w zabezpieczeniach są zaniedbywane

Zanim przyjrzymy się dokładniej, w jaki sposób firmy mogą stać się bardziej czujne w stosunku do starych luk w zabezpieczeniach, przyjrzyjmy się bliżej problemowi, który istnieje obecnie.

Na początek warto zauważyć, że nie jest to kwestia abstrakcyjna. Nieco wcześniej w tym roku ujawniono, że kilku cyberprzestępców wykorzystało 3-latka Luka w toku Telerik włamać się do części rządu USA. „Wykorzystanie tej luki umożliwiło szkodliwym podmiotom pomyślne wykonanie zdalnego kodu na serwerze sieciowym Microsoft Internet Information Services (IIS) agencji federalnej cywilnej władzy wykonawczej (FCEB)”, dotkniętych agencji powiedziany.

Część problemu sprowadza się tutaj do cyklu życia danej luki. Kiedy luka jest identyfikowana po raz pierwszy — kiedy rodzi się luka dnia zerowego — wszyscy zwracają na to uwagę. Dostawca wydaje i wdraża poprawkę, a pewien odsetek zespołów IT, których dotyczy problem, testuje ją i instaluje. Oczywiście nie każdy zespół IT, którego dotyczy problem, się tym zajmuje — może pomyśleć, że nie jest to priorytet lub może po prostu prześlizgnąć się przez szczeliny ich procesu.

Mijają miesiące lub lata, a luka zero-day staje się kolejną z setek starych luk. Duża rotacja w działach IT oznacza, że ​​nowi pracownicy mogą nawet nie być świadomi dawnej luki w zabezpieczeniach. Jeśli są tego świadomi, mogą założyć, że już się tym zajęto. W każdym razie mają inne powody do zmartwień — w tym między innymi wszystkie nowe luki dnia zerowego, które są regularnie identyfikowane.

I tak stara luka nadal żyje w sieci, czekając tylko na ponowne odkrycie przez sprytnego atakującego.

Proaktywna praca nad łataniem starych luk w zabezpieczeniach

Biorąc to wszystko pod uwagę, nie ma wątpliwości, że firmy muszą być bardziej czujne w stosunku do starych luk w zabezpieczeniach. To prawda, że ​​patrzenie jednym okiem na przeszłość, a drugie na przyszłość nie jest łatwe, zwłaszcza gdy działy IT mają tak wiele innych zmartwień. I to prawda, że ​​działy IT nie mogą oczekiwać, że wszystko załatają. Istnieją jednak dość proste podejścia, które mogą zminimalizować ryzyko powrotu starej luki w zabezpieczeniach nieprzygotowanej organizacji.

Najprostszym i najskuteczniejszym podejściem jest optymalizacja Zarządzanie poprawkami procesy na miejscu. Oznacza to uzyskanie kompleksowego obrazu obszaru ataku — w tym starych luk w zabezpieczeniach — i świadome osądy dotyczące najlepszego sposobu alokacji zasobów zespołu IT.

Oceny te powinny być oparte na standardowych repozytoriach luk w zabezpieczeniach, takich jak Krajowa baza danych o lukach w zabezpieczeniach (NVB) i MITRA. Ale powinny też wykraczać poza nie. Faktem jest, że repozytoria luk w zabezpieczeniach najczęściej sprawdzane przez działy IT zawierają rażące dziury, a te niefortunne pominięcia odgrywają określoną rolę w dalszym wykorzystywaniu starych luk przez złych aktorów. Nie wspominając już o tym, że wiele standardowych kalkulatorów ryzyka ma tendencję do niedoszacowywania ryzyka.

Prostym faktem jest to, że organizacje nie mogą właściwie ocenić zagrożeń, przed którymi stoją, jeśli pracują na bezstronnych lub niewłaściwie wyważonych informacjach — muszą znać dokładne zagrożenia, przed którymi stoją, i muszą być w stanie odpowiednio nadać im priorytety. ryzyko.

W końcu luka pozostaje luką, niezależnie od tego, czy została zidentyfikowana pięć lat temu, czy pięć godzin temu. Wiek luki w zabezpieczeniach nie ma znaczenia, czy i kiedy jest wykorzystywana — może prowadzić do równie dużych szkód. Ale dla zespołów IT stare luki mają jedną wyraźną zaletę: już o nich wiemy. Wykorzystanie tej wiedzy — proaktywne działanie w celu zidentyfikowania i załatania tych luk — jest niezbędne do zapewnienia bezpieczeństwa dzisiejszym organizacjom.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
• Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
• Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
• Źródło: https://www.darkreading.com/vulnerabilities-threats/the-problem-of-old-vulnerabilities-and-what-to-do-about-it