अनुसंधान: कंपनियों के आधे एक महीने के भीतर कमजोरियों पैच - क्यों?

एक सॉफ्टवेयर-परिभाषित सामग्री वितरण कंपनी, कोललेक्टिव के शोधकर्ताओं ने दो सौ अमेरिकी और ब्रिटिश संगठनों के बीच एक सर्वेक्षण किया। उन्होंने पाया कि लगभग आधे कंपनियों को एक ज्ञात भेद्यता को बंद करने के लिए एक पूरे महीने की आवश्यकता थी। हम बताएंगे कि ऐसा क्यों होता है, और इसके बारे में क्या किया जा सकता है।


/ PxHere / पीडी

कंपनियां बहुत लंबा पैच स्थापित करती हैं

आईटी विभागों के प्रमुखों के बीच कोलिक्टिव सर्वे किया गया था। बड़े निगमों के 45% उत्तरदाताओं (जिनके पास 100 हजार से अधिक नेटवर्क टर्मिनल हैं) ने कहा कि उन्हें पैच स्थापित करने के लिए लगभग 30 दिनों की आवश्यकता है। एक अन्य 27% ने कहा कि कभी-कभी उन्हें अपडेट स्थापित करने में कई महीने लगते हैं।

साइबर खतरों की बढ़ती संख्या के साथ, एक समान दृष्टिकोण अस्वीकार्य लगता है। सिमेंटेक के अनुसार, पिछले साल रैंसमवेयर हमलों की संख्या में 36% की वृद्धि हुई । इसके अलावा, यह ज्ञात है कि मैलवेयर के 230 हजार से अधिक नमूने हर दिन दिखाई देते हैं।

इस संबंध में, पिछले दो वर्षों में, पैच को स्थापित करने का समय, जो कंपनी ने हमलावरों के भेद्यता का लाभ उठाने से पहले किया है, में 29% की कमी आई है। हालाँकि, एक सरल सुरक्षा अद्यतन अभी भी सबसे प्रभावी सुरक्षा विधियों में से एक है। कई हैक्स और डेटा डंप में, हैकर्स कमजोरियों का फायदा उठाते हैं, जिसके लिए एक पैच पहले ही जारी किया जा चुका है।

ServiceNow ने दुनिया भर के 3 हज़ार सूचना सुरक्षा विशेषज्ञों के बीच एक सर्वेक्षण किया और पाया कि 56% कंपनियाँ अतीत में सूचना नाली से बच सकती थीं यदि वे समय पर अद्यतन स्थापित करतीं। एक उदाहरण संयुक्त राज्य अमेरिका में इक्विफैक्स से व्यक्तिगत डेटा की भारी चोरी होगी। तब 140 मिलियन से अधिक अमेरिकी नेटवर्क में बह गए।

अगर क्रेडिट ब्यूरो के विशेषज्ञों ने समय रहते पैच लगा दिया होता तो इस घटना को टाला जा सकता था। अपवादों को संभालने में त्रुटि के कारण हैकर्स ने अपाचे स्ट्रट्स ढांचे ( CVE-2017-5638 ) में भेद्यता का उपयोग किया। इक्विफैक्स पर हमले से दो महीने पहले इस भेद्यता के लिए एक पैच जारी किया गया था।

अपडेट में देरी क्यों

1. स्टाफ की कमी। सूचना सुरक्षा विभाग योग्य विशेषज्ञों की कमी से पीड़ित हैं। गैर-लाभकारी संगठन ISACA के अनुसार, 2019 तक उद्योग में सूचना सुरक्षा कर्मियों की कमी होगी। कमी लगभग 2 मिलियन लोगों की होगी।

यह पहले से ही साइबर हमले से संगठनों की सुरक्षा को सीधे प्रभावित करता है। 2016 के मैकएफी अध्ययन में , उत्तरदाताओं के एक चौथाई ने कहा कि उनकी फर्म में सूचना सुरक्षा विशेषज्ञों की कमी के कारण डेटा लीक हुआ।

2. अप्रभावी पैच स्थापना प्रबंधन। हालांकि, कंपनी में सूचना सुरक्षा विशेषज्ञों के कर्मचारियों के विस्तार से आईटी बुनियादी ढांचे की विश्वसनीयता में वृद्धि नहीं होती है। ServiceNow ध्यान दें कि आपको बढ़ी हुई सुरक्षा का इंतजार नहीं करना चाहिए जब तक कि पैचिंग से जुड़ी व्यावसायिक प्रक्रियाएं संशोधित न हो जाएं।

भेद्यता बंद होने की दर बड़ी मैनुअल प्रक्रियाओं से प्रभावित होती है। ऐसी कंपनियां हैं जो अभी भी पैच का प्रबंधन करने के लिए एक्सेल का उपयोग करती हैं। फॉर्च्यून 100 की एक कंपनी ने भी कमजोर डेटा के साथ स्प्रेडशीट के प्रबंधन के लिए जिम्मेदार कर्मचारियों के एक पूरे विभाग का गठन किया - वे वहां लिखते हैं कि क्या कोई पैच है, जो इसे स्थापित करता है, आदि।

मार्क माइक्रो में क्लाउड रिसर्च के ट्रेंड माइक्रो वाइस प्रेसीडेंट के अनुसार, मार्क नूननिकोवन ठीक ही स्वचालन की कमी है, क्योंकि कंपनियों में आईटी सिस्टम को अपडेट करने की प्रक्रिया WannaCry के व्यापक रूप से अपनाने के प्रमुख कारणों में से एक बन गई है।

3. अद्यतन को प्राथमिकता देने की कठिनाई। प्रकाशन सीएसओ के अनुसार, सिस्टम के धीमे उन्नयन का एक और कारण बहुत अधिक पैच है। सुरक्षा पेशेवरों के लिए प्राथमिकता तय करना और तय करना मुश्किल है कि किन लोगों को दूसरों के सामने सेट करने की जरूरत है। स्पेक्टर और मेल्टडाउन के मामले में भी, विशेषज्ञों ने विरोध व्यक्त किया : कुछ विशेषज्ञों ने प्रतीक्षा करने का सुझाव दिया, जबकि अन्य तेजी से पैच स्थापित करने की जल्दी में थे।

कमजोरियों के साथ डेटाबेस की धीमी पुनःपूर्ति से स्थिति जटिल है। इस साल के अगस्त तक, जनवरी से जून 2018 तक पता चला उन लोगों से 3 हजार से अधिक खतरे सीवीई और एनवीडी डेटाबेस में नहीं आए थे। उनमें से लगभग आधे को सीवीएसएसवी 2 के लिए उच्चतम खतरे की रेटिंग मिली थी।

4. स्थापना की जटिलता। बर्कली ने सुरक्षा पेशेवरों के बीच मेल्टडाउन और स्पेक्टर अपडेट स्थापित करने पर एक सर्वेक्षण किया। 80% उत्तरदाताओं ने इंटेल चिप "अस्पष्ट" में कमजोरियों को पैच स्थापित करने की प्रक्रिया पर विचार किया ।

"जब मेल्टडाउन और स्पेक्टर दिखाई दिया, तो इन कमजोरियों की पहचान करने के लिए कोई सुविधाजनक परीक्षण उपयोगिता नहीं थी। समय के साथ, उपयोगिताएँ दिखाई देने लगीं, लेकिन विकास विभाग 1 क्लाउड के प्रमुख सर्गेई बेलकिन का कहना है कि उनकी विश्वसनीयता की गारंटी देना असंभव था। - बाद में, Microsoft ने एक सत्यापन विधि प्रस्तावित की , लेकिन यह काफी जटिल थी। हालाँकि, तब समाधान थे (विशेष रूप से, कई लिनक्स वितरण के लिए ) जिसने यह पता लगाना संभव किया कि मेल्टडाउन और स्पेक्टर कंसोल में एक ही कमांड से प्रभावित हैं या नहीं। "

अपडेट की गति कैसे बढ़ाएं

1. पैच की स्थापना को स्वचालित करें। उन्नयन प्रक्रिया को स्वचालित करना प्रशासकों और अंतिम उपयोगकर्ताओं के लिए कार्य को सरल करता है। सिस्टम स्वयं इंटरनेट से पैच डाउनलोड करता है, और सिस्टम व्यवस्थापक को स्थापना प्रक्रिया का पालन करने की आवश्यकता होती है। यह क्लाउड प्रदाताओं के लिए विशेष रूप से महत्वपूर्ण है, क्योंकि वे बड़ी संख्या में "मशीनें" चलाते हैं।

ऐसे उपकरण (जैसे कि एचपीई सर्वर ऑटोमेशन) हैं जो डेटा सेंटर सर्वरों पर ऑपरेटिंग सिस्टम को अपडेट करते हैं। वे आपको ओएस आपूर्तिकर्ता द्वारा पेश किए गए आवश्यक पैच का चयन करने की अनुमति देते हैं। यहां तक ​​कि उनकी मदद से, आप स्थापना प्रक्रिया को स्वयं कॉन्फ़िगर कर सकते हैं, उदाहरण के लिए, उन अपडेट को बाहर करने के लिए जो किसी विशेष वातावरण के लिए उपयुक्त नहीं हैं।

2. कर्मचारियों को प्रशिक्षित करें। डेटा सुरक्षा सुनिश्चित करने में एक महत्वपूर्ण भूमिका लोगों द्वारा निभाई जाती है। इसलिए, आईटी विशेषज्ञों और कंपनी के सामान्य कर्मचारियों के बारे में जागरूकता बढ़ाना, समय और धन का निवेश करना, कम से कम बुनियादी साइबर स्वच्छता पाठ्यक्रम संचालित करने के लिए आवश्यक है।


/ फ़्लिकर / केली / सीसी

सामान्य तौर पर, डेटा सुरक्षा के बारे में बेहतर जानने के लिए कई तरह के तरीकों का इस्तेमाल किया जा सकता है, जैसे कि Gamification। प्राइसवाटरहाउसकूपर्स ऑस्ट्रेलिया "हैकर्स" और "सिस्टम डिफेंडर्स" की टीमों के बीच एक विशेष सिम्युलेटर में प्रतिस्पर्धा करने पर गेम ऑफ थ्रेट्स गेम खेलता है ।

3. साइबर सुरक्षा में अधिक निवेश करें। गार्टनर के अनुसार, 2018 में, साइबर स्पेस पर संगठनों का खर्च पिछले साल की तुलना में 12.4% बढ़ जाएगा । फर्म प्रक्रिया स्वचालन और नई डेटा सुरक्षा तकनीकों पर अधिक खर्च करेंगे ताकि सूचना सुरक्षा विशेषज्ञ अधिक कुशलता से काम कर सकें।

आगे क्या है

सुरक्षा अद्यतन की धीमी स्थापना एक सिस्टम समस्या है। और, शायद, यह एक लंबे समय के लिए "असुविधा" वितरित करेगा, विशेष रूप से प्रोसेसर में नई प्रमुख कमजोरियों की खोज के प्रकाश में, जैसे कि फोरशैडो । हालांकि, यदि अधिक कंपनियां जल्दी से पैच स्थापित करना शुरू कर देती हैं, तो यह पूरे पारिस्थितिकी तंत्र को सकारात्मक रूप से प्रभावित करेगा और व्यक्तिगत डेटा लीक की संख्या को काफी कम कर देगा। जैसे इक्विफैक्स के साथ हुआ।

1cloud के कॉर्पोरेट ब्लॉग से कुछ और पोस्ट:

• क्लाउड डेटा कैसे सुरक्षित किया जाता है
• क्यों पट्टे पर बुनियादी ढांचा साधारण हार्डवेयर से बेहतर है
• प्रवेश के लिए प्रशिक्षण स्टैंड: बादल कैसे मदद करेगा
• .NET Core डेवलपर क्या सुविधाएँ देता है?