Cyberprzestępcy działający w zorganizowanych grupach często wykorzystują luki w zabezpieczeniach, do których dostępne są aktualizacje – wynika z analizy naukowców z Uniwersytetu Ekonomicznego w Poznaniu oraz ekspertów firmy WithSecure. Długi proces wdrażania poprawek, który wciąż ma miejsce w wielu organizacjach stanowi więc poważne ryzyko dla cyberbezpieczeństwa. Grupy APT (ang. Advanced Persistent Threat), to zorganizowane zespoły hakerskie, które dysponują ogromnymi zasobami finansowymi.
Zazwyczaj są bezpośrednio powiązane z rządami poszczególnych krajów. Przeprowadzają ataki skoncentrowane na różnych podmiotach zarówno komercyjnych, jak i rządowych czy wojskowych.
Ataki grup APT są trudne do powstrzymania. Najskuteczniejsze z nich nigdy nie zostają wykryte. Te które udało się zidentyfikować, dotyczyły największych na świecie firm czy organizacji rządowych, dysponujących ogromnymi budżetami na zabezpieczenia. Grupy APT często wykorzystują nieznane podatności (tzw. zero-day) czyli błędy w oprogramowaniu, z których producent nie zdaje sobie sprawy i do których nie są jeszcze dostępne poprawki.
Luka mimo dostępnych poprawek
Analiza badaczy z Uniwersytetu Ekonomicznego w Poznaniu oraz ekspertów WithSecure wykazała, że grupy APT wykorzystują również luki bezpieczeństwa, do których istnieją łaty. To tak zwany „długi ogon podatności”: mimo dostępnych poprawek niektóre systemy pozostają niezałatane przez miesiące, a nawet lata.
– Dla niektórych firm wdrażanie poprawek do oprogramowania jest czasochłonne i skomplikowane, zwłaszcza w infrastrukturze serwerowej lub systemach OT. Powodem są między innymi rozbudowane procedury czy przepisy obowiązujące w danej firmie. Co więcej, niektóre organizacje korzystają z rozwiązań programowych i sprzętowych, które osiągnęły już „koniec życia” i nie są wspierane przez producenta. Przykładem jest oprogramowanie Microsoft Windows XP, które firmy nadal wykorzystują, mimo że nie ma do niego regularnych aktualizacji. Szybko staje się ono więc trwale podatne na ataki – podkreśla Leszek Tasiemski, wiceprezes w WithSecure.
Nadążyć za hakerami: automatyczne łatanie
Wprowadzanie poprawek często wiążę się z dodatkowymi obowiązkami dla pracowników IT. Błędy ludzkie lub nadmiar zadań mogą prowadzić do groźnych podatności. Konieczne jest więc dążenie do pełnej automatyzacji procesu łatania luk (z wyjątkiem infrastruktury krytycznej). Umożliwia to uniknięcie opóźnień, które mogą znacząco zwiększać podatność systemów. Cyberprzestępcy zaczynają szukanie potencjalnych celów już w ciągu kilku godzin od ujawnienia informacji o luce w oprogramowaniu. Ochrona musi nadążyć za tym tempem i natychmiast łatać podatności.
– Rządy i decydenci mogliby również rozważyć wprowadzenie przepisów, które zobowiązują firmy do wdrożenia mechanizmów automatycznego łatania luk dla wszystkich urządzeń podłączonych do Internetu. Dobrym rozwiązaniem byłaby też blokada możliwości wyłączenia przez użytkownika takiego automatycznego łatania. Ostatnie działania podjęte przez Unię Europejską, takie jak Cyber Resilience Act, są znaczącym krokiem w tym kierunku. Zobowiązują one producentów urządzeń i programów m.in. do publikowania poprawek bezpieczeństwa przez pięć lat od wejścia na rynek lub przez cały przewidywany czas życia produktu. Nakładają też obowiązek ujawniania incydentów w ciągu dwudziestu czterech godzin od ich wykrycia – tłumaczy Leszek Tasiemski
Metoda:
W celu przeanalizowania zjawiska długiego ogona podatności bezpieczeństwa, autorzy wykorzystali listę najczęściej wykorzystywanych podatności publikowaną przez organizację CISA i zestawili ją z powszechnie dostępnymi raportami dotyczącymi aktywności grup APT. Lista została następnie sprawdzona z danymi pochodzącymi z rozwiązania do zarządzania podatnościami.