Nu așteptați ca o breșă de securitate costisitoare să vă reamintească importanța aplicării la timp a patch-urilor software.

Exploatarea vulnerabilităților a fost multă vreme o tactică preferată de infractorii cibernetici. Dar este tot mai frecventă – un fapt care ar trebui să alarmeze orice apărător de rețea. Conform unei estimări, cazurile observate de exploatare a vulnerabilităților care au dus la încălcări ale securității datelor au crescut de trei ori în 2023. Iar atacurile care vizează breșele de securitate rămân una dintre primele trei modalități prin care actorii amenințători încep atacuri ransomware.

Pe măsură ce numărul de CVE (Common Vulnerabilities and Exposures) continuă să atingă noi niveluri record, organizațiile se străduiesc să facă față situației. Acestea au nevoie de o abordare mai coerentă, automatizată și bazată pe risc pentru atenuarea amenințărilor legate de vulnerabilități.

Supraîncărcarea cu bug-uri

Vulnerabilitățile software sunt inevitabile. Atât timp cât oamenii creează cod informatic, eroarea umană se va strecura în proces, rezultând breșe pe care actorii malițioși au devenit experți în a le exploata. O astfel de exploatare rapidă și la scară largă deschide ușa nu doar pentru ransomware și furt de date, ci și pentru operațiuni de spionaj statal sofisticate, atacuri distructive și altele.

Din păcate, numărul de CVE-uri publicate în fiecare an este în continuare mare, din cauza mai multor factori:
– Noua dezvoltare de software și integrarea continuă conduc la o complexitate sporită și la actualizări frecvente, extinzând posibilele puncte de intrare pentru atacatori și introducând uneori noi vulnerabilități. În același timp, companiile adoptă noi instrumente care se bazează adesea pe componente terțe, biblioteci open-source și alte dependențe care pot conține vulnerabilități încă nedescoperite.

– Viteza este adesea prioritizată în detrimentul securității, ceea ce înseamnă că software-ul este dezvoltat fără verificări adecvate ale codului. Acest fapt permite infiltrarea erorilor în codul de producție; uneori provenind din componentele open-source utilizate de dezvoltatori.

–  Cercetătorii etici își intensifică eforturile, în parte datorită proliferării programelor de recompensare a vulnerabilităților (bug bounty) derulate de organizații atât de diverse precum Pentagonul și Meta. Aceste vulnerabilități sunt dezvăluite în mod responsabil și remediate de furnizorii în cauză, dar dacă clienții nu aplică aceste remedii (patch-uri), vor rămâne expuși exploatărilor.

– Furnizorii comerciali de spyware operează într-o zonă gri din punct de vedere juridic, vânzând programe malware și exploatări pentru clienții lor (adesea guverne autocratice) pentru a-și spiona inamicii. National Cyber Security Centre (NCSC) din Regatul Unit estimează că „sectorul intruziunilor informatice” comerciale se dublează la fiecare zece ani.

– Lanțul de aprovizionare al criminalității cibernetice devine din ce în ce mai profesionist, cu brokerii de acces inițial (IAB) care se concentrează exclusiv pe pătrunderea în organizațiile victime, adesea prin exploatarea vulnerabilităților. Un raport din 2023 a înregistrat o creștere de 45% a IAB-urilor pe forumurile de criminalitate cibernetică și o dublare a anunțurilor IAB pe dark web în 2022 față de cele 12 luni anterioare.

Ce tipuri de vulnerabilități fac valuri?

Peisajul vulnerabilităților este caracterizat atât de schimbare, cât și de continuitate. Mulți dintre suspecții obișnuiți apar în topul MITRE 25 al celor mai frecvente și mai periculoase vulnerabilități software observate între iunie 2023 și iunie 2024. Acestea includ categorii de vulnerabilități des întâlnite, precum cross-site scripting, SQL injection, use after free, out-of-bounds read, code injection și cross-site request forgery (CSRF). Aceste vulnerabilități ar trebui să fie cunoscute de majoritatea apărătorilor cibernetici și, prin urmare, ar putea necesita mai puține eforturi pentru a fi atenuate, fie prin consolidarea/protecția îmbunătățită a sistemelor și/sau prin practici DevSecOps îmbunătățite.

Cu toate acestea, alte tendințe sunt poate chiar mai îngrijorătoare. Agenția americană de securitate cibernetică și a infrastructurii (CISA) susține în lista sa 2023 Top Routinely Exploited Vulnerabilities că majoritatea acestor defecte au fost exploatate inițial ca zero-day. Ceea ce înseamnă că, la momentul exploatării, nu existau patch-uri disponibile, iar organizațiile trebuie să se bazeze pe alte mecanisme pentru a le menține în siguranță sau pentru a minimiza impactul. În altă ordine de idei, sunt adesea favorizate și bug-urile cu o complexitate redusă și care necesită o interacțiune scăzută sau inexistentă din partea utilizatorului. Un exemplu sunt exploatările de tip „zero-click” oferite de vânzătorii comerciali de spyware pentru implementarea programelor lor malware.

Aflați cum gestionarea vulnerabilităților și patch-urilor ESET din cadrul platformei ESET PROTECT oferă o cale către remedierea rapidă, ajutând la menținerea întreruperilor și costurilor la minimum.

O altă tendință este țintirea produselor de tip perimeter-based prin exploatarea vulnerabilităților. Centrul Național pentru Securitate Cibernetică (NCSC) a avertizat asupra unei creșteri a acestor atacuri, care implică adesea exploatări de tip zero-day vizând aplicațiile de transfer de fișiere, firewall-urile, VPN-urile și soluțiile de gestionare a dispozitivelor mobile (MDM). Se precizează:

„Atacatorii au realizat că majoritatea produselor expuse la perimetru nu sunt „secure by design” (securizate din proiectare) și, prin urmare, vulnerabilitățile pot fi găsite mult mai ușor decât în software-ul client popular. Mai mult, aceste produse de obicei nu au un sistem de logare decent (sau nu pot fi investigate ușor de către criminaliști cibernetici), oferind astfel puncte de acces ideale într-o rețea unde fiecare dispozitiv client este probabil să ruleze capabilități avansate de detectiv.”

Când situația se agravează

De parcă nu ar fi fost suficiente motive de îngrijorare pentru apărătorii rețelelor, eforturile lor întâmpină complicații precum:
–  Viteza de exploatare a vulnerabilităților. Cercetările Google Cloud estimează un timp mediu până la exploatare de doar cinci zile în 2023, în scădere față de valoarea anterioară de 32 de zile
– Complexitatea sistemelor IT și OT/IoT ale companiilor din zilele noastre, care acoperă medii hibride și multi-cloud, cu tehnologie integrată moștenită, care a fost deja alterată
– Patch-urile de calitate slabă ale furnizorilor și comunicările confuze, care îi fac pe apărătorii rețelelor să repete eforturile și să fie adesea incapabili să evalueze eficient expunerea lor la risc
– Un blocaj în baza de date NVD de la NIST, care a lăsat multe organizații fără o sursă critică de informații actualizate despre cele mai recente CVE-uri

Conform unei analize Verizon a catalogului Known Exploited Vulnerabilities (KEV) al CISA:
– La 30 de zile, 85% din vulnerabilități nu au fost remediate
– La 55 de zile, 50% din vulnerabilități nu au fost remediate
– La 60 de zile, 47% din vulnerabilități nu au fost remediate

E timpul pentru patch-uri

Adevărul este că există pur și simplu prea multe CVE-uri publicate în fiecare lună, în prea multe sisteme, pentru ca echipele IT și de securitate ale companiilor să le remedieze pe toate. Prin urmare, accentul ar trebui pus pe prioritizarea efectivă în funcție de gradul de risc și de gravitate. Luați în considerare următoarele caracteristici pentru orice soluție de gestionare a vulnerabilităților și a patch-urilor:
– Scanare automată a mediilor de afaceri pentru CVE-uri cunoscute
– Prioritizarea vulnerabilităților pe baza severității
– Raportare detaliată pentru a identifica software-ul și activele vulnerabile, CVE-urile și patch-urile relevante etc.
– Flexibilitatea de a selecta anumite active pentru patch-uri în funcție de nevoile companiei
– Opțiuni de patching automate sau manuale

Pentru amenințările zero-day, luați în considerare detecția avansată a amenințărilor care analizează și scanează automat posibilele exploatări, executându-se într-o sandbox bazat pe cloud pentru a verifica dacă sunt sau nu malițioase. Algoritmii de învățare automată pot fi aplicați codului pentru a identifica amenințări noi cu un grad ridicat de acuratețe în câteva minute, blocându-le automat și oferind un status pentru fiecare mostră.

Alte tactici ar putea include microsegmentarea rețelelor, accesul la rețea pe bază de zero trust, monitorizarea rețelei (pentru comportamente neobișnuite) și programe de conștientizare a securității cibernetice robuste.

Pe măsură ce actorii de amenințare adoptă tot mai multe instrumente de inteligență artificială proprii, le va deveni tot mai ușor să scaneze activele vulnerabile care sunt expuse atacurilor ce provin dinspre mediul online. În timp, ar putea chiar să folosească GenAI pentru a identifica vulnerabilități zero-day. Cea mai bună apărare este să rămâneți informat și să mențineți un dialog periodic cu partenerii dvs. de încredere în securitate.