Медленный код: в 44% случаев разработчики софта не устраняют уязвимости больше трех месяцев
- Статьи
- Наука и техника
- Медленный код: в 44% случаев разработчики софта не устраняют уязвимости больше трех месяцев
Разработчики компьютерных программ почти в половине случаев только через три месяца исправляют обнаруженные в продуктах уязвимости с точки зрения информационной безопасности, показало исследование. Каждую седьмую ошибку не устраняют даже спустя полгода. Одна из главных причин того, что софт обновляют так медленно, — возросшая нагрузка на локальных ИТ-специалистов, которых многие компании переключили на организацию дистанционного рабочего процесса, говорят эксперты. Иногда ресурсов не хватает даже на сопротивление хакерским атакам, утверждают специалисты.
Цифровое торможение
Реакцию разработчиков и их клиентов на уведомления о наличии в программах и сервисах уязвимостей проанализировали специалисты компании Orange Cyberdefense. Исследование показало, что 19% ошибок исправили в течение семи дней после получения сообщения. Еще 10,1% — в течение 8–30 дней. В промежуток от 31 до 90 дней были закрыты 27,4% уязвимостей. От 91 до 180 дней потребовалось для исправления 29,2% неполадок. А 14,3% ошибок не были устранены даже спустя 180 дней.
Авторы исследования учитывали 168 видов несовершенств, которые за последний год появились в Common Vulnerabilities and Exposures (CVE) — базе данных общеизвестных уязвимостей. CVE пополняется совместными усилиями разработчиков программ и сервисов для обеспечения информационной безопасности со всего мира. Сейчас в базе больше 98 тыс. записей.
Такой анализ провели впервые, и результаты показались экспертам тревожными, сказали «Известиям» в подразделении Orange в России. Злоумышленники регулярно обращаются к данным из CVE, добавили там.
В 2020 году хакерские группировки, спонсируемые правительствами различных государств, активно использовали как минимум 25 уязвимостей из базы, указали в Orange Cyberdefense со ссылкой на данные Агентства национальной безопасности США.
Любая задержка в обновлении программы потенциально опасна, а особенно большую угрозу представляют уязвимости, ставшие общеизвестными, отметили в Positive Technologies.
— В некоторых случаях, особенно если уже есть готовый эксплойт (фрагмент программного кода или последовательность команд, использующие уязвимости в ПО и применяемые для атаки. — «Известия»), злоумышленники начинают сканировать ресурсы компаний в поисках новой уязвимости всего через несколько часов после появления новостей, — отметил руководитель группы отдела аналитики информационной безопасности (ИБ) в Positive Technologies Екатерина Килюшева.
В комьюнити ИБ-специалистов нет условного стандарта, за какой срок исправлять уязвимости, сказал эксперт по кибербезопасности «Лаборатории Касперского» Борис Ларин. Потом, разные проблемы требуют разных решений, отметил он.
— Принято считать, что если уязвимость уже используется злоумышленниками, то обновление должно выйти в кратчайший срок — семь дней. В большинстве других случаев для исправления отводят 90 дней, — сказал эксперт.
Коронавирусная нагрузка
Медленное реагирование разработчиков обусловлено в первую очередь тем, что многие компании сместили внимание своих ИТ-специалистов в сторону масштабирования возможностей удаленного доступа, считают в Orange.
Пандемия увеличила нагрузку на корпоративные службы ИТ и ИБ и вместе с тем подстегнула активность хакеров, согласен руководитель направления аналитики и спецпроектов InfoWatch Андрей Арсентьев.
— В таких условиях намного сложнее взаимодействовать и находить решения по информационным продуктам, — объяснил эксперт.
Некоторые корректировки ПО требуют остановки тех или иных систем, добавил специалист.
— Время простоя системы — это всегда потеря прибыли. Поэтому зачастую интересы бизнес-пользователей оказываются в приоритете и безопасникам приходится ждать, — сказал Андрей Арсентьев.
Компании стали медленнее реагировать не только на уведомления о проблемах, но и на следы компрометации, добавил замруководителя лаборатории компьютерной криминалистики Group-IB Виталий Трифонов. У локальных ИТ-служб не хватает ресурсов даже на быструю поверку или предотвращение, например, начавшейся утечки, сообщил он.
Также на скорость обновления влияет и анализ патчей (свежих версий ПО) внутри компаний-заказчиков, добавил эксперт по ИБ Palo Alto Networks Денис Батранков.
— Уязвимости в информационных системах предприятий требуется тестировать, чтобы гарантировать, что основной процесс — допустим, работа ядерного реактора, — не встанет после обновления. Иногда процедура занимает годы, — сказал специалист.
Прогноз по коду
Конечный пользователь, то есть сотрудник компании, которая испытывает проблемы со своевременным обновлением ПО, может минимизировать вероятность ущерба от хакерской атаки, соблюдая правила цифровой гигиены, отметил Андрей Арсентьев. Например, не открывать подозрительные ссылки, устанавливать сложные пароли и правильно реагировать на фишинговые звонки.
Непосредственно организациям специалисты рекомендуют использовать, например, виртуальные патчи. Это системы, которые выявляют хакерские атаки по сигнатурам в трафике и затем блокируют их, пояснил Денис Батранков.
В ближайшее время большинство разработчиков сами осознают не только важность обновлений, но и репутационные риски от взломов, считает Виталий Трифонов.
— Недавний масштабный взлом многих американских компаний, когда крупные организации были атакованы через SolarWinds, может сильно увеличить потребности в своевременном закрытии уязвимостей, — полагает он.
В InfoWatch считают, что с ослаблением пандемии ситуация улучшится. Системы удаленного доступа станут стабильнее, а кто-то вернется в офисы. Нагрузка на корпоративные ИТ-службы снизится, следовательно, появится больше времени на исправление уязвимостей.
