Тот факт, что программное обеспечение содержит уязвимости, не должен удивлять. Люди пишут программное обеспечение, и люди совершают ошибки. В результате программное обеспечение содержит ошибки, которые могут быть использованы злоумышленником. Хотя некоторые организации работают над внедрением программ DevSecOps, чтобы уменьшить количество уязвимостей, попадающих в производственный код, не все организации делают это, и даже самая лучшая программа DevSecOps может пропустить некоторые уязвимости. В результате веб-приложения (и другое программное обеспечение) содержат уязвимости, которые могут подвергнуть риску пользователей.
Содержание
После обнаружения уязвимости у организации есть несколько вариантов ее устранения. Одним из вариантов является попытка устранить все уязвимости в среде организации. Другой вариант — развертывание брандмауэра веб-приложений (WAF) или решения для самозащиты приложений во время выполнения (RASP) для выполнения «виртуального исправления». Применение одного из этих двух подходов крайне важно, так как большинство утечек данных происходит из-за неспособности исправлять уязвимости на производстве.
Управление уязвимостями является сложной задачей
Управление уязвимостями является жизненным фактом для многих организаций. В последние годы ежегодно обнаруживается более 22 000 новых уязвимостей. Хотя это уже большое число, оно не включает все ранее обнаруженные уязвимости (которые все еще могут существовать в системах организации) или уязвимости, которые остаются необнаруженными или нераскрытыми.
Попыткаисправление каждой уязвимости в сетевой среде организации может представлять собой серьезную проблему для бизнеса. Чтобы устранить уязвимость с помощью исправлений, организация должна узнать о существовании уязвимости, приобрести и протестировать предоставленное поставщиком исправление, применить его ко всем затронутым системам и протестировать, чтобы определить, было ли исправление применено успешно. Этот процесс, если он проходит идеально, может потребовать от организации значительных ресурсов. Для крупной организации стоимость только потери производительности, связанной с исправлением уязвимости, может исчисляться сотнями тысяч долларов. Кроме того, эта оценка не включает время и усилия команды безопасности в процессе приобретения, тестирования, применения и проверки патчей.
Огромное количество уязвимостей, которые организация должна устранить, может легко перегрузить ИТ-отдел и службу безопасности организации. Это может привести к задержкам в установке исправлений, что может оставить организацию открытой для атак. Нередко киберпреступники используют уязвимости, для которых недавно были выпущены исправления. Выпущенный патч дает хакеру подсказки относительно уязвимости, для устранения которой он был разработан, что облегчает разработку эксплойта. Во многих случаях организации, управляющие уязвимостями в основном с помощью патчей, вступают в гонку с киберпреступниками (и проигрывают ее).
Пропущенные исправления приводят к утечкам данных
Несмотря навысокие затраты, связанные с исправлением уязвимости, то затраты, связанные с неспособностью должным образом управлять уязвимостями, могут быть еще выше. Согласно недавнему исследованию, до 60% утечек данных могут быть связаны с тем, что не удалось устранить уязвимость, для которой существовало и было общедоступно исправление.
Расходы, связанные с утечкой данных, могут быть чрезвычайно высокими. В среднем, стоимость утечки данных исчисляется миллионами долларов, поскольку организациям приходится проводить дорогостоящие расследования, уведомлять пострадавшие стороны, оплачивать услуги адвокатов, урегулирование споров и штрафы регулирующих органов. Однако это только те затраты, которые легко поддаются количественной оценке. После крупного инцидента репутация и имидж бренда организации страдают, что часто требует дополнительных усилий для их восстановления. Потеря имиджа также может привести к снижению лояльности клиентов и продаж, что означает, что истинная стоимость нарушения может быть гораздо выше, чем непосредственные затраты на устранение последствий.
Поскольку большинство утечек данных связано с неспособностью устранить уязвимости в развернутом коде, управление уязвимостями должно быть приоритетом для всех организаций и влечет за собой высокую цену за неудачу. Однако стоимость и усилия, связанные с устранением уязвимостей, означают, что многие организации с трудом справляются с этой задачей.
Достижение масштабируемого управления уязвимостями
Организации сталкиваются с абсурдным количеством уязвимостей, которые необходимо устранять для защиты от кибератак. В то время какОрганизация может быть затронута лишь частью из 60 новых уязвимостей, раскрываемых каждый день (в среднем), устранение даже нескольких уязвимостей в день с помощью исправлений может наложить значительное бремя на команду безопасности и отвлечь внимание от работы по защите организации от атак.
Хотя применение обновлений и исправление уязвимостей — хорошая идея, это не единственный (и даже не лучший) метод защиты приложений от эксплуатации. Такие решения кибербезопасности, как брандмауэр веб-приложений или самозащита приложений во время выполнения, способны выполнять «виртуальное исправление» для защиты уязвимого приложения от атак.
Виртуальное исправление не требует от организации применения исправлений для устранения уязвимостей в приложении. Вместо этого WAF или RASP-решение встает между приложением и потенциальным злоумышленником. Зная об общих уязвимостях, WAF или RASP-решение может блокировать попытки использования известных уязвимостей, делая приложение таким же безопасным, как если бы был установлен соответствующий патч.
Устранение уязвимостей с помощью патчей немасштабируемо и неустойчиво, а потенциальные последствия пропуска даже одного патча (или применения его слишком поздно) значительны, о чем свидетельствует тот факт, что большинство случаев утечки данных связаны с отсутствием патча. Решения WAF и RASP обеспечивают гораздо более масштабируемое решение проблемы управления уязвимостями, поскольку они требуют только список последних уязвимостей, чтобы практически»исправления» приложений, а не сложный процесс управления исправлениями.
