Бесплатно Экспресс-аудит сайта:

29.08.2020

Выпуск огромного числа патчей в один день влечет риски и стресс для IT-команд

По наблюдениям специалистов, число сообщений об уязвимостях в 2020 году может оказаться на уровне либо превысить показатели прошлого года, однако выбор времени раскрытия информации о проблемах чреват стрессом и рисками для IT-команд организаций.

Согласно новому отчету компании Risk Based Security, в первом квартале текущего года число предупреждений об уязвимостях было ниже, при этом количество опасных уязвимостей выросло. Тренды демонстрируют, что сейчас показатели возвращаются к нормальному уровню, однако существует ряд факторов, которые могут повлиять на ситуацию не в лучшую сторону.

Одним из таких факторов является почти одновременный выпуск патчей крупными компаниями, например, Microsoft и Oracle. Microsoft положила начало практике выпуска обновлений в рамках «вторника исправлений», которую со временем переняли и другие компании - Adobe, SAP, Siemens и Schneider Electric. Нередко Apple, Mozilla, Intel и Cisco также выпускают патчи в один день. К примеру, 14 апреля нынешнего года были опубликованы предупреждения о 506 уязвимостях, информацию о 79% из них раскрыли семь различных вендоров. 14 июля показатель составил 491 уязвимость, причем 67% из них относились к продуктам Microsoft и Oracle.

По словам исследователей, в нынешнем году число уязвимостей в решениях Microsoft возросло на 150%, что может быть связано с большей открытостью компании к отчетам об уязвимостях от сторонних исследователей, а также большим объемом кодовой базы Windows 10 по сравнению с Windows 7. На втором месте в списке лидеров фигурирует Oracle (612 раскрытых уязвимостей), далее следуют Google (563), Red Hat (550), SUSE (519), IBM (446), Dell (430), Cisco (376), Canonical (363), организация Software in the Public Interest (293).

Перечень решений с наибольшим числом уязвимостей включает Windows 10 (478), openSUSE Leap (464), Windows Server 2019 (436), Windows Server Semi-Annual Channel (425), Windows Server 2016 (366), Ubuntu (362), Red Hat Enterprise Linux (353), Google Pixel/Nexus (314), Debian Linux (292).

Рост числа сообщений об уязвимостях влечет за собой сложности для команд безопасности. Хотя Microsoft проводит тестирование перед выпуском обновлений, компания не может учесть все конфигурации и вероятности, в результате организациям приходится тестировать патчи самостоятельно, отмечается в отчете.

«Могут пройти дни или недели, прежде чем им [IT-командам] дадут добро на установку патчей в производственной сети. Все это делает организации более уязвимыми», - говорят специалисты.

Учитывая скорость появления вредоносных эксплоитов для свежераскрытых уязвимостей, команды безопасности вынуждены сортировать, тестировать и устанавливать патчи в короткое время. К тому же, с ростом числа уязвимостей, которые нужно устранить, процесс ранее занимавший несколько часов, может занять весь день.

Software in the Public Interest, Inc. (SPI) - некоммерческая организация, созданная в 1997 году с целью помочь другим организациям создавать и распространять свободное программное обеспечение и открытые аппаратные решения. Любой человек имеет право подать заявку на членство в организации.