יותר מ-18 אלף חולשות אבטחה התגלו ב-2020 לבדה. כיצד אפשר להתמודד עם הצפה של חולשות והמתקפות שמגיעות בעקבותיהן? כל מה שצריך לדעת על מדיניות Patch Management ויישום הכלים שלה.
נשיא ארה”ב הוא כנראה אחד האנשים העסוקים בעולם. כל המשברים העולמיים והפנים-אמריקאיים – ולא חסרים כאלו – מתנקזים לשולחנו של נשיא המעצמה המובילה. זו הסיבה שעולם הטכנולוגיה הופתע כאשר ג’ו ביידן מצא את הזמן לפרסם בחודש מאי האחרון הוראה נשיאותית הנוגעת לעולמות הגנת הסייבר. אותה הוראה כללה התייחסות ספציפית ומפורשת לצורך הקריטי של כלל מוסדות הממשל האמריקאי לתקנן ולהסדיר את תחום הטלאת חולשות מוכרות במערכות המחשוב – תהליך המוכר בשם Patch Management.
עדכון התוכנה שהיה מונע מתקפה גלובלית
הרקע למהלך הנשיאותי הוא מלחמת הסייבר הגלויה והחשאית שמתנהלת ומתעצמת בין הארגונים הלגיטימיים בעולם – ממשלתיים ועסקיים כאחד – ובין ארגוני פשיעת סייבר וגורמים מדינתיים המנצלים את מרחבי הסייבר לריגול וחבלה. כמעט בכל שבוע אנחנו קוראים או שומעים על מגה-מתקפה שבוצעה נגד גופי ממשלה או ארגונים עסקיים – עניין שהפך לאתגר מהמעלה הראשונה.
הנושא של Patch Management מלווה את עולם המחשוב כבר יותר משני עשורים, והוא מתייחס לתחום שמיועד לחסום את האפשרות של האקרים לנצל חולשות מוכרות – כאלה שהספקיות הזהירו מפניהן בצורה פומבית ואף פרסמו להן טלאי.
דוגמה למתקפה מהסוג הזה, שגם הייתה אחת הראשונות שהיו בעלות אופי גלובלי והרסני היא מתקפת תוכנת הכופר WannaCry. התוכנה הזדונית, שהפצתה החלה במאי 2017, גרמה להצפנה של מידע על גבי יותר מ-230 אלף מחשבים בכ-150 מדינות, ולנזק כלכלי שהוערך בטווח של מאות מיליוני דולרים ועד 4 מיליארד דולרים. תוכנת הכופר ניצלה חולשה מוכרת וידועה במערכת ההפעלה למחשבים אישיים ושרתים מסוג Windows, שדווחה על ידי חברת מיקרוסופט כמעט חודשיים קודם לכן, וכללה טלאי תוכנה שפורסם על מנת לחסום את החולשה. אלא שמרבית הארגונים בעולם לא טרחו להטמיע את עדכון התוכנה, ומכאן ועד למתקפה גלובלית הדרך כבר הייתה קצרה.
הסדק שהפך לשבר
אלא שמה שהיה לפני שנים אחדות סדק הפך בשנתיים האחרונות לשבר גדול. על פי נתונים שפרסמה הסוכנות הפדרלית CISA, בשנת 2020 לבדה זוהו כ-18 אלף חולשות חדשות – מה שמדגיש לדעתה של הסוכנות את הצורך שקיים במגזר הממשלתי, אך גם בעסקי, לתעדף את התחום של ניהול החולשות ולהסדיר את התחום המנהל את תהליך ההטלאה של החולשות.
נתון נוסף אותו חשפה CISA נוגע למהירות שבה האקרים מנצלים חולשה שפורסמה על ידי ספקית טכנולוגיה. נתוני הסוכנות מראים כי מתוך החולשות המוכרות שנוצלו על ידי האקרים, 42% נוצלו לביצוע תקיפות כבר במהלך היממה הראשונה לפרסומן; 50% תוך יומיים מהפרסום; ו-75% תוך 28 ימים מהפרסום. הנתון הפנומנלי הזה מצביע על הפער בין המהירות של התוקפים לאיטיות של מקצועני הסייבר.
למעשה, כאשר מדובר על הפצת טלאים (Patches) בתוך הארגון, הרי שההערכות מדברות על זמן ממוצע להטלאה – (Mean Time To Patch (MTTP – העומד על 60-150 ימים. זהו פער בלתי נסבל, והמשמעות שלו היא אחת: עד שהארגונים מבצעים הטלאה הם כבר יכולים להיות מותקפים דרך אותה חולשה, ואולי אף להיפרץ.
הערכות שונות מצביעות על כך שמקורן של 40%-60% מכלל הפריצות לארגונים הוא בחולשות מוכרות שהוכרזו על ידי ספקיות הטכנולוגיה. כך לדוגמה, דו”ח של חברת המחקר Ponemon מראה כי 42% מכלל הארגונים סבלו מפריצת סייבר שמקורה בניצול חולשות שלא עודכנו בטלאי תוכנה, שכבר היה זמין.
אז איך עושים ניהול עדכוני תוכנה נכון?
כל הנתונים מלמדים אותנו כי קיים צורך דחוף במגזר הארגוני לנהל את התחום של Patch Management בצורה יסודית בהרבה מזו שהייתה נהוגה עד היום, ושארגונים נדרשים להשקיע בתחום משאבים ניהוליים נאותים, משאבי כוח אדם ומשאבים כספיים הנדרשים כדי לחסום את הפרצה הגדולה והנפוצה הזאת.
אז איך עושים ניהול עדכוני תוכנה – Patch Management – בצורה נכונה?
1. תנו גב למקצועני הסייבר שלכם: אחד הדברים הראשונים שצריך להבין הוא שמדובר במאמץ מתמשך, בלתי פוסק, סיזיפי, שאין בו ניצחונות גדולים. בעולם של ניהול עדכוני תוכנה אף אחד לא קיבל פרס על מתקפה שהוא מנע בגלל שהתקין עדכון תוכנה בזמן. אם כבר, מקצועני הסייבר העובדים בתחום הטלאת התוכנה מדווחים על קשיים תפעוליים שהם נתקלים בהם בתוך הארגון – גורמים עסקיים שמעדיפים להימנע מהורדה של מערכות לטובת עדכוני תוכנה, תיאומים מסובכים בתוך הארגון לביצוע של הפעילות ועוד. מנהלים נדרשים להבין שעליהם לתעדף את הפעילות הזו גבוה באג’נדה התפעולית-ארגונית שלהם.
2. השקיעו את כמות המשאבים הנדרשת: ארגונים רבים עדיין אינם מתקצבים בצורה נאותה את תחום הפעילות הזה, שנחשב לבעל אופי רוטיני וחסר ברק. למרות מתקפות העבר והמחקרים המעידים על כך שמדובר בווקטור תקיפה משמעותי, ארגונים עדיין אינם מבצעים את ההשקעות הנדרשות כדי להטמיע בצורה יעילה ומהירה את עדכוני התוכנה הנדרשים לחסימה של המתקפה הבאה. בהקשר זה כדאי להזכיר – הנזק הכלכלי לארגון שתגרום מתקפה אחת מוצלחת, שתנצל חולשה מוכרת שטרם עודכנה, יהיה גבוה לאין שיעור מכלל ההשקעות שהארגון נדרש לבצע כדי לחסום את המתקפה מבעוד מועד.
3. קבעו מדיניות מעשית: הארגון נדרש לקבוע מתודולוגיה סדורה לניהול תחום עדכוני התוכנה. המדיניות הזו צריכה להביא בחשבון את הדרישות של אנשי אבטחת המידע מצד אחד, את דרישות הרגולציה מצד שני ואת הצרכים של הארגון מצד שלישי. המדיניות הזו צריכה להיות ברורה לכלל המשתמשים בארגון, לשמש עבורם מצפן ולהכפיף אותם לסט של כללים החוזר על עצמו. המדיניות מיועדת לאפשר יישום של טלאי תוכנה במהירות האפשרית מבלי לפגוע בפעילותו השוטפת של הארגון.
4. אספו מודיעין: העולם של ניהול עדכוני תוכנה מוצף במידע המגיע מספקיות התוכנה ומרשויות סייבר מקומיות ובינלאומיות. על מקצועני הסייבר האמונים על פעילות הטלאת התוכנה לבצע איסוף מסודר של מקורות המידע השונים, להבין את המשמעויות של כל אחד מהם, לתעדף אותם ולהכניס אותם לעבודה בצורה מסודרת. אם הארגונים אינם מסוגלים לבצע את הפעילות הזו בעצמם, מומלץ להיעזר ביועצים חיצוניים שיעזרו להם בכך.
5. השתמשו בכלים מתקדמים: בעולמות המתמחים בניהול עדכוני תוכנה פותחו פלטפורמות ייעודיות הכוללות אלמנטים של AI, לימוד מכונה ואוטומציה, שמיועדים לאפשר את ביצוע הפעילות בצורה מהירה יותר ויעילה. כלים מסוג זה גם יכולים לספק תמונת מצב טובה יותר של מצב החולשות בארגון ותובנות לגבי האפשרויות בהן ניתן לסגור את הפערים. אם קיים לחץ גדול על המשאבים הכספיים של הארגון, פלטפורמות מבוססות AI יכולות לספק יתרון באמצעות הטכנולוגיה שלהן.
לפרטים נוספים אודות פתרונות בנושא צור עימנו קשר