Od smartfonów i laptopów po systemy infrastruktury krytycznej – oprogramowanie odgrywa kluczową rolę w naszym codziennym życiu. Jednak to uzależnienie niesie ze sobą poważne wyzwania i obawy.
Już dwanaście lat temu Marc Andreessen, znany i ceniony inwestor z Doliny Krzemowej, opublikował na łamach dziennika „The Wall Street Journal” artykuł „Why Software Is Eating The World”, co można przetłumaczyć jako „dlaczego oprogramowanie zjada świat”.
Autor w artykule pokazał rosnącą rolę aplikacji w wielu sektorach gospodarki – motoryzacji, rolnictwie, finansach, przemyśle wydobywczym, rozrywce, sieciach handlowych, czy obronie narodowej. Proces ten cały czas postępuje z korzyścią dla gospodarki. Niestety, w życiu nie ma nic za darmo.
Zarządzanie niezliczoną ilością aplikacji coraz częściej przerasta zarówno właścicieli firm, jak i gospodarstwa domowe, a jednym z największych wyzwań jest aktualizacja oprogramowania. Proces ten wymaga od użytkownika proaktywnej polityki bezpieczeństwa, polegającej na identyfikowaniu luk w zabezpieczeniach, zanim zrobi to haker. O ile duże koncerny mają zasoby do prowadzenia takich działań, o tyle małe przedsiębiorstwa, bądź użytkownicy domowi skazani są jedynie na informacje o aktualizacjach przychodzących od producentów.
Czasami bywa to trudny proces, o czym można było się przekonać w drugiej połowie lipca, kiedy błędy w aktualizacji oprogramowania CrowdStrike wyłączyły 8,5 miliona urządzeń z systemem Windows. Wielka awaria sparaliżowała pracę banków, linii lotniczych, portów morskich, czy placówek medycznych. Działania przeciwne, czyli unikanie aktualizacji, również mogą być brzemienne w skutkach, czego najlepszym przykładem jest atak ransomware Wanna Cry z maja 2017 roku. Jego rezultatem było zainfekowanie ponad 300 tysięcy komputerów w 99 krajach. Wówczas napastnicy wykorzystali lukę w zabezpieczeniach Microsoftu. Inny spektakularny przykład wiąże się z naruszeniem danych Equifax i miał miejsce również w 2017 roku. Firma nie załatała luki w zabezpieczeniach serwera, w rezultacie czego napastnicy zyskali dostęp do 147 milionów osób, a ugoda z poszkodowanymi kosztowała Equifax 425 milionów dolarów. Z kolei atak na łańcuch dostaw SolarWinds w 2020 roku wykorzystał lukę w szeroko rozpowszechnionym oprogramowaniu, narażając na szwank agencje rządowe i prywatne firmy.
Cyberprzestępcy bardzo często wykorzystują znane luki do ataków, a szczególnie lubują się tym gangi ransomware. Z analiz przeprowadzonych przez Ponemon Institute wynika, iż 60 procent naruszeń danych jest pokłosiem niezałatanych luk w zabezpieczeniach.
– Luki występujące w oprogramowaniu mogą prowadzić do nieautoryzowanego dostępu, naruszeń danych, a nawet unieruchomienia całego systemu IT. Niestety, takie podatności nie są rzadkością, a częstość ich występowania stale rośnie. Nie można ich bagatelizować, bowiem bardzo często pełnią one funkcję furtki dla hakerów. Można się tutaj posłużyć analogią związaną z ochroną domu. Nawet najlepszej klasy zamki i nad wyraz solidne drzwi oraz mocne ściany niewiele pomogą, jeśli tylne wejście pozostanie niestrzeżone. W przypadku systemów informatycznych taką rolę odgrywają właśnie luki w zabezpieczeniach oraz błędne konfiguracje. – tłumaczy Michał Łabęcki, Marketing Manager G DATA Software.
Luka luce nierówna
Luki mogą występować w różnych postaciach – jako błędy kodowania w oprogramowaniu, błędne konfiguracje w urządzeniach sieciowych lub przestarzałe protokoły bezpieczeństwa. Te słabości tworzą wektory ataków i punkty wejścia dla atakujących, pozwalające im ominąć środki bezpieczeństwa i uruchomić złośliwe działania. Hakerzy bardzo często wykorzystują nieznane podatności (tzw. zero-day), czyli błędy w oprogramowaniu, o których producent nie ma pojęcia. Napastnicy poszukują również luk z udostępnionymi przez dostawcę poprawkami. Z reguły fala ataków rozpoczyna się kilkanaście dni po ujawnieniu przez dostawcę informacji o wprowadzeniu aktualizacji. Dzieje się tak, ponieważ wielu użytkowników komputerów bądź smartfonów ignoruje komunikaty wzywające do uaktualnienia oprogramowania.
Nie wszystkie luki są sobie równe, dlatego ważna jest ich ocena, obejmująca takie czynniki, jak łatwość eksploatacji, potencjalny wpływ na środowisko i istnienie exploitów roboczych. W dużych i średnich organizacjach skanowanie środowiska IT pod kątem luk występujących w zabezpieczeniach często skutkuje wykryciem setek podatności. Ich jednorazowe usunięcie jest nierealne, ponieważ firmy znajdują się pod ciągłą presją aktualizacji i ulepszania aplikacji, środowisk sieciowych itp. Dlatego zespoły IT muszą ustalić priorytety i zająć się w pierwszej kolejności najgroźniejszymi podatnościami. Większość firm bazuje na znanym i sprawdzonym standardzie branżowym CVSS (Common Vulnerability Scoring System), który ocenia w skali 1-10 luki w kontekście zagrożenia, jakie one ze sobą niosą. Przy czym najniższe wartości 1-3,9 oznaczają niewielką szkodliwość, zaś od 9 do 10 luki krytyczne.
– Krajobraz cyberzagrożeń cały czas ewoluuje. Dlatego też działy IT muszą cały czas monitorować systemy pod kątem analizy zagrożeń, a także występowania luk w zabezpieczeniach. Natomiast użytkownicy indywidualni powinni śledzić informacje od dostawców oprogramowania i na bieżąco dokonywać aktualizacji, bowiem nawet kilkudniowa zwłoka może przynieść poważne konsekwencje w postaci utraty ważnych danych lub awarii komputera. – podsumowuje Michał Łabęcki.