Juli 30, 2019
Wie macht a kostenloser Software-Patch am Ende 700 Millionen Dollar kosten?
Wenn Sie es nicht installieren.
Der größte Datendiebstahl der Geschichte ist eine harte Lektion für die Bedeutung eines Patch-Management Richtlinie vorhanden.
Eine harte Lektion in Sachen schwache Patching-Praktiken
Im September 2017 gab Equifax bekannt, dass es einen Datendiebstahl erlitten hatte, bei dem die persönlichen Daten von 150 Millionen Menschen offengelegt wurden. Kreditkarteninformationen, Sozialversicherungsnummern und andere einzigartige Informationen wurden gestohlen. Laut einer aktuellen CNN ArtikelEquifax wird zwischen 300 und 400 Millionen US-Dollar zahlen, um die betroffenen Personen durch Kreditüberwachungsdienste zu entschädigen, und weitere 275 Millionen US-Dollar an zivilrechtlichen Bußgeldern.
Was die Öffentlichkeit vielleicht am meisten ungläubig machte, war die Kenntnis des Verstoßes hätte verhindert werden könnenDie Schwachstelle im Netzwerk war ein kritischer Patch für Webanwendungen, den Apache zwei Monate zuvor veröffentlicht hatte. Equifax gab zu, dass ihnen die Schwachstelle bekannt war. Flicken aber hatte es nicht installiert.
Laxe Patch-Management-Richtlinien bergen enorme Risiken
Obwohl Equifax der bisher größte bekannte Datendiebstahl ist, gibt es keine Branche, die nicht anfällig für Cyberangriffe ist. Das Ziel sind möglicherweise nicht persönliche Daten. Cyberkriminelle stellen eine Bedrohung dar für Stromnetze, Regierungsdaten, High-Tech- Entwürfe, Geräte in Krankenhäusern, und Kontrollen, die den Transport zum Erliegen bringen könnten. Weitere berüchtigte Angriffe sind:
• Das 2003 SQL Slammer-Wurm (ist es schon so lange her?) traf jeden ungepatchten SQL-Server im Internet; 75,000 SQL-Instanzen in 10 Minuten. Der Microsoft-Patch war sechs Monate lang verfügbar.
• Das 2017 WannaCry Ransomware-Angriff 45 NHS-Krankenhausgruppen im ganzen Land wurden offline genommen, trotz einer zweimonatigen Warnung des NHS und eines Patches von Microsoft.
• Das University of Washington Medical Center (UW Medicine) hatte 2018 973,024 Datensätze verletzt nachdem eine Sicherheitslücke im Webserver nicht behoben wurde. Die Dateien enthielten Patienten persönliche Gesundheitsinformationen (PHI).
Keine Branche ist vor Ausbeutung gefeit. Das größte Risiko besteht dort, wo es schlechte Patch-Überwachung und Einsatzpraktiken. Patchen wird strikt durchgesetzt in der Energie- und Versorgungsindustrie, sollte aber angesichts der Menge an persönlichen Informationen und geschützten Daten, die auf dem Spiel stehen, eine zentrale IT-Initiative in jeder Branche sein.
Patch-Management erfordert die richtige Technologie
Patch-Veröffentlichungen (Software und Firmware) können aus mehreren Quellen stammen, einschließlich dem Hersteller, Patch-Erkennungsquellenund manuelle Websuchen nach Legacy-Assets. Das Problem ist nicht, dass die IT nicht weiß, So finden Sie einen PatchDas Problem (und die Chance) des Unternehmens besteht darin, eine Patch-Management Politik, die eine zentralisiertes Trackingsystem für alle vernetzten Anlagen. Dadurch ist das zuständige Personal für die Patches innerhalb eines festgelegten Zeitrahmens verantwortlich. Darüber hinaus können kritische Patches eskaliert werden, sobald ein Patch-Hinweis kommt an.
Gute Cyber-Vigilanz ist eine Investition. IT und OT können nicht länger isoliert existieren, da Netzwerke und Geschäftssysteme zusammenwachsen. Die beste Rendite erzielt man durch die Nutzung mehrerer Quellen für Patch-Informationen und die Informationen durch einen zentralen Prozess zur Behebung von Problemen mit unumstößlichen Aufzeichnungen der erbrachten Leistungen zu leiten.
Eine zentralisierte Lösung sollte sich in alle Cyberüberwachung und Berichtssysteme, um eine zentrale Informationsquelle für alle Patch-bezogenen Aktionen bereitzustellen. Die Investition in ein „Kommandozentrum“ hilft IT-Betrieb und IT-Sicherheit, jeweils für ihren Teil verantwortlich zu sein. Schutz der IT-Infrastruktur. Wenn IT und OT mithilfe von Software zusammenarbeiten, die Daten sammelt und die menschliche Komponente des Patchens automatisiert, sind bessere Ergebnisse zu erwarten.
Fazit
Es ist Zeit, von Blick auf Patch-Management Richtlinien und Technologie als IT-Kostenstelle. Berücksichtigen Sie vielmehr die Kosten eines Sicherheitsverstoßes und den Zugriff auf die wertvollsten Informationen Ihres Unternehmens. Da Geräte intelligenter und Software komplexer werden, nehmen Schwachstellen und damit auch Patches zu. Zusammenfassend lässt sich sagen, dass eine proaktive Patch-Management-Richtlinie auf Basis automatisierter Regeln sollte ein kritisches Element jeder Defense-in-Depth-Informationssicherheitspraxis sein. Ein Unternehmenssystem, das Maßnahmen und Verantwortlichkeiten für Patch-Management über alle IT- und OT-Ressourcen hinweg werden sie gegen böswillige Akteure deutlich besser abschneiden.
