Instalowanie poprawek dla użytkowanego oprogramowania to jedno z kluczowych zadań, które firmy muszą wykonywać niemal nieustannie. I mimo że łatanie podatności jest niezbędne do zapewnienia bezpieczeństwa firmowych systemów, to z jakiegoś powodu proces ten często jest traktowany jako drugorzędny.
Łatanie polega na instalowaniu uaktualnień zawierających poprawki zwiększające bezpieczeństwo i eliminujące błędy. Każda firma powinna wdrożyć strategię łatania, która obejmuje wszystkie wykorzystywane technologie, by zapewnić, że aplikacje i systemy są uaktualniane na bieżąco. Za takim podejściem przemawia przynajmniej kilka powodów – np. fakt, że cyberprzestępcy nieustannie szukają nowych luk w zabezpieczeniach, by wykorzystać je np. do dostarczania oprogramowania ransomware.
Incydenty bezpieczeństwa zwykle są bardzo kosztowne. Regularne łatanie oprogramowania może zapobiec wielu z nich i długofalowo pozwolić firmom zaoszczędzić środki. Ponadto wiele branż musi stosować się do regulacji nakładających na firmy obowiązek zapewniania określonego poziomu bezpieczeństwa. Jednym z takich wymogów często jest regularne uaktualnianie oprogramowania.
Mówiąc w skrócie, posiadanie dobrej strategii pozwoli Ci uniknąć wielu problemów – takich jak utrata reputacji lub pieniędzy.
Jak zachować równowagę?
Warto jednak pamiętać, że natychmiastowe instalowanie wszystkich poprawek w środowisku produkcyjnym także może być źródłem problemów. Firmy muszą więc znaleźć równowagę między szybkością łatania, a dokładnością testowania poszczególnych uaktualnień. W idealnym świecie firmy, które dobrze rozumieją swoją powierzchnię ataku i posiadane zasoby, mogą szybko ocenić poziom krytyczności uaktualnień i w pierwszej kolejności zająć się tymi, które są najistotniejsze dla ich infrastruktury.
Niestety istnieje szereg przeszkód, które sprawiają, że firmy mogą niechętnie podchodzić do konieczności zainwestowania czasu, wysiłku i pieniędzy w obsługę problemu łatania. Oto kilka z nich:
- Ryzyko niechcianych zmian: łaty mogą zmieniać sposób, w jaki działają aplikacje i systemy, jednak niektóre z nich wprowadzają krytyczne poprawki problemów z bezpieczeństwem. Rezygnacja z instalacji takiego uaktualnienia może otworzyć firmę na ataki.
- Łaty wymagają testowania: w niektórych przypadkach uaktualnienia mogą powodować problemy lub błędy i po prostu nie można ich natychmiast zainstalować na wszystkich systemach w firmie przy użyciu funkcji automatycznej aktualizacji. Muszą one być wdrażane w sposób kontrolowany, a to niestety wymaga czasu i komplikuje cały proces.
- Problemy ze starym sprzętem i oprogramowaniem: wiele firm w dalszym ciągu korzysta z przestarzałych systemów i urządzeń, które często nie są już wspierane przez producentów, a co za tym idzie, nie pojawiają się dla nich żadne uaktualnienia bezpieczeństwa. To pociąga za sobą konieczność zabezpieczenia firmowej sieci przed podatnościami, które zostały wykryte i na zawsze pozostaną już w tych systemach.
- Różnorodność systemów i dostępności uaktualnień: im większa firma, tym bardziej rozbudowana infrastruktura IT. Taka złożoność nie ułatwia zadania projektowania spójnego, całościowego procesu łatania, który z takim samym poziomem szczegółowości obejmie wszystkie wykorzystywane technologie.
Kilka porad na start
Od czegoś jednak trzeba zacząć i dlatego przygotowaliśmy listę czynności, które warto wykonać, by zmniejszyć ryzyko cyberataków wykorzystujących podatności w systemach i aplikacjach:
- Zidentyfikuj wszystkie aplikacje i systemy operacyjne wykorzystywane w Twojej firmie.
- Określ poziom krytyczności wszystkich aplikacji oraz systemy i sieci, w których funkcjonują. Oceń także potencjalny wpływ złamania ich zabezpieczeń.
- Utwórz terminarz łatania uwzględniający możliwość nadawania priorytetów i natychmiastowego instalowania poprawek w razie potrzeby.
- Zadbaj o systemy pozwalające na szybkie testowanie łat, zanim zostaną wdrożone w całej sieci firmowej.
- Zautomatyzuj proces łatania tak bardzo, jak tylko się da.
- Zadbaj o pokrycie wszystkich wykorzystywanych technologii – od oprogramowania układowego (firmware) po systemy operacyjne i aplikacje.