To nie złudzenie - podatności przybywa jak nigdy. Jak zapanować nad sytuacją?

Masz wrażenie, że co chwilę instalujesz kolejne poprawki bezpieczeństwa? Nic dziwnego. Liczba podatności rośnie w błyskawicznym tempie¹, a zespoły IT nie są w stanie załatać ich wszystkich. Tak długo, jak ludzie piszą kod, będą pojawiać się błędy – a cyberprzestępcy doskonale wiedzą, jak je wykorzystywać. Skąd bierze się zalew podatności i jak sobie z nim radzić?

Łatanie podatności to nie tylko ochrona przed ransomware czy wyciekami danych. W dobie cyberwojen i ataków sponsorowanych przez państwa dziurawe oprogramowanie otwiera drzwi do jeszcze większych zagrożeń – operacji szpiegowskich, sabotażu infrastruktury czy destrukcyjnych ataków na krytyczne systemy. Gdy luka może zostać wykorzystana na masową skalę, szybkie i skuteczne zarządzanie podatnościami przestaje być wyborem – staje się koniecznością.

Skąd tyle dziur?!

Szybkie tempo rozwoju oprogramowania i model ciągłej integracji sprawiają, że systemy stają się coraz bardziej złożone, a częste aktualizacje otwierają nowe wektory ataku. Firmy chętnie wdrażają narzędzia bazujące na komponentach open source i zewnętrznych bibliotekach, które mogą skrywać nieznane podatności. Niestety, w wyścigu o innowacyjność bezpieczeństwo często schodzi na drugi plan – kod trafia do produkcji bez odpowiedniej weryfikacji, a błędy stają się częścią systemu

Kamil Sadkowski

analityk laboratorium antywirusowego ESET

Nie oznacza to jednak, że branża cyberbezpieczeństwa pozostaje bierna. Etyczni hakerzy intensyfikują swoje działania, a programy bug bounty organizowane przez gigantów, takich jak Pentagon czy Meta, pomagają w wykrywaniu i usuwaniu podatności. Problem w tym, że nawet jeśli luka zostanie załatana, wiele firm zwleka z aktualizacjami, pozostawiając swoje systemy otwarte na ataki. Cyberprzestępcy działają błyskawicznie – w 2023 roku średni czas wykorzystania nowej podatności skrócił się do zaledwie pięciu dni. Jeszcze kilka lat temu trwało to ponad miesiąc².

Zespoły IT stoją przed coraz większym wyzwaniem. Infrastruktura firm jest dziś mieszanką nowoczesnych środowisk chmurowych i przestarzałych systemów, które często działają w odseparowanych silosach. Na to nakłada się problem jakości poprawek – zdarza się, że łatki od dostawców są niedopracowane lub źle komunikowane, co prowadzi do niepotrzebnej powtórnej pracy i utrudnia ocenę faktycznego ryzyka.

Dodatkowym zagrożeniem jest profesjonalizacja cyberprzestępców. Coraz większą rolę odgrywają brokerzy pierwszego dostępu (IAB), którzy włamują się do podatnych systemów i sprzedają do nich dostęp. W 2023 roku ich liczba na forach cyberprzestępczych wzrosła o 45%, a liczba ofert na dark webie podwoiła się w ciągu roku³. Poza tym wiele podatności pozostaje niezałatanych przez długi czas – po miesiącu 85% nadal nie ma wdrożonej poprawki, a po dwóch miesiącach niemal połowa wciąż czeka na załatanie⁴.

I co z tym teraz zrobić?

Liczba nowych podatności publikowanych każdego miesiąca jest tak duża, że zespoły IT i bezpieczeństwa nie są w stanie załatać ich wszystkich. Próba wdrożenia każdej poprawki to walka z wiatrakami – zamiast tego kluczowe jest mądre priorytetyzowanie.

Zamiast próbować łatać każdą wykrytą podatność, firmy powinny skupić się na tych, które niosą największe ryzyko. Kluczowe jest skanowanie środowiska IT w poszukiwaniu znanych podatności oraz inteligentna ich priorytetyzacja według stopnia zagrożenia. Niezbędne są także szczegółowe raporty, które wskazują podatne systemy, dostępne poprawki i wpływ zagrożeń na organizację. Efektywne zarządzanie podatnościami cechuje także elastyczność – możliwość wyboru, które zasoby należy załatać w pierwszej kolejności, oraz równowaga między automatyzacją a kontrolą ręczną

Kamil Sadkowski

analityk laboratorium antywirusowego ESET

Szczególnym wyzwaniem są ataki zero-day, czyli wykorzystywanie podatności, zanim powstanie na nie poprawka. W takich przypadkach zaawansowana detekcja zagrożeń może znacząco zmniejszyć ryzyko. Technologie oparte na uczeniu maszynowym analizują kod, wykrywają potencjalnie nieznane zagrożenia i blokują je w czasie rzeczywistym. Coraz częściej stosuje się także tzw. piaskownice w chmurze, które automatycznie uruchamiają podejrzane pliki w izolowanym środowisku, aby sprawdzić ich zachowanie i sklasyfikować ryzyko.

Skuteczna strategia zarządzania podatnościami powinna obejmować również podejście warstwowe, np.:

• Mikrosegmentację sieci, ograniczającą możliwość lateralnego ruchu atakujących,
• Dostęp oparty na zasadzie zerowego zaufania (Zero Trust), eliminujący domyślne uprawnienia użytkowników i urządzeń,
• Monitorowanie sieci w poszukiwaniu nietypowej aktywności, mogącej świadczyć o próbach wykorzystania luk w zabezpieczeniach,
• Szkolenia z cyberbezpieczeństwa, które pomagają użytkownikom rozpoznawać zagrożenia i nie ułatwiać nieświadomie pracy atakującym.

Cyberprzestępcy coraz częściej wykorzystują narzędzia AI do skanowania internetu w poszukiwaniu podatnych systemów. W przyszłości sztuczna inteligencja może pomóc im nawet w odnajdywaniu nowych podatności zero-day. Dlatego najlepszą obroną jest stałe monitorowanie zagrożeń i współpraca z zaufanymi partnerami bezpieczeństwa, którzy pomogą dostosować strategię ochrony do dynamicznie zmieniającego się krajobrazu cyberataków.

Źródła:
¹Number of common IT security vulnerabilities and exposures | Statista
²Threat actors exploiting zero-days faster than ever | Welivesecurity
³Hi-Tech Crime Trends 2022/2023 | GROUP-IB
⁴2024 Data Breach Investigations Report | Verizon