Jotkut haavoittuvuudet ovat anteeksi annettavia, mutta huono korjaustiedostojen hallinta ei
Sisällysluettelo:
Vuoden alussa Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) pyysi ohjelmistoteollisuutta saada toimensa yhteen. Liian monia "perustaisia haavoittuvuuksia" liukuu koodiin, mikä tekee digitaalisesta maailmasta vaarallisemman paikan, se väitti. Suunnitelmana on pakottaa ohjelmistotoimittajat parantamaan prosessejaan ja työkalujaan näiden niin sanottujen "anteeksiantamattomien" haavoittuvuuksien poistamiseksi lopullisesti.
Vaikka viraston suunnitelma on laajuudeltaan kunnianhimoinen, kestää jonkin aikaa, ennen kuin viraston suunnitelma kantaa hedelmää – jos se tuottaa tulosta. Sillä välin organisaatioiden on parannettava korjausta. Tässä ISO 27001 voi auttaa parantamalla omaisuuden läpinäkyvyyttä ja varmistamalla, että ohjelmistopäivitykset priorisoidaan riskien mukaan.
Ongelma CVE:n kanssa
Tuotteemme söi maailman monta vuotta sitten. Ja sitä on nykyään enemmän kuin koskaan ennen – käytössä on kriittinen infrastruktuuri, jonka avulla voimme työskennellä ja kommunikoida saumattomasti ja tarjota loputtomasti tapoja viihdyttää itseämme. Tekoälyagenttien myötä ohjelmistot sulautuvat yhä syvemmälle kriittisiin prosesseihin, joihin yritykset, niiden työntekijät ja asiakkaat luottavat saadakseen maailman pyörimään.
Mutta koska se on (suurelta osin) ihmisten suunnittelema, tämä ohjelmisto on virhealtis. Ja näistä koodausvirheistä johtuvat haavoittuvuudet ovat keskeinen mekanismi uhkatoimijoille, jotka voivat murtautua verkkoihin ja saavuttaa tavoitteensa. Verkon puolustajien haasteena on, että viimeisten kahdeksan vuoden aikana on julkaistu ennätysmäärä haavoittuvuuksia (CVE). Vuoden 2024 luku oli Yli 40,000. Siinä on paljon turvapäivityksiä käyttöön.
Niin kauan kuin ohjelmistojen määrä ja monimutkaisuus kasvavat ja tutkijoita ja uhkien toimijoita kannustetaan löytämään haavoittuvuuksia, vuosittaisten CVE:iden määrä jatkaa nousuaan. Tämä tarkoittaa enemmän haavoittuvuuksia uhkatoimijoille, joita he voivat hyödyntää.
Mukaan yksi arvio, huimat 768 CVE:tä ilmoitettiin julkisesti hyväksikäytetyksi luonnossa viime vuonna. Ja vaikka 24 % näistä oli nollapäiviä, useimmat eivät. Itse asiassa, vaikka tekoälytyökalut auttavat joitain uhkatekijöitä hyödyntää haavoittuvuuksia nopeammin kuin koskaan ennen, myös todisteita että vanhat bugit ovat edelleen suuri ongelma. Se paljastaa, että 40 % vuonna 2024 hyödynnetyistä haavoittuvuuksista oli peräisin vuodelta 2020 tai aikaisemmasta ja 10 % vuodelta 2016 tai aikaisemmasta.
Mitä NCSC haluaa tehdä?
Tässä yhteydessä NCSC:n suunnitelma on järkevä. Sen Vuosikatsaus 2024 valittaa sitä, että ohjelmistotoimittajia ei yksinkertaisesti kannusteta tuottamaan turvallisempia tuotteita, koska ne väittävät, että etusijalla ovat liian usein uudet ominaisuudet ja markkinoilletuloaika.
"Tuotteita ja palveluita tuottavat kypsillä markkinoilla toimivat kaupalliset yritykset, jotka – ymmärrettävästi – priorisoivat kasvua ja voittoa ratkaisujensa turvallisuuden ja kestävyyden sijaan. Väistämättä se vaikuttaa eniten pk-yrityksiin, hyväntekeväisyysjärjestöihin, oppilaitoksiin ja laajemmin julkiseen sektoriin, koska useimmissa organisaatioissa kustannusten huomioon ottaminen on ensisijainen tekijä", hän huomauttaa.
"Yksinkertaisesti sanottuna, jos suurin osa asiakkaista priorisoi hintaa ja ominaisuuksia "turvallisuuden" sijaan, toimittajat keskittyvät lyhentämään markkinoilletuloaikaa digitaalisen maailmamme turvallisuutta ja kestävyyttä parantavien tuotteiden suunnittelun kustannuksella."
Sen sijaan NCSC toivoo rakentavansa maailma, jossa ohjelmistot ovat "turvallisia, yksityisiä, joustavia ja kaikkien saatavilla". Tämä edellyttää "huipputason lieventämistä" helpottamaan myyjien ja kehittäjien toteuttamista parannettujen kehityskehysten ja turvallisten ohjelmointikonseptien avulla. Ensimmäinen vaihe on auttaa tutkijoita arvioimaan, ovatko uudet haavoittuvuudet "anteeksiantettavia" vai "anteeksiantamattomia" – ja näin tehdessään rakentaa vauhtia muutokselle. Kaikki eivät kuitenkaan ole vakuuttuneita.
"NCSC:n suunnitelmassa on potentiaalia, mutta sen menestys riippuu useista tekijöistä, kuten alan omaksumisesta sekä ohjelmistotoimittajien hyväksynnästä ja käyttöönotosta", varoittaa KnowBe4:n johtava tietoturvatietoisuuden puolestapuhuja Javvad Malik. "Se perustuu myös kuluttajien tietoisuuteen ja turvallisempien tuotteiden kysyntään sekä lainsäädännölliseen tukeen."
On myös totta, että vaikka NCSC:n suunnitelma toimisi, siellä olisi silti paljon "anteeksiantavia" haavoittuvuuksia, jotka pitävät CISO:t hereillä öisin. Mitä voidaan tehdä CVE:n vaikutusten lieventämiseksi?
Standardeihin perustuva lähestymistapa
Malik ehdottaa, että parhaiden käytäntöjen suojausstandardi ISO 27001 on hyödyllinen lähestymistapa.
"ISO27001-standardin mukaisilla organisaatioilla on vankkaampi dokumentaatio, ja ne voivat kohdistaa haavoittuvuuksien hallinnan yleisiin tietoturvatavoitteisiin", hän kertoo ISMS.online-sivustolle.
Huntressin turvallisuustoimintojen johtaja Dray Agha väittää, että standardi tarjoaa "selkeän kehyksen" sekä haavoittuvuuksille että korjaustiedostojen hallitukselle.
"Se auttaa yrityksiä pysymään uhkien edellä suorittamalla säännöllisiä turvatarkastuksia, priorisoimalla korkean riskin haavoittuvuuksia ja varmistamalla oikea-aikaiset päivitykset", hän kertoo ISMS.online-sivustolle. "ISO 27001 -standardia käyttävät yritykset voivat reagoida hyökkäyksiin ennakoivasti ja vähentää altistumistaan ennen kuin hakkerit edes iskevät ja estävät kyberrikollisilta jalansijan organisaation verkostossa korjaamalla ja kovettamalla ympäristöä."
Agha kuitenkin väittää, että paikaminen ei yksin riitä.
"Yritykset voivat suojautua kyberuhilta pidemmälle ottamalla käyttöön verkon segmentointia ja verkkosovellusten palomuureja (WAF). Nämä toimenpiteet toimivat ylimääräisinä suojakerroksina, jotka suojaavat järjestelmiä hyökkäyksiltä, vaikka korjaukset viivästyisivät", hän jatkaa. "Nollaluottamusturvamallien, hallittujen tunnistus- ja vastausjärjestelmien sekä hiekkalaatikon ottaminen käyttöön voi myös rajoittaa vahinkoja, jos hyökkäys murtuu."
KnowBe4:n Malik on samaa mieltä ja lisää, että virtuaalinen korjaus, päätepisteiden tunnistus ja vastaus ovat hyviä vaihtoehtoja suojan kerrostamiseen.
"Organisaatiot voivat myös suorittaa ohjelmistojen ja laitteiden penetraatiotestauksen ennen käyttöönottoa tuotantoympäristöissä ja sen jälkeen ajoittain. Uhkatietojen avulla voidaan saada tietoa uusista uhista ja haavoittuvuuksista", hän sanoo.
"On olemassa monia erilaisia menetelmiä ja lähestymistapoja. Vaihtoehdoista ei ole koskaan ollut pulaa, joten organisaatioiden tulee miettiä, mikä sopii parhaiten heidän riskiprofiiliinsa ja infrastruktuuriinsa."
