Petr Kocmich portrait square
9. januára 2023

Odborníkov na bezpečnosť frustrujú aktualizácie systémov

Neúnavné a stále sa zrýchľujúce tempo kyberzločincov uvaľuje profesionálov v oblasti kybernetickej bezpečnosti do cyklického a nekončiaceho procesu opráv. Trvale pracujú na tom, aby systémy v ich správe boli čo možno najmenej zraniteľné, ale pre väčšinu organizácií sa zvyšujúca miera rizík stáva neudržateľnou. Výsledkom je, že IT odborníkom chrániace podnikové systémy spôsobujú frustráciu, ktorá môže viesť až k ich vyhoreniu.

Rovnako ako smartfóny či počítače upozorňujú na vhodnosť inštalácie práve vydané aktualizácie, tak aj samotný hardvér počítačových sietí musí prechádzať pravidelným upgradom svojho softvéru a firmwaru. Tým dochádza k riešeniu opráv zraniteľných miest, ktoré by mohli viesť k potenciálnym bezpečnostným incidentom. Lenže odborníci na kybernetickú bezpečnosť aktuálne čelia chronickému vydávaniu opráv rôznych zraniteľností a stav sa naďalej zhoršuje.

Situácia sa mení od zlej k horšej


Organizácie rôzneho druhu po celom svete sa ocitli v nekonečnej slučke masívneho zaplátavania zraniteľností. Tie sa dokonca objavujú tak rýchlo, že než je vydaná záplata na skôr objavenú chybu, už hrozí nové potenciálne riziko. „Tento nekonečný až chronický cyklus zraniteľností, respektíve záplat, prispieva k apatii medzi mnohými podnikmi a odborníkmi v oblasti kybernetickej bezpečnosti,“ uvádza Petr Kocmich, Global Cyber Security Delivery Manager spoločnosti Soitron. Dôvody k ich prípadnej rezignácií môžu byť rôzne. Najčastejšie sa to však deje z dôvodu nedostatočného počtu ľudských zdrojov (odborníkov na kyberbezpečnosť) pracujúcich v organizáciách.

Odhalené zraniteľnosti sú ale iba špičkou ľadovca, pretože predstavujú približne len 10 % objavených potenciálnych rizík, o ktorých sa vie a pracuje sa na ich riešení. Medzitým vývojári softvéru, hardvéru a IT systémov pri prácach vedúcich k nápravám môžu na svet, vďaka ďalším vneseným chybám v kóde, vniesť nové potenciálne zranenia.

frustrovana pouzivatelka PC ukazujuca na monitor

„V praxi sa tak paradoxne môže stať, že aktualizáciou odborníci na kybernetickú bezpečnosť vo firmách ‚nasadia‘ viac problémov, než koľko sa ich dostupným updatom snažia vyriešiť. Hoci sa dá drvivá väčšina inštalácií bezpečnostných záplat pomerne dobre automatizovať, stále tu zostávajú nutné procesy v rámci aktualizácií a vyšších verzií jednotlivých systémov a firmwarov. Príkladom môžu byť sieťové prvky, kedy upgrade často vyžaduje dodatočné dlhé testovanie a odstávky systémov vrátane špecifických procesov pri prepnutí na práve zaktualizovaný systém pri režime vysokej dostupnosti. Tieto aktivity mnohokrát sprevádza frustrácia a strach z upgradov systémov, ktoré, ruku na srdce, nie sú zrovna vždy stabilné a 100% funkčné, ako výrobca tvrdí. Táto nepríjemnosť poznačuje prakticky všetky produkty dnešnej doby. Technológia sa stáva čím ďalej viac komplexnejšia a z dôvodu snahy výrobcov doháňať konkurenciu implementujú nové a nové funkcie a integračné prvky (ktoré zvyčajne ani zákazník nepotrebuje) a tým zvyšujú komplexnosť potrebného kódu a riziko zanesenia chýb do kódu. Výrobcom urobené (automatizované) testovanie technológie v simulovanom prostredí potom v rámci možných konfigurácií a komplexných integrácií v reálnom svete nemôže nikdy odhaliť všetky možné chyby. A toto pre administrátorov a inžinierov predstavuje obrovské riziko, vedúce až k ich vyhoreniu,” dodáva Petr Kocmich. Odhodlanie odborníkov totiž výrazne klesá, pretože si uvedomujú, že organizácie sú viac zraniteľnejšie.

Večný stav obrany nie je udržateľný


Pre toho, kto sa venuje bezpečnostným rizikám, nejde o žiadne nové zistenie, pretože tempo a sofistikovanosť hrozieb sa zvyšuje a čelia im nielen súkromné organizácie, ale prakticky každý jednotlivec vrátane vládnych subjektov. Kyberútočníci sú tak nielen stále efektívnejší, múdrejší, kreatívnejší, ale tiež čím ďalej tým hlbšie prenikajú do počítačových systémov rýchlosťou vyššou, ako sú možnosti kybernetickej bezpečnosti.

„Naďalej bude platiť pravidlo, že bezpečnosť reaguje na aktuálne typy útokov, učí sa z nich a prakticky stále dobieha pomyselný ubiehajúci vlak s útočníkmi. Dobrou správou však je, že bezpečnostní odborníci za tým vlakom nebežia tak ďaleko, ale že sa tak tak chytajú nástupnej rukoväte vlaku,“ hovorí Petr Kocmich.

Vzhľadom k tomuto novému faktu musia podniky vytvoriť takú správu opráv, aby bola účinná, a musia si uvedomiť, že nie všetky záplaty môžu byť prospešné. Nasadenie tých zlých môže spôsobiť výpadky systémov alebo problémy s inými aplikáciami a systémami.

„Preto je v mnohých pohľadoch potrebné mať pripravené kvalitné testovacie prostredie, ktoré by v ideálnom prípade kopírovalo produkčné prostredie (áno, toto nie je, ani jednoduché, ani lacné) a na ktorom by bolo možné záplaty a hlavne prechody na vyššie verzie pravidelne a dostatočne testovať,“ dodáva Petr Kocmich. Veľkou mierou k vyššej chybovosti prispieva zrýchlené vydávanie množstva opráv, a to nielen tých dôležitých z pohľadu bezpečnosti, ale tiež tých, ktoré sa v dobrej viere snažia dohnať, teda implementovať vlastnosti, ktoré konkurencia už ponúka.

Aj napriek tomu, že sa pred vydaním opráv a updatov robí rozsiahle testovanie, vrátane penetračných testov, nikdy nemôže byť zaručené, že dostupné zmeny sú dokonalé. Avšak adekvátna metodika testovania vo vlastnom firemnom prostredí znižuje riziko toho, že bezpečnostný tím organizácie nasadí zlú opravu.

Udržiavanie pozitívneho myslenia


Dalo by sa povedať, že nahnutú bitku – z dôvodu oslabenej pozície, ako je tá, v ktorej operujú odborníci na kybernetickú bezpečnosť – ešte viac sťažuje klesajúca miera optimizmu. Preto najdôležitejšie je neprestať a pokračovať v boji.

Ako ale vyrovnať túto nepopierateľnú nerovnováhu medzi nádejou a realitou? Oslavovať každý čiastkový úspech, školiť, školiť a školiť, a to nielen v oblasti kybernetickej bezpečnosti a dôsledne kontrolovať dodržiavanie zavedených adekvátnych procesov. „Odborníci v oblasti kybernetickej bezpečnosti by sa mali posilňovať tým, že budú pravidelne a metodicky rozvíjať svoje vedomosti a aktívne prispievať do bezpečnostnej komunity svojimi skúsenosťami a poznatkami a šíriť tak bezpečnostnú osvetu,“ hovorí na záver Petr Kocmich.


Súvisiace články