«Вторник исправлений» (Patch Tuesday) — неофициальный термин, используемый для обозначения случаев, когда Microsoft, Adobe, Oracle и другие компании регулярно выпускают исправления для своих программных продуктов. В отрасли его широко называют именно так. Microsoft официально официально утвердила Patch Tuesday в октябре 2003 года.
На протяжении двух десятилетий мы обновляем наши компьютеры с Windows каждый второй вторник месяца, посвящая время и ресурсы тестированию и проверке обновлений, которые обычно не устанавливаются до тех пор, пока они не будут проверены и не подтверждено, что они не причинят вреда. Это может быть разумным подходом для ключевого оборудования, для которого нет резервной копии, но имеет смысл данный процесс в эпоху фишинга и уязвимостей нулевого дня, или следует пересмотреть приоритеты?
Спустя двадцать лет после того, как Microsoft впервые представила Вторник исправлений я бы сказал, что нам нужно отвлечь часть наших ресурсов от беспокойства о Windows-системах и вместо этого пересмотреть все остальное в нашей сети, что нуждается в обновлении прошивок и исправлениях. От периферийных устройств до кода ЦП — почти все в сети необходимо отслеживать на предмет потенциальных исправлений или обновлений безопасности. Команды исправлений по-прежнему должны беспокоиться о Вторнике исправлений, установленным Microsoft, но пришло время добавить в расписание выпуски исправлений кода всех остальных поставщиков. Я вам гарантирую, что злоумышленники знают о необходимых патчах больше, чем вы.
План установки патчей на рабочие станции
Во-первых, давайте рассмотрим рабочие станции. В потребительских условиях, когда у пользователя обычно нет резервных средств или запасного оборудования, синий экран смерти или сбоя после установки обновления означает, что у него нет вычислительных ресурсов. Однако в бизнес-среде у вас должны быть планы и процессы для устранения сбоев исправлений точно так же, как вы планировали бы восстановление после инцидента безопасности.
Должен существовать план переустановки, повторного развертывания или повторного создания образов рабочих станций, а также аналогичный план повторного развертывания серверов и облачных служб в случае возникновения каких-либо проблем. При наличии стандартизированных приложений развертывание обновлений должно происходить автоматически и без тестирования.
Непредвиденные побочные эффекты должны инициировать стандартный процесс: либо удалить развернутое обновление и отложить его до следующего месяца (при условии, что поставщики обнаружат проблемы и устранят их), либо, если сбой будет катастрофическим, операционную систему придется обновить. перерисован и перераспределен. Тестирование рабочих станций и серверов Windows должно быть минимальным. Целью этих систем является наличие плана действий в случае любого сбоя, сохраняя ресурсы для других целей.
Сегодняшние атаки требуют лучшего мониторинга и регистрации
Тестирование перед развертыванием исправлений следует проводить для тех систем, которые невозможно быстро повторно развернуть или пересоздать. К некоторым системам, таким как специальное оборудование, управляемое компьютерами Windows в медицинских учреждениях, следует относиться с большей осторожностью, проводить тестирование и, если возможно, изолировать.
Ресурсы, выделяемые для обновления и исправления ПО, также должны отражать тот факт, что многие из сегодняшних атак отталкиваются не от уязвимостей, а скорее от злоумышленников, использующих методы поиска различных путей проникновения в сеть, а затем использования программного кода, уже имеющегося на машинах с Windows и не помеченного как вредоносное ПО. Вот почему следует тратить дополнительные ресурсы на мониторинг как «нормальных» действий, так и на выявление аномалий.
Установка обновлений безопасности для ресурсов, отличных от Windows, не менее важно
Если вы все еще используете один и тот же пароль локального администратора на внутренних рабочих станциях, вам давно пора потратить время и силы на внедрение решения для рандомизации этих паролей. LAPS (диспетчер паролей локальных администраторов Windows) теперь включен в рабочие станции Windows 10 и 11 и больше не требует развертывания набора инструментов LAPS вручную. Кроме того, вы можете интегрировать встроенные LAPS и Intune (Microsoft Intune — это облачное решение для управления конечными точками).
Вам не следует сосредотачиваться только на статусе исправлений ваших ресурсов Microsoft. Вам необходимо знать о своих цифровых активах и отмечать те элементы, которые являются критически важной общедоступной инфраструктурой. Если вы не можете выявить ключевой риск и исправить его в течение 24 часов, вы обречены на неудачи. Банды организованной преступности подстерегают вас внутри вашей сети и часто идентифицируют ваши сетевые активы лучше вас.
Они знают, что аппаратная прошивка устарела. Они знают слабые места коммутаторов, межсетевых экранов и маршрутизаторов лучше, чем вы. Они знают неправильно сконфигурированные облачные платформы лучше, чем вы. Более того, им не придется ждать четыре недели, чтобы утвердить запрос на изменение.
В последнее время многие атаки осуществляются через VPN, прокси-серверы или шлюзы. Например, недавняя уязвимость CitrixBleed затронула Citrix NetScaler ADC и NetScaler Gateway. Как отмечает CISA , «затронутые продукты содержат уязвимость переполнения буфера, которая позволяет раскрывать конфиденциальную информацию при настройке в качестве шлюза (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуального сервера AAA. Использование этой уязвимости позволяет раскрыть информацию токена аутентификации сеанса, которая может позволить злоумышленнику захватить сеанс пользователя.
Уязвимость была впервые исправлена 10 октября 2023 года, но спустя месяц мы все еще наблюдаем атаки с использованием этого эксплойта. В частности , программа-вымогатель Lockbit использует общедоступные эксплойты для взлома систем крупных организаций, кражи данных и шифрования файлов. Многие крупные компании в сфере финансов, права и бизнеса стали жертвами этой атаки.
Перенаправить ресурсы на исправление внешних точек входа
Те же ресурсы, которые вы использовали для тестирования рабочих станций с целью установки патчей по вторникам, следует переместить на внешнее программное и аппаратное обеспечение, используемое для удаленного доступа к вашей сети. Именно этим внешним точкам входа злоумышленники уделяют больше времени и энергии. Таким образом, вам также следует пересмотреть свои ресурсы для исправлений и побудить команды более активно обновлять ПО периферийных устройств.
Кроме того, если ваши антивирусные решения и средства обеспечения безопасности не могут выявить горизонтальное перемещение внутри вашей сети, вам необходимо пересмотреть свои инструменты и ресурсы. Недавно Microsoft объявила о репозиционировании своего продукта Defender под названием Defender XDR . Сочетая в себе возможности мониторинга конечных точек, облачных приложений, личных данных и защиты электронной почты, он предназначен для автоматизации пресечения последовательностей атак и, в частности, горизонтального перемещения внутри сети. Поскольку все больше из нас стремятся включить облачные сервисы в свои сетевые решения, защита личных данных становится ключом к отражению наступления растущего числа злоумышленников, проникающих в наши сети путем злоупотребления нашими учетными данными.