Вторая волна Heartbleed
Чем дольше ожидание, тем больше угроза
Управление проблемами безопасности в условиях сложной ИТ-инфраструктуры является не менее зловещим действом, чем борьба с вредителями на ферме. Если меры приняты быстро, проблемы сводятся к минимуму. Однако если ими пренебрегают, проблемы будут расти, наносить больше урона, и потребуется гораздо больше работы, чтобы исправить последствия, когда сама проблема будет наконец решена.
Подобие губительного нашествия насекомых во владениях администраторов ИТ-систем произошло в апреле 2014 года, когда впервые была выявлена уязвимость Heartbleed.
Риск Heartbleed
Баг Heartbleed – это программная ошибка в библиотеке безопасности OpenSSL, которая используется значительной долей Интернет-ПО во всем мире. Этот баг оставил очень много уязвимостей в ИТ-инфраструктурах по всему миру.
Для обеспечения безопасности системным администраторам потребовалось не только обновить программное обеспечение, Ведение системы обеспечения необходимых системным администраторам не только обновить программное обеспечение, но получить новые «мастер-ключи» к восстановлению их корпоративной электронной идентификации. Во многих случаях они также были вынуждены просить своих пользователей сменить пароли.
Вполне вероятно, что при попытке подсчитать совокупную мировую стоимость борьбы с Heartbleed, счет уже пойдет на сотни миллионов долларов.
Второй виток проблем в том же программном обеспечении был идентифицирован в июне 2014 года, ситуация вновь требует значительных мер по исправлению положения как от вендоров, так и от системных администраторов.
Проблема сохраняется
Несколько месяцев прошло с тех пор как Heartbleed заставил большинство интернет-доступных систем устанавливать дополнительные меры защиты. Но далеко не все они были в действительности защищены.
Версия операционной системы Jelly Bean Android, 4.1.1 остается в зоне риска. Многие смартфоны Android все еще работают на этой версии прошивки (4.1.1), которая содержала уязвимый код. Защита этих телефонов требует от поставщика прошивки либо «залатать» действующую версию, чтобы исправить ошибку, или обновить до более новой версии Android. И хотя сегодня использовать ошибку на смартфоне гораздо труднее, чем на сервере, это по-прежнему возможно.
Google сделал обновления доступными для производителей смартфонов сразу вскоре после обнаружения проблемы, но производители были вынуждены не только применить исправления Google к конкретной прошивке для каждой из своих пострадавших моделей, но и протестировать исправленную версию.
Почему ошибку исправляют так медленно?
Вопросы, продемонстрированные медленным развертыванием обновлений Android, являются конкретными примерами видов проблем, с которыми сталкиваются как поставщики программного обеспечения, так и системные администраторы в борьбе с уязвимостями.
Решение проблемы в программном обеспечении часто является самым простым этапом. Развертывание исправления для множества пострадавших систем и последующее тестирование, чтобы убедиться, что исправление не создает дополнительные проблемы, вот где находится реальная работа, особенно когда обновления безопасности производятся в комплекте с другими, не связанными исправлениями, которые также могут иметь побочные эффекты.
Проблема «сирот»
Системы и программные пакеты, которые так и не были обновлены, часто называют «сиротами» - то есть, никто не берет на себя ответственность за их поддержание для защиты от рисков безопасности.
Телефоны под управлением уязвимой версии Android 4.1.1 на самом деле были примерами т.н. устройств-сирот, большинство поставщиков перестали предоставлять для них обновления. Но из-за масштабов угрозы безопасности для Heartbleed было сделано исключение.
ИТ-сироты серверы часто используются в небольших организациях или в небольших подразделениях компаний, которые не имеют опыта поддержки, настройки и обслуживания серверов. На них до сих пор может функционировать устаревшее ПО, которое, тем не менее, выполняет некоторые полезные, но небольшие и некритичные задачи. Типичным примером может служить ПК на небольшом производстве, на котором установлено специфическое ПО для контроля дорогостоящей, ценной, но уже устаревшей машины.
Если продавец перестал поддерживать программное обеспечение, не может быть никакого способа это исправить. Даже если это программное обеспечение с открытым исходным кодом, конкретные покупатели часто не обладают достаточным опытом, чтобы выполнить исправление самостоятельно.
Но иногда серверы-сироты – это просто результат усталости системных администраторов с так называемой "уязвимостью усталости". Поддержание серверов, особенно при использовании старого и относительно необычного программного обеспечения, всегда подразумевает очень обширный перечень работ и не весьма четкое понимание пользы от этой работы.
Если даже он не сломан, его нужно починить
Очень заманчиво просто сказать «если ничего не сломалось, то и исправлять нечего». К сожалению, ИТ-безопасность по такому принципу не работает.
Помимо риска потери данных из конкретной системы, взломанный сервер в более широкой корпоративной сети может оставить зазор для дальнейших нападений. Таким образом, управление ИТ-инфраструктурой требует бдительности для обеспечения защиты даже низкопрофильных систем и тщательного подхода к построению ИТ системы, чтобы уменьшить последствия для единой системы вследствие взлома.
Даже если последствия для организации взлома конкретной системы не велики, они по-прежнему представляют собой безопасное и анонимное убежище, из которого злоумышленники могут нанести следующий удар. В сельскохозяйственных аналогиях, с которых мы начали эту статью, они эквиваленты сорнякам, кишащим на поле нерадивого соседа, в любой момент стремящимся перейти и на ваш учасотк.
Интернет стал неотъемлемой частью нашего глобального общества, но он уязвим для преступной деятельности, и никогда не будет абсолютно безопасным. Продолжающиеся последствия Heartbleed увеличивают эту уязвимость.
Вот почему нам нужно усердие со стороны тех, кто разрабатывает и управляет ИТ-системами, чтобы не только защитить свои маленькие участки мировой ИТ-среды, но и чтобы помочь в целом сохранить вредителей под контролем.