«Вторник исправлений» (Patch Tuesday) — неофициальный термин, используемый для обозначения случаев, когда Microsoft, Adobe, Oracle и другие компании регулярно выпускают исправления для своих программных продуктов. В отрасли его широко называют именно так. Microsoft официально официально утвердила Patch Tuesday в октябре 2003 года.

На протяжении двух десятилетий мы обновляем наши компьютеры с Windows каждый второй вторник месяца, посвящая время и ресурсы тестированию и проверке обновлений, которые обычно не устанавливаются до тех пор, пока они не будут проверены и не подтверждено, что они не причинят вреда. Это может быть разумным подходом для ключевого оборудования, для которого нет резервной копии, но имеет смысл данный процесс в эпоху фишинга и уязвимостей нулевого дня, или следует пересмотреть приоритеты?

Спустя двадцать лет после того, как Microsoft впервые представила Вторник исправлений я бы сказал, что нам нужно отвлечь часть наших ресурсов от беспокойства о Windows-системах и вместо этого пересмотреть все остальное в нашей сети, что нуждается в обновлении прошивок и исправлениях. От периферийных устройств до кода ЦП — почти все в сети необходимо отслеживать на предмет потенциальных исправлений или обновлений безопасности. Команды исправлений по-прежнему должны беспокоиться о Вторнике исправлений, установленным Microsoft, но пришло время добавить в расписание выпуски исправлений кода всех остальных поставщиков. Я вам гарантирую, что злоумышленники знают о необходимых патчах больше, чем вы.

План установки патчей на рабочие станции

Во-первых, давайте рассмотрим рабочие станции. В потребительских условиях, когда у пользователя обычно нет резервных средств или запасного оборудования, синий экран смерти или сбоя после установки обновления означает, что у него нет вычислительных ресурсов. Однако в бизнес-среде у вас должны быть планы и процессы для устранения сбоев исправлений точно так же, как вы планировали бы восстановление после инцидента безопасности.

Должен существовать план переустановки, повторного развертывания или повторного создания образов рабочих станций, а также аналогичный план повторного развертывания серверов и облачных служб в случае возникновения каких-либо проблем. При наличии стандартизированных приложений развертывание обновлений должно происходить автоматически и без тестирования.

Непредвиденные побочные эффекты должны инициировать стандартный процесс: либо удалить развернутое обновление и отложить его до следующего месяца (при условии, что поставщики обнаружат проблемы и устранят их), либо, если сбой будет катастрофическим, операционную систему придется обновить. перерисован и перераспределен. Тестирование рабочих станций и серверов Windows должно быть минимальным. Целью этих систем является наличие плана действий в случае любого сбоя, сохраняя ресурсы для других целей.

Сегодняшние атаки требуют лучшего мониторинга и регистрации

Тестирование перед развертыванием исправлений следует проводить для тех систем, которые невозможно быстро повторно развернуть или пересоздать. К некоторым системам, таким как специальное оборудование, управляемое компьютерами Windows в медицинских учреждениях, следует относиться с большей осторожностью, проводить тестирование и, если возможно, изолировать.

Ресурсы, выделяемые для обновления и исправления ПО, также должны отражать тот факт, что многие из сегодняшних атак отталкиваются не от уязвимостей, а скорее от злоумышленников, использующих методы поиска различных путей проникновения в сеть, а затем использования программного кода, уже имеющегося на машинах с Windows и не помеченного как вредоносное ПО. Вот почему следует тратить дополнительные ресурсы на мониторинг как «нормальных» действий, так и на выявление аномалий.

Установка обновлений безопасности для ресурсов, отличных от Windows, не менее важно

Если вы все еще используете один и тот же пароль локального администратора на внутренних рабочих станциях, вам давно пора потратить время и силы на внедрение решения для рандомизации этих паролей. LAPS (диспетчер паролей локальных администраторов Windows) теперь включен в рабочие станции Windows 10 и 11 и больше не требует развертывания набора инструментов LAPS вручную. Кроме того, вы можете интегрировать встроенные LAPS и Intune (Microsoft Intune — это облачное решение для управления конечными точками).

Вам не следует сосредотачиваться только на статусе исправлений ваших ресурсов Microsoft. Вам необходимо знать о своих цифровых активах и отмечать те элементы, которые являются критически важной общедоступной инфраструктурой. Если вы не можете выявить ключевой риск и исправить его в течение 24 часов, вы обречены на неудачи. Банды организованной преступности подстерегают вас внутри вашей сети и часто идентифицируют ваши сетевые активы лучше вас.

Они знают, что аппаратная прошивка устарела. Они знают слабые места коммутаторов, межсетевых экранов и маршрутизаторов лучше, чем вы. Они знают неправильно сконфигурированные облачные платформы лучше, чем вы. Более того, им не придется ждать четыре недели, чтобы утвердить запрос на изменение.

В последнее время многие атаки осуществляются через VPN, прокси-серверы или шлюзы. Например, недавняя уязвимость CitrixBleed затронула Citrix NetScaler ADC и NetScaler Gateway. Как отмечает CISA , «затронутые продукты содержат уязвимость переполнения буфера, которая позволяет раскрывать конфиденциальную информацию при настройке в качестве шлюза (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуального сервера AAA. Использование этой уязвимости позволяет раскрыть информацию токена аутентификации сеанса, которая может позволить злоумышленнику захватить сеанс пользователя.

Уязвимость была впервые исправлена ​​10 октября 2023 года, но спустя месяц мы все еще наблюдаем атаки с использованием этого эксплойта. В частности , программа-вымогатель Lockbit использует общедоступные эксплойты для взлома систем крупных организаций, кражи данных и шифрования файлов. Многие крупные компании в сфере финансов, права и бизнеса стали жертвами этой атаки.

Перенаправить ресурсы на исправление внешних точек входа

Те же ресурсы, которые вы использовали для тестирования рабочих станций с целью установки патчей по вторникам, следует переместить на внешнее программное и аппаратное обеспечение, используемое для удаленного доступа к вашей сети. Именно этим внешним точкам входа злоумышленники уделяют больше времени и энергии. Таким образом, вам также следует пересмотреть свои ресурсы для исправлений и побудить команды более активно обновлять ПО периферийных устройств.

Кроме того, если ваши антивирусные решения и средства обеспечения безопасности не могут выявить горизонтальное перемещение внутри вашей сети, вам необходимо пересмотреть свои инструменты и ресурсы. Недавно Microsoft объявила о репозиционировании своего продукта Defender под названием Defender XDR . Сочетая в себе возможности мониторинга конечных точек, облачных приложений, личных данных и защиты электронной почты, он предназначен для автоматизации пресечения последовательностей атак и, в частности, горизонтального перемещения внутри сети. Поскольку все больше из нас стремятся включить облачные сервисы в свои сетевые решения, защита личных данных становится ключом к отражению наступления растущего числа злоумышленников, проникающих в наши сети путем злоупотребления нашими учетными данными.

Источник: https://www.csoonline.com/article/1251262/20-years-of-patch-tuesday-its-time-to-look-outside-the-windows-when-fixing-vulnerabilities.html

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x