Versenyfutás a fenyegetésekkel: a kiberbiztonsági frissítések összetett folyamatai

2024.07.29.

A szoftverfrissítési folyamat kudarca időnként katasztrofális következményekkel is járhat, ahogyan azt a CrowdStrike hibás frissítése által okozott, világszerte tapasztalt leállások is megmutatták.

A kiberbiztonság gyakran a gyorsaságról szól. Ha egy kártékony szoftverrel vagy támadó kóddal kerülünk szembe, a kiberbiztonsági vállalatoknak a lehető leggyorsabban reagálniuk kell az új fenyegetésre. A naprakész védelem szükségessé tette a felhőalapú észlelőrendszerek és a végponteszközök frissítését a kockázatok elleni védelem biztosításához. A gyorsaság tehát kulcsfontosságú, mivel a kiberbiztonsági iparág feladata a fenyegetések azonnali észlelése, blokkolása és az azokra való gyors reagálás.

A kiberbiztonsági cégek általában jelentős erőfeszítéseket tesznek annak érdekében, hogy a megjelentetett frissítéseikkel elkerüljék az operációs rendszerekkel vagy más termékekkel kapcsolatos ütközéseket, hibákat, emiatt olyan automatizált tesztkörnyezetekkel dolgoznak, amelyek különböző operációs rendszerek, rendszer-illesztőprogramok és hasonló szoftverek különböző verzióinak valós körülményeit szimulálják, működésük közben ellenőrzik.

Ezt az automatikus tesztelési folyamatot bizonyos esetekben emberek is felügyelik, ami egy kiegészítő biztosítékot jelent arra vonatkozóan, hogy minden folyamatot és eljárást alaposan végigkövettek, és nem maradtak-e ütközések. Ebben a munkafolyamatban esetenként harmadik felek is részt vehetnek, például egy operációs rendszer gyártója, amely a kiberbiztonsági szolgáltatótól függetlenül tesztelhet, hogy a hivatalos kibocsátás után biztosan elkerüljék az esetleges kritikus helyzeteket, problémát okozó leállásokat.

Egy tökéletes világban a céges kiberbiztonsági csapat előbb a saját teszt környezetében ellenőrzi a szoftverfrissítéseket, és meggyőződik arról, hogy abban nincs semmilyen összeférhetetlenség. Amennyiben az adott frissítés nem okoz problémát, megkezdődhet annak ütemezett bevezetése immár a teljes vállalati rendszerben, esetleg ott is részletekre bontva. Ezzel a bevált gyakorlattal erőteljesen csökkenthető a kockázata annak, hogy jelentősebb probléma léphessen fel az éles üzletmenetben.

A kiberbiztonsági termékfrissítések esetében a folyamat azonban sokszor nem így zajlik,  hiszen azokat ugyanolyan sebességgel kellene bevezetni, mint ahogy a fenyegetés terjed, jellemzően szinte azonnal. Így ha a frissítési folyamat esetleg sikertelen, az katasztrofális következményekkel járhat, ahogyan azt a CrowdStrike szoftverfrissítése is bizonyította, a kék halál képernyők megjelenésével és egész szektorok leállásával megbénítva a hétköznapi megszokott működést.

Mindez nem okvetlenül a gyártó hozzá nem értését mutatja, hanem valószínűleg  tesztelési mulasztás, a frissítések vagy a konfigurációk hiányos ellenőrzése okozhatta az incidenst. A mostani esetben nem befolyásolta ezt a folyamatot rosszindulatú külső szereplő, de valós incidensekben gyakori, hogy rosszindulatú támadók is beavatkoznak az ilyen folyamatokba. Ez most a jelen esetben gyakorlatilag kizárható.

Mit érdemes leszűrnünk mindebből?

Mindenekelőtt azt, hogy minden kiberbiztonsági szolgáltatónak szigorúan ellenőriznie kell a saját frissítési folyamatait, megbizonyosodva arról, hogy abban nincsenek hiányosságok, valamint meg kell vizsgálnia, hogy hogyan lehet megerősíteni az ezzel kapcsolatos biztonsági, minőségbiztosítási eljárásait. Az is fontos tanulság, hogy amikor egy vállalat jelentős piaci pozíciót ér el, akkor a széleskörű dominanciája oda vezethet, hogy az informatikai infrastruktúra nagymértékben egyszereplőssé válik a vállalatoknál. Ebben az esetben egyetlen műszaki incidens is globális szintű biztonsági problémákhoz, világméretű szolgáltatás-kimaradásokhoz vezethet. A kiberbiztonsági szakemberek gyakran használnak olyan kifejezéseket, mint a „mélységi védelem” vagy a „védelmi rétegek”, ami több fajta technológia és a legtöbb esetben több különböző gyártó termékeinek a használatára utal annak érdekében, hogy megakadályozzák a potenciális támadásokat, rugalmassabbá tegyék az architektúrát, miközben nem egyetlen szolgáltató megoldásaira támaszkodnak.

Mindeközben viszont nem szabad megfeledkeznünk arról sem, hogy leggyakrabban kik állnak a számítógépes incidensek mögött, hiszen éppen  a kiberbűnözők és a nemzetállamok támadói miatt van szükségünk naprakész, valós idejű védelemre.