Neúnavné a stále zrychlující se tempo kyberzločinců uvaluje profesionály v oblasti kybernetické bezpečnosti do cyklického a nekončícího procesu oprav. Trvale pracují na tom, aby systémy v jejich správě byly, co možné nejméně zranitelné, nicméně pro většinu organizací se zvyšující míra rizik stává neudržitelným. Výsledkem je, že IT odborníkům chránící podnikové systémy způsobují frustraci, která může vést až k jejich vyhoření.
Stejně jako smartphony či počítače upozorňují na vhodnost instalace právě vydané aktualizace, tak i samotný hardware počítačových sítí musí procházet pravidelným upgradem svého softwaru a firmwaru. Tím dochází k řešení oprav zranitelných míst, která by mohla vést k potenciálním bezpečnostním incidentům. Jenže, odborníci na kybernetickou bezpečnost aktuálně čelí chronickému vydávání oprav různých zranitelností a stav se přitom nadále zhoršuje.
Organizace všeho druhu po celém světě se ocitly v nekonečné smyčce masivního záplatování zranitelností. Ty se dokonce objevují tak rychle, že než je vydána záplata na dříve objevenou chybu, už hrozí nové potenciální riziko. „Tento nekonečný až chronický cyklus zranitelností, respektive záplat, přispívá k apatii mezi mnoha podniky a odborníky v oblasti kybernetické bezpečnosti,“ uvádí Petr Kocmich, Global Cyber Security Delivery Manager společnosti Soitron. Důvody k jejich případné rezignaci mohou být různé. Nejčastěji se tak však děje z důvodu nedostatečného počtu lidských zdrojů (odborníků na kyberbezpečnost) pracujících v organizacích.
Odhalené zranitelnosti jsou přitom pouze špičkou ledovce, protože představují pouze přibližně 10 % objevených potenciálních rizik, o kterých se ví a pracuje na jejich řešení. Mezitím vývojáři softwaru, hardwaru a IT systémů při pracích vedoucích k nápravám mohou na svět, díky dalším vneseným chybám v kódu, vnést nová potenciální zranění.
„V praxi se tak paradoxně může stát, že aktualizací odborníci na kybernetickou bezpečnost ve firmách ‚nasadí‘ více problémů, než kolik se jich dostupným updatem snaží vyřešit. Ačkoliv se dá drtivá většina instalací bezpečnostních záplat poměrně dobře automatizovat, stále zde zůstávají nutné procesy v rámci aktualizací a povyšování verzí jednotlivých systémů a firmwarů. Příkladem mohou být právě síťové prvky, kdy upgrade mnohdy vyžaduje dodatečné dlouhé testování a samotné odstávky systémů včetně specifických procesů při přepnutí na právě zaktualizovaný systém při režimu vysoké dostupnosti. Tyto aktivity mnohdy provází frustrace a strach z upgradu na rádoby stabilní a testované verze systémů, jež ruku na srdce, nejsou zrovna vždy stabilní a 100% funkční, jak výrobce tvrdí. Tímto nešvarem bohužel trpí prakticky všechny produkty dnešní doby. Technologie se stává čím dál více komplexnější a z důvodu snahy výrobců dohánět konkurenci implementují nové a nové funkce a integrační prvky (které mnohdy ani zákazník nepotřebuje) a tím zvyšují komplexitu potřebného kódu a riziko zanesení chyb do kódu. Výrobcem prováděné (automatizované) testování technologie v simulovaném prostředí pak v rámci možných konfigurací a komplexních integrací v reálném světě nemůže nikdy odhalit všechny možné chyby. A toto pro administrátory a inženýry představuje obrovské riziko, vedoucí až k jejich vyhoření,” dodává Petr Kocmich. Odhodlání odborníků totiž výrazně klesá, protože si uvědomují, že organizace jsou více zranitelnější.
Pro toho, kdo se věnuje bezpečnostním rizikům, nejde o žádné nové zjištění, protože tempo a sofistikovanost hrozeb se neúnavně zvyšuje a čelí mu nejen soukromé organizace, ale prakticky každý jednotlivec včetně vládních subjektů. Kyber útočníci jsou tak nejen stále efektivnější, chytřejší, kreativnější ale také čím dál tím hlouběji pronikají do počítačových systémů, a to takovou rychlostí, než jaké jsou možnosti kybernetické bezpečnosti.
„Nadále bude platit pravidlo, že bezpečnost reaguje na aktuální typy útoků, učí se z nich a prakticky stále dobíhá pomyslný ujíždějící vlak s útočníky. Dobrou zprávou však je, že odborníci na bezpečnost za tím vlakem neběží tak daleko, ale že se tak tak chytají nástupního madla,“ sděluje Petr Kocmich.
Vzhledem k tomuto novému faktu musí podniky vytvořit takovou správu oprav, aby byla účinná a uvědomit si, že ne všechny záplaty mohou být prospěšné. Nasazení těch špatných může způsobit výpadky systému nebo problémy s jinými aplikacemi a systémy.
„Proto je v mnoha ohledech zapotřebí mít kvalitně připravené testovací prostředí, které by v ideálním případě kopírovalo prostředí produkční (ano, toto není ani jednoduché, ani levné) a na kterém by bylo možné záplaty a hlavně přechody na vyšší verze pravidelně a dostatečně testovat,“ dodává Petr Kocmich. Velkou měrou k vyšší chybovosti přispívá zrychlené vydávání množství oprav, a to nejen těch důležitých z pohledu bezpečnosti, ale také těch, které se v dobré víře snaží dohnat, tedy implementovat vlastnosti, které konkurence již nabízí.
I přestože se před vydáním oprav i updatů provádí rozsáhlé testování, včetně penetračních testů, nikdy nemůže být zaručeno, že dostupné změny jsou dokonalé. Avšak adekvátní metodika testování ve vlastním firemním prostředí snižuje riziko toho, že bezpečnostní tým organizace nasadí špatnou opravu.
Dalo by se říci, že nahnutou válku – z důvodu oslabené pozice, jako je ta, ve které operují odborníci na kybernetickou bezpečnost – ještě více ztěžuje klesající míra optimismu. Proto nejdůležitější je nepřestat a pokračovat v boji.
Jak ale vyrovnat tuto nepopiratelnou nerovnováhu mezi nadějí a realitou? Slavit každý dílčí úspěch, školit, školit a školit, a to nejen v oblasti kybernetické bezpečnosti a důsledně kontrolovat dodržování zavedených adekvátních procesů. „Odborníci v oblasti kybernetické bezpečnosti by se měli posilovat tím, že budou pravidelně a metodicky rozvíjet své dovednosti a aktivně přispívat do bezpečnostní komunity svými zkušenostmi a poznatky a šířit tak bezpečnostní osvětu,“ říká závěrem Petr Kocmich.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
