RSAC 2019: w poszukiwaniu idealnej strategii instalacji łat

„Przepraszam, czy poświęci mi pan chwilę, aby porozmawiać o aktualizacjach bezpieczeństwa?”.

„Przykro mi, jestem zbyt zajęty instalowaniem łat”.

Jednak mówiąc poważnie, warto zatrzymać się i zastanowić nad tym, jak efektywnie zarządzamy instalacją łat.

W świecie idealnym instalowalibyśmy wszystkie łaty do całego oprogramowania wykorzystywanego w firmie tuż po ich udostępnieniu. Jednak w prawdziwym życiu jest to nieco bardziej skomplikowane, a na instalację łat nigdy nie ma wystarczająco dużo czasu — co skutkuje wyznaczaniem priorytetów. Czym się kierować?

Podczas konferencji RSA Conference 2019 Jay Jacobs z organizacji Cyenta Institute i Michael Roytman z Kenna Security zaprezentowali badanie dotyczące etiologii wykorzystania luk. W swoim raporcie eksperci zastanawiali się, jakie luki wymagają większej uwagi i w jaki sposób można znacząco ulepszyć strategię instalacji łat i aktualizacji bezpieczeństwa.

Najważniejszym przesłaniem raportu była informacja, że w praktyce nie wszystkie luki są wykorzystywane. Zakładając, że jest to prawda, znakomitą większość aktualizacji można bezpiecznie odroczyć, dając wyższy priorytet tym lukom, które rzeczywiście mogą (i najprawdopodobniej zostaną) wykorzystane podczas ataku. Jednak w jaki sposób odróżnić „niebezpieczne” luki od tych „w większości nieszkodliwych”?

Dysponując opisami z bazy powszechnie znanych luk i zagrożeń (ang. Common Vulnerabilities and Exposures, CVE) oraz publicznie dostępnymi bazami exploitów, a także informacjami pochodzącymi ze skanerów luk i systemów IPS/IDS (łącznie 7,3 miliarda wpisów o atakach i 2,8 miliarda luk w 13 milionach systemów), badacze przygotowali model, który całkiem dobrze radzi sobie z tym zadaniem. Zanim go omówimy, pokrótce przeanalizujemy krajobraz luk.

Ile znanych luk i zagrożeń istnieje na wolności?

Każdy ekspert ds. bezpieczeństwa informacji powie, że liczba znanych luk jest ogromna. Ale niewielu (jeśli ktokolwiek) zna dokładną liczbę. Do tej pory opublikowano około 108 000 rekordów na temat luk i zagrożeń.

Należy również wspomnieć, że na przestrzeni kilku ostatnich lat liczba miesięcznych publikacji wzrosła: w latach 2005–2017 w każdym miesiącu publikowano około 300–500 informacji o CVE, pod koniec 2017 roku średnia miesięczna wartość przekroczyła 1 000 i utrzymuje się na tym poziomie do chwili obecnej. Oznacza to, że każdego dnia odkrywane są dziesiątki nowych błędów.

O istnieniu exploita powszechnie wiadomo na krótko przed lub tuż po poinformowaniu o wykryciu luki lub zagrożenia. Istnieją oczywiście wyjątki, jednak w większości przypadków to okno czasowe wynosi około dwóch tygodni w okolicy daty upublicznienia CVE. Zatem wykrycie błędu wymaga szybkiej reakcji.

Jak wiadomo, tempo instalacji aktualizacji jest nieco wolniejsze. Zazwyczaj miesiąc po wykryciu załatana jest tylko jedna czwarta luk. Wyeliminowanie połowy z nich zajmuje 100 dni, a rok później pozostała jedna czwarta nadal jest niezałatana.

Ponad dwie trzecie niezałatanych luk istnieje w produktach zaledwie trzech producentów. Nie trzeba tu tęgich głów, aby zgadnąć, którzy to producenci i które produkty:

Równocześnie dla 77% powszechnie znanych luk i zagrożeń nie istnieje exploit. Ciekawe jest również to, że nie wszystkie upublicznione luki można spotkać w rzeczywistości — ze 108 000 CVE w środowiskach istnieje tylko 37 000, a zaledwie 5 000 CVE zarówno można spotkać na wolności, jak i wykorzystać. To właśnie te luki muszą mieć wyższy priorytet — najpierw jednak należy je poprawnie zidentyfikować.

Obecne strategie instalacji łat

Badacze sprawdzili znaczenie strategii instalacji na dwa sposoby: udział „niebezpiecznych” luk w łącznej liczbie załatanych (skuteczność) i odwrotnie — udział załatanych luk w łącznej liczbie tych „niebezpiecznych” (eliminacja).

Jeśli powyższa grafika wygląda znajomo, to prawdopodobnie dlatego, że nie jest nowa

Jedna z ogólnie akceptowanych strategii instalacji łat opiera się na systemie oceny zagrożenia wynikającego z luk w zabezpieczeniach (ang. Common Vulnerability Scoring System, CVSS), gdzie wyższy priorytet otrzymują luki, których wynik CVSS przekracza określoną wartość. Obliczenie poziomu skuteczności i eliminacji dla CVSS z wynikiem 10 daje odpowiednio odsetek 23% i 7%. Co ciekawe, dokładnie taki sam wynik (przynajmniej według tych miar) można osiągnąć poprzez losową instalację łat.

Najpopularniejsze podejście — łatanie wszystkiego, co posiada „wysoką” ocenę CVSS (na poziomie 7 lub więcej) — daje znacznie lepsze wyniki. Podejście to nie jest złe w spojrzeniu całościowym, jednak wymaga czasu, ponieważ wymaga nadania priorytetu instalacji dla wielu łat.

Alternatywna strategia polega na priorytetyzacji łat według producenta. Z uwagi na to, że producenci dysponują różnymi danymi w zakresie stosunku liczby rzeczywistych exploitów do łącznej liczby CVE, logiczne może się wydawać nadanie priorytetu tym producentom, których produkty zawierają luki o większym prawdopodobieństwie wykorzystania.

Jednak patrząc na poziom skuteczności i eliminacji, strategia ta okazuje się gorsza niż losowe łatanie — jest o połowę mniej skuteczna.

Zatem na dłuższą metę podejście to jest gorsze od tego, które wykorzystuje system CVSS.

Model obliczania prawdopodobieństwa wykorzystania luk

W ten sposób przechodzimy do modelu utworzonego przez badaczy. Porównując dane z opisów powszechnie znanych luk i zagrożeń, publicznie dostępnych baz danych o exploitach i systemów IPS/IDS, zespołowi udało się zidentyfikować zestaw oznak mający wpływ na poziom prawdopodobieństwa wykorzystania luki w praktyce.

Na przykład oznaki takie jak powiązania CVE z firmą Microsoft lub obecność exploita w bazie narzędzia Metasploit znacząco zwiększają prawdopodobieństwo wykorzystania danej luki.

Z drugiej strony niektóre oznaki zmniejszają poziom prawdopodobieństwa wykorzystania danej luki — na przykład gdy luka jest obecna w przeglądarce Safari, gdy exploit został opublikowany w bazie ExploitDB (co nie jest zbyt wygodne dla celów praktycznych) czy obecność w opisie CVE określonych zwrotów. Łącząc te wskaźniki, badaczom udało się obliczyć prawdopodobieństwo wykorzystania dla każdej konkretnej luki.

Aby sprawdzić dokładność tego modelu, badacze porównali swoje prognozy z danymi pochodzącymi z prawdziwych ataków. Okazało się, że:

• Dla luk posiadających minimalne prawdopodobieństwo wykorzystania model ten działa dobrze.
• Model ma skłonności do zawyżania prawdopodobieństwa wykorzystania luk, dla których prawdopodobieństwo wykorzystania jest średnie.
• Dla luk z wysokim prawdopodobieństwem wykorzystania model ten ma skłonności do zaniżania zagrożenia.

W związku z tym model ten nie jest idealnie dokładny, ale ogólnie działa. Na tej podstawie badacze utworzyli trzy strategie instalacji łat: bardzo skuteczna, zrównoważona i z maksymalnym poziomem eliminacji.

Na koniec kilka porad od badaczy:

• Zastanów się, czy w swojej strategii instalacji łat możesz używać czegoś innego niż systemu CVSS.
• Sprawdź, w jaki sposób luki otwarte/zamknięte są zapisane w infrastrukturze.
• Zacznij gromadzić dane z czujników na temat exploitów, które zostały użyte w atakach na Twoje zasoby.
• Gdy zgromadzisz sporą ilość danych, użyj ich do obliczenia skuteczności, poziomu eliminacji i nakładu pracy w infrastrukturze.
• Porównaj wartości z innymi strategiami priorytetyzacji.

Zgadzamy się z badaczami, że ręczna instalacji łat bez zastosowania konkretnej strategii to marnowanie zasobów. Jednak my stosujemy inne podejście: Kaspersky Systems Management (będący częścią rozwiązania Kaspersky Security for Business) stosuje monitorowanie luk i podsystemy instalacji łat.

Dzięki temu potrafimy szybko identyfikować luki, nadawać im stosowny priorytet i eliminować je. Oprócz ocen systemu CVSS nasze podejście do priorytetyzacji wykorzystuje informacje z Kaspersky Security Network. Na przykład jeśli nasze systemy widzą, że luka jest wykorzystywana, jej priorytet wzrasta. Więcej informacji na temat tej technologii jest dostępnych tutaj.