Кто подложил уязвимости в мой патч?
Почему обновления не могут вас спасти
Фото Neeqolah Creative Works на Unsplash
Добро пожаловать в театр безопасности
Каждый патч безопасности несёт в себе что-то особенное как для защитников, так и для атакующих. За каждым «исправлением» неизбежно прокрадываются изменения — ещё больше кода, сделанного из тех же ошибочных материалов, что и оригинал!
И что ещё хуже, это чертёж для атакующих! Изменения состоят из двоичного кода, который можно сравнить так же легко, как и любые поведенческие изменения. Они ripe для обратной разработки.
ABP: Всегда Будьте Патчеными
ВНИМАНИЕ: Патч может содержать сегодняшние исправления (и обязательно завтрашние уязвимости.)
Реальность гораздо сложнее, чем хотелось бы. Спросите любого седого системного администратора о быстрых обновлениях, и вы услышите мудрость, добытую тяжёлым опытом: «Подождите полгода. Не будьте их бесплатным бета-тестером.»
Давайте на минуту задумаемся о дилемме ИТ-команды:
- Патчить прямо сейчас: риск сломать продакшн.
- Патчить позже: риск быть взломанными.
- Не патчить (или не иметь возможности): серьёзный риск быть взломанными.
- Защищаться и смягчать: укреплять системы, слабые шифры, менять пароли и т.д. У кого есть время на всё это?! Читать CVE? О, сладкое дитя, у меня для тебя плохие новости…
Лучшие намерения
Патчи тоже убивают системы — без всяких атакующих.
Инцидент с CrowdStrike в июле 2024 года доказал суровую правду: следование «лучшим практикам» не даёт иммунитета, когда непроверенный код обрушивает критическую инфраструктуру. В течение нескольких часов по всему миру были отменены рейсы, а больницы оказались в значительной степени парализованы.
Но игнорировать патчи? Это гарантированная эксплуатация известных уязвимостей.
Ложь, которую мы говорим себе
Бросание денег на безопасность часто даёт обратный эффект. Сложные многоуровневые средства управления становятся невозможными для администрирования — и невозможными для мониторинга.
Правильный уровень инвестиций? Оптимальные средства контроля? Идеальный баланс безопасности и удобства?
Зависит от ситуации. (Да, любимый ответ консультанта.)
Но на самом деле это хорошая новость: персонализированное управление рисками лучше универсальных решений.
Выходим из лагеря театра безопасности
Хватит театра — начинайте проактивное управление рисками.
Определите и задокументируйте всё, что имеет значение:
- Ваш реальный ландшафт угроз (а не FUD от вендоров)
- Расписания тестирования реагирования на инциденты и восстановления
- Допустимые простои, потерю данных и ущерб репутации
- Юридические обязательства, когда всё идёт наперекосяк
- Кто и что делает во время кризиса
Существуют ли универсальные лучшие практики? Да, хотя реализация различается:
Ключевые соображения
- Используйте аппаратные ключи безопасности, такие как YubiKey, для всех пользователей или как минимум требуйте passkeys.
- OTP подвержены социальной инженерии; аппаратные токены — нет.
- Требуйте MFA на всех сервисах повсеместно.
- Надёжные и проверенные резервные копии.
- Убедитесь, что облачная инфраструктура имеет автономные резервные копии — в идеале неизменяемые и географически распределённые.
- «Автономные» означает кросс-вендорные или кросс-аккаунтные (например, резервные копии AWS в GCP или Azure, или сторонние решения вроде Backblaze B2).
- Расширьте стратегии резервного копирования на устройства сотрудников, учитывая сценарии восстановления, такие как ненадёжный Wi-Fi на конференциях (в соответствии с SLA и целями восстановления).
- Убедитесь, что облачная инфраструктура имеет автономные резервные копии — в идеале неизменяемые и географически распределённые.
- Проводите ежеквартальные учения по восстановлению: разворачивайте полную инфраструктуру в неиспользуемом регионе с использованием резервных копий, снимков и инструментов инфраструктуры как кода.
- Размещайте CanaryTokens рядом с любыми реальными учётными данными, чтобы первыми узнать, когда начинается взлом.
Другая сторона страха
Знайте свой профиль риска: Какие данные вы защищаете? Какие угрозы имеют значение? Сколько простоя вы можете себе позволить? Что дешевле — восстановление или перестройка?
Учитывайте фактическое воздействие:
- Доступ к конфиденциальным данным (банковские операции/криптография)
- Уязвимости веб-приложений (XSS/CSRF)
- Риски цепочки поставок и угрозы со стороны инсайдеров
- Публичные сервисы (цели для zero-day)
- Допустимость ransomware, штрафов, ущерба репутации
Неприглядная правда: безопасность — это слои, а не серебряные пули. Глубокая защита, автономные резервные копии, учения по восстановлению, компенсирующие средства контроля. Относитесь к патчам как к необходимому злу, а не как к панацее.