Виртуальный патчинг – надежный метод?
Все, кто читает бюллетени безопасности Microsoft, а также новостные сводки об обнаружении очередных уязвимостей в Java и других продуктах Oracle, знают, что каждый месяц, как правило, обнаруживается несколько уязвимостей различного уровня рисков — от незначительных до критических. В большинстве случаев уязвимости ПО позволяют нарушить работу только отдельной системы, но иногда и запустить вредоносный код на атакуемой машине, скачать конфиденциальные данные или даже получить полный контроль над сервером. И именно эта «системность и регулярность» обнаружения уязвимостей заставляет специалистов в области информационной безопасности задумываться о максимально быстром и своевременном устранении «лазеек» в защите корпоративных систем.
Один из методов ускорения данного процесса — виртуальный патчинг на базе решений IPS и других систем фильтрации трафика, однако применяется он далеко не всегда, и тому есть сразу несколько причин.
Во-первых, «заплатка» может быть еще не выпущена производителем ПО на тот момент, когда данные об уязвимости будут уже опубликованы в открытом доступе, а значит — хакеры уже могут использовать их. Во-вторых, установка обновлений может потребовать прерывания в работе системы, а в случае с критически важными для непрерывности бизнеса элементами инфраструктуры, например, системами ERP или логистическими системами, такое положение дел является крайне нежелательным.
Виртуальный патчинг
Чтобы сохранить доступность систем для бизнес-пользователей, одновременно минимизируя риски, некоторые специалисты применяют стратегию виртуального патчинга, когда внешний и внутренний трафик, способный эксплуатировать определенную уязвимость, автоматически блокируется на устройствах защиты от вторжений IPS и на сетевых экранах.
Преимущества данного подхода очевидны: можно снизить риск злонамеренного доступа к системе, в которой будет обнаружена уязвимость, а реальный патч установить по мере выпуска обновления производителем ПО, причем выбрав для этого ночное время суток или выходные, когда требования к доступности информационной системы не столь высоки.
Однако применение виртуального патчинга предусматривает формирование целой превентивной стратегии обеспечения безопасности от эксплойтов уязвимостей. И не удивительно, что у руководителей департаментов ИТ возникает целый ряд вопросов: насколько подобный подход улучшает реальную картину рисков в компании? Сколько дополнительного времени ИТ-специалистов нужно выделить на настройку систем и поиск сообщений об уязвимостях? Какие системы нужно защищать подобным способом, а какие — нет? И наконец, оценит ли руководство применение виртуального патчинга, и что будет, если, несмотря на виртуальную защиту, система все же будет скомпрометирована?
