V roce 2017 zasáhl ransomware WannaCry přes 200 000 organizací ve 150 zemích. Způsobená škoda se odhaduje na 4 miliardy dolarů. Přitom záplata na zranitelnost EternalBlue (MS17-010), kterou WannaCry využíval, existovala dva měsíce před útokem. Organizace, které záplatu aplikovaly, nebyly zasaženy vůbec.
WannaCry je nejznámější, ale rozhodně ne ojedinělý případ. Statistiky opakovaně ukazují totéž: drtivá většina úspěšných kybernetických útoků využívá známé zranitelnosti, na které záplata existuje. Problémem není nedostatek záplat - problémem je jejich nedůsledná aplikace.
Proč nezaplátované systémy představují takové riziko
Každá softwarová zranitelnost dostane při zveřejnění identifikátor CVE (Common Vulnerabilities and Exposures) a skóre závažnosti CVSS (Common Vulnerability Scoring System) na škále 0-10. Skóre 9 nebo vyšší označuje kritickou zranitelnost - takovou, která útočníkovi umožní vzdálené spuštění kódu bez autentizace, tedy kompletní převzetí systému.
Problém je v časovém rase. Jakmile je CVE zveřejněno, začíná souběžně několik procesů:
- Bezpečnostní komunita analyzuje zranitelnost a hledá protiopatření
- Výrobce softwaru vyvíjí a testuje záplatu
- Útočníci vyvíjejí exploit - a jsou v tom často rychlejší
Studie Ponemon Institute zjistila, že průměrná organizace aplikuje kritické záplaty za 60 až 150 dnů od jejich zveřejnění. V porovnání s průměrem 15 dnů, za které útočníci vytvářejí funkční exploit, jde o nebezpečné okno zranitelnosti.
Zero-day vs. n-day exploity
Zero-day je zranitelnost, pro kterou záplata ještě neexistuje. Jsou vzácné, drahé a používají je zejména státní aktéři nebo vyspělé kriminální skupiny. N-day exploity naopak útočí na zranitelnosti, které jsou veřejně známé a záplata na ně existuje - a jsou odpovědné za naprostou většinu reálných útoků. Firmy, které pravidelně patchují, jsou vůči n-day exploitům prakticky imunní.
Jak funguje efektivní patch management
Patch management není jen „spuštění Windows Update." Je to strukturovaný proces, který zahrnuje inventarizaci, prioritizaci, testování a nasazení záplat v celém IT prostředí - včetně serverů, síťových prvků, průmyslových systémů a třetích stran.
Inventarizace aktiv - základ všeho
Nemůžete patchovat to, o čem nevíte. Prvním krokem je kompletní a aktuální inventář všech softwarových aktiv: operační systémy, aplikace, firmware síťových prvků, middleware, knihovny třetích stran. Nástroje jako Qualys, Tenable.io, Microsoft Defender for Endpoint nebo open-source OpenVAS umožňují automatické skenování a identifikaci nainstalovaného softwaru včetně verzí.
V reálném prostředí středně velké firmy bývá šokující zjištění: IT oddělení si myslelo, že spravuje 200 systémů, skutečný inventář odhalí 340 - včetně zapomenutých serverů, vývojových prostředí a BYOD zařízení.
Prioritizace záplat: co patchovat první
Aplikovat vše okamžitě není realistické. Prioritizace musí vycházet z kombinace závažnosti zranitelnosti a expozice systému:
- Kritické (CVSS 9-10): Záplata do 24-72 hodin. Žádná výjimka.
- Vysoké (CVSS 7-8,9): Záplata do 7-14 dnů.
- Střední (CVSS 4-6,9): Záplata do 30 dnů.
- Nízké (CVSS pod 4): Záplata do 90 dnů nebo při nejbližším maintenance okně.
Klíčový faktor, který CVSS skóre samo o sobě nezohledňuje, je kontext expozice. Středně závažná zranitelnost na serveru exponovaném do internetu může být naléhavější než kritická chyba v izolovaném interním systému. Moderní vulnerability management platformy přidávají kontext: je zranitelnost aktivně exploitována in the wild? Existuje veřejný exploit? Je systém dostupný z internetu?
Testování před nasazením
Záplaty samotné mohou způsobit problémy - výpadky aplikací, nekompatibility, přerušení závislostí. Proto je nutné záplaty testovat před nasazením do produkce:
- Testovací prostředí (sandbox) s kopií produkčního prostředí
- Aplikace záplaty na testovací skupinu (pilot group)
- Monitoring po dobu 24-72 hodin
- Postupný rollout do zbytku prostředí (staged deployment)
- Rollback plán pro případ problémů
V případě kritických záplat, kde riziko nezapatchování výrazně převyšuje riziko výpadku, se přistupuje k urychlené proceduře s kratší dobou testování - ale testování se nikdy nevynechává úplně.
Automatizovaný vs. manuální patch management
Malé firmy do 50 zařízení si mohou dovolit manuální přístup s pomocí nástrojů jako Windows Server Update Services (WSUS) nebo Intune. Pro větší organizace je manuální správa záplat neudržitelná - příliš mnoho systémů, příliš mnoho záplat, příliš mnoho výjimek.
Nástroje pro automatizaci
Komerční platformy pro patch management (Patch My PC, ManageEngine Patch Manager Plus, Ivanti, Tanium) umožňují:
- Automatické skenování zranitelností v reálném čase
- Centrální správu záplat pro všechny operační systémy i aplikace třetích stran
- Plánování maintenance oken pro minimalizaci výpadků
- Reportování a auditní záznamy pro compliance
- Automatické nasazení záplat s definovanými schvalovacími workflows
Automatizace dramaticky zkracuje dobu od vydání záplaty k její aplikaci - a tím zmenšuje okno zranitelnosti. Neznamená to ale „set and forget." Záplaty se stále musí monitorovat, výjimky dokumentovat a výsledky reportovat vedení.
Systémy, které nelze snadno patchovat
Zvláštní kapitolou jsou průmyslové řídicí systémy (OT/ICS), zdravotnická zařízení a starší legacy systémy. Zde patchování může být omezeno výrobcem, certifikačními požadavky nebo rizikem výpadku kritického procesu. Pro tyto systémy platí kompenzační opatření: síťová segmentace, monitoring anomálií a pravidelné přehodnocování rizik.
Efektivní patch management není jen technická záležitost - je to organizační proces vyžadující jasnou odpovědnost, zdroje a pravidelné reportování vedení. Pokud si nejste jistí stavem záplat ve vaší organizaci, tým SecureOn.cz provede vulnerability assessment a pomůže nastavit celý proces od inventarizace po automatizované nasazení záplat.