Установка обновлений — это по определению процесс бесконечный. Настолько бесконечный, что на обновление вообще всего имеющегося в инфраструктуре софта и примкнувшего к нему железа может просто не хватать ресурсов. В среднем каждый день — и не только рабочий — находят десятки новых уязвимостей и, соответственно, каждый месяц выпускают многие сотни и даже тысячи заплаток для них.
Возникает вопрос: какие обновления должны быть в приоритете? Вообще говоря, однозначного ответа на него нет: стратегии установки патчей могут быть очень разными, и какая из них сработает лучше в вашем случае — зависит от разных обстоятельств. В этом же посте я собираюсь порассуждать о том, что стоит обновлять в первую очередь, исходя из потенциальной опасности эксплуатации уязвимостей.
Уязвимости есть? А если найду?
Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.
Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем. Просто обычно их находят там, где больше ищут. Конечно, можно использовать какой-то всеми забытый программный продукт, потому что в нем еще не ступала нога человека не обнаруживали уязвимости. Но это плохая политика: а ну как копнут и найдут сразу пачку?
Поэтому, если уж на то пошло, обращать внимание надо не на количество багов, найденных в том или ином софте, а на время реакции разработчика и, что тоже немаловажно, качество этой реакции. Если заплатки выпускают быстро и регулярно — это хорошо. Если медленно, спорадически и каждый раз изо всех сил пытаются делать вид, что ничего страшного не случилось, — это плохо, вот такого софта стоит избегать.
Еще полезно, когда у разработчика есть программа «баг баунти». Вообще отлично, если она открыта для всех желающих. А вот информация о том, что компания-разработчик угрожала судебными исками обнаружившим дырку исследователям (да-да, такое бывает чаще, чем можно было бы подумать) или действительно потащила кого-то за найденные уязвимости в суд, — это совсем плохо.
Операционные системы
Но вернемся к нашей приоритизации обновлений. Очевидные кандидаты на максимальный приоритет — это операционные системы. Устанавливать важные обновления для них надо как можно быстрее. Опасность тут очевидна: дырявая ОС — это ключ для атакующих ко всему остальному софту, который установлен на компьютере.
Поэтому если вы используете Windows, то каждый второй вторник месяца следует как минимум просматривать список обновлений Microsoft. И желательно не откладывать их установку. И следите за новостями: уж если обновление для Windows вышло не во второй вторник месяца, то такой внеочередной апдейт тем более стоит установить немедленно.
Браузеры
Для приоритизации установки обновлений браузеров есть несколько веских причин. Во-первых, существенная часть всей цифровой деятельности в наше время происходит именно в них. Во-вторых, браузер по определению взаимодействует с Интернетом, а значит, это один из первых кандидатов на встречу с разнообразными неприятностями. В-третьих, уязвимости в браузерах ищут очень тщательно, находят регулярно — и очень быстро начинают эксплуатировать.
Поэтому старайтесь устанавливать обновления для браузеров как можно более оперативно. Также важно не забывать перезапускать их после установки апдейта — ведь до перезапуска в использовании остается старая, уязвимая версия. Еще важно помнить о том, что в системе может быть установлено больше одного браузера. И для них для всех нужно вовремя устанавливать обновления.
Также раз уж мы заговорили о множественности браузеров, есть пара важных моментов, о которых не стоит забывать:
- Internet Explorer: им давно уже почти никто в здравом уме не пользуется, но он до сих пор есть в любой системе с Windows, — и его надо вовремя патчить.
- Многие настольные приложения (например, десктопные мессенджеры) основаны на фреймворке Electron — то есть по сути представляют собой браузер Chromium, в котором открыто веб-приложение. Такие программы тоже надо не забывать обновлять, потому что любая дыра в Chromium автоматически ими наследуется.
Офисные пакеты
Атаки с помощью электронных писем с вредоносными вложениями — живая классика. Чаще всего для таких атак используются зараженные документы — в первую очередь речь про файлы Microsoft Office и PDF. То есть зачастую именно уязвимости в программах из офисных пакетов становятся для злоумышленников точкой входа в сеть атакуемой компании.
Соответственно, обновлению офисного ПО стоит также уделить повышенное внимание. Кроме того, нельзя забывать о том, что в большинстве случаев вредоносные вложения не открывают себя сами — кто-то должен по ним кликнуть. Поэтому полезно устраивать сотрудникам тренинги по информационной безопасности — например, с помощью нашей интерактивной образовательной платформы Kaspersky Automated Security Awareness Platform.
Также полезно наладить внутри компании канал двухсторонней коммуникации с отделом информационной безопасности. С его помощью, с одной стороны, вы сможете предупреждать персонал об актуальных опасностях, а также заниматься общим повышением осведомленности, и с другой — получать от сотрудников информацию о различной подозрительной активности, в том числе в их электронной почте.
Защитные решения
Уязвимости могут найти в любой программе — и защитные решения тут не являются исключением. Для эффективной работы антивирусам и прочему ПО для обеспечения информационной безопасности необходимо иметь огромное количество разрешений в операционной системе. Так что в случае успешной эксплуатации уязвимости в защитном решении проблемы могут быть очень серьезными.
Разработчики защитного ПО лучше кого бы то ни было понимают опасность такого варианта развития событий. Поэтому они стараются максимально оперативно реагировать на найденные уязвимости и любой ценой выпускать обновления как можно быстрее. Но важно, чтобы оперативность была проявлена и при установке этих обновлений. Поэтому рекомендуем пристально следить за апдейтами для защитных решений и приоритизировать их установку.
Приложения для рабочей коллаборации
Еще одна категория ПО, которая за последнее десятилетие приобрела особое значение в жизни офисных сотрудников, — это приложения для рабочей коллаборации, такие как Microsoft Teams, Slack, Confluence и так далее. Во многих компаниях в них уже постепенно переместились и существенная часть рабочей переписки, и обмен файлами, и конференц-звонки.
Потенциально это делает подобный софт желанной целью для преступников: из того, что содержится в приложениях для коллаборации, обычно можно узнать очень много чего интересного. Следовательно, обновления такого рода приложений также стоит держать в числе приоритетов.
И вот вам еще одна причина не откладывать обновление инструментов для коллаборации. Помните, я выше упоминала про то, что каждое приложение, построенное на фреймворке Electron, внутри представляет собой, по сути, браузер Chromium, вместе с его крайне популярными у киберпреступников уязвимостями? Так вот, данный фреймворк достаточно часто используют для создания инструментов для коллаборации. В частности, на Electron основаны десктопные версии таких приложений, как Teams и Slack.
Ну и, конечно же, чтобы обезопасить от взлома компьютеры сотрудников в те неприятные моменты, когда уязвимость уже найдена, а патч для нее еще не выпущен, обязательно используйте на всех корпоративных устройствах надежную защиту. Кстати, в ряде наших решений для бизнеса — в частности, в Kaspersky Automated Security Awareness Platform и Kaspersky Hybrid Cloud Security Enterprise — есть встроенная система Kaspersky Vulnerability and Patch Management, которая поможет автоматизировать обновления и правильно расставить приоритеты в этом процессе.