Стоит ли обновляться, если и так работает? От каких киберугроз защищают апдейты ПО

Игнорирование или несвоевременность обновлений — одна из распространённых лазеек для кибермошенников. Поэтому вендоры регулярно (TrueConf — раз в месяц, Microsoft — ежедневно, а «Лаборатория Касперского» — каждые пару часов) выпускают обновления и рекомендации, соблюдение которых закрывает хакерам легкие точки входа в вашу ИТ-инфраструктуру.

Меня зовут Дмитрий Кочанов, я руковожу департаментом ИТ-аутсорсинга в ИТ-компании «КОРУС Консалтинг». Расскажу о наиболее распространенных киберугрозах, которым способствуют устаревшие версии ПО.

Network Worms

Один из самых распространенных сценариев у киберпреступников — провести обратную разработку после выхода обновления. Они исследуют изменения в новой версии ПО и создают механизм, эксплуатирующий найденную уязвимость. Например, в старых версиях архиватора 7-Zip есть уязвимости, которыми они могут легко воспользоваться. Злоумышленнику достаточно прислать письмо со специальным архивом во вложении: если его открыть, запустится выполнение вредоносного кода.

Еще немного примеров с атаками сетевых червей. В 2017 году хакеры нашли уязвимость в протоколе Microsoft Server Message Block (SMB) для глобальных атак с помощью шифровальщика WannaCry. От действий этой вредоносной программы пострадали компьютеры более чем в 150 странах мира, а суммарный ущерб составил $4 миллиарда. При этом патч (информация для автоматизированного внесения изменений в файлы) для закрытия этой уязвимости был доступен за месяц до первых атак.

Еще ранее, в 2003 году, сетевой червь SQL Slammer заразил около 75 тысяч машин всего за десять минут, хотя за полгода до этого инцидента корпорация Microsoft выпустила патч для исправления ошибки, которой воспользовался вирус.

Самая серьезная угроза — это удаленное выполнение кода. Именно так активируются типовые сценарии в виде сетевых червей или программного обеспечения, шифрующего серверы и рабочие станции.

Pass-the-hash

Другая схема — кража логинов и хеш-значений паролей (т.е. их зашифрованных версий) через атаку pass-the-hash. Злоумышленник попадает в систему, закрепляется в ней и продолжает собирать данные учетных записей для развития атаки вглубь организации. Согласно исследованию Positive Technologies, 20% целенаправленных атак на российские компании проходили с использованием этой техники.

ИБ-специалисты многих вендоров регулярно ищут уязвимости и эксплойты (подвид вредоносных программ, содержащий данные или исполняемый код) в своих продуктах, проводят bug bounty (с их помощью люди могут получить признание и вознаграждение за нахождение ошибок) и даже покупают подобные находки. На базе собранной информации разработчики выпускают патчи, которые защищают от обнаруженных киберугроз, и присваивают им рейтинг. Например, у Microsoft оценки варьируются от 1 до 10, где 1 – некритичный, а 10 – очень критичный. Если рейтинг от 8 и выше, то необходимо установить патч в течение недели, если ниже – рекомендуемый срок установки составляет около месяца.

Blue Screen of Death

Установить обновление — мало, его обязательно нужно протестировать, и, как правило, для этого нужна целая группа специалистов. Приведу простой пример. После установки обновления в одной из компаний все пользователи принтера Kyocera столкнулись с «синим экраном смерти» (BSOD). Чтобы таких ситуаций не возникало, в роли «подопытных» для тестов используйте компьютеры ИТ-службы и добровольцев из других отделов. Такой подход позволяет охватить разноплановые рабочие станции и сформировать среду для проверки, близкую к «боевым» условиям.

Перед установкой обновления предупредите пользователей, чтобы они были готовы к непредвиденным ситуациям. Для критичных обновлений выделите 1-2 дня на анализ опыта пользователей. Узнайте, сталкиваются они с трудностями или нет во время теста. Если все в порядке, можно обновлять остальные рабочие станции, но поэтапно, чтобы перестраховаться.

Некоторые крупные компании выделяют отдельные команды (Update Management Team), которые отслеживают обновления, выполняют функциональное тестирование и проверяют сервисы по чек-листам. Сначала они проверяют ПО в лабораторной группе, потом – пилотной. И только после успешных тестов в них устанавливают обновления в продуктиве, реальной среде работы. Более того, команды тщательно планируют сроки работ. К примеру, если они понимают, что для установки критичного обновления требуется больше недели, вендор предоставляет рекомендации и предлагает ряд превентивных мер для своих клиентов: закрытие уязвимого порта, запрет определенных операций и т.д.

Следите за обновлениями и своевременно их устанавливайте — это обезопасит вас от очень многих рисков и затрат на решение проблем. За новостями Microsoft вы можете следить в твиттере Артема Синицына, руководителя программ ИБ в Центральной и Восточной Европе в Microsoft. Также рекомендую блог Microsoft Security Response Center (MSRC), где каждый второй вторник месяца выходит бюллетень об обновлениях, в котором перечисляются выявленные угрозы и изменения в ПО, а также рекомендации для пользователей и администраторов. И полезными будут блог Касперского об актуальных угрозах, новости и статьи на Securitylab, блог компании Pentestit на Habr и материалы фонда OWASP. Читайте, чтобы быть в курсе!