Как искусственный интеллект помогает снизить риск утечки информации с помощью управления исправлениями

Для многих ИТ-специалистов и специалистов по безопасности это медленное сгорание в течение нескольких месяцев семидневной рабочей недели в попытках восстановиться после взлома, которого можно было избежать.Для CISO и CIO это удар по их карьере за то, что они допустили утечку информации, которой можно было избежать. А для совета директоров и генерального директора - ответственность за взлом, особенно если речь идет о публичной американской компании.

Арсеналы злоумышленников становятся все лучше в поиске непропатченных систем

В «темной паутине» процветает рынок новейших наборов и инструментов для выявления систем и конечных точек, которые не были правильно пропатчены и имеют давние общие уязвимости и уязвимые места (CVE).

I.P. сканеры и наборы эксплойтов, предназначенные для выявления конкретных CVE, связанных с широко используемым на предприятиях программным обеспечением, продаются киберпреступниками в «темной паутине». Наборы эксплойтов постоянно обновляются новыми уязвимостями, что является ключевым моментом для злоумышленников, которые ищут системы, не имеющие актуальных патчей, чтобы оставаться защищенными.

CYFIRMA подтверждает, что были найдены наборы эксплойтов для популярного программного обеспечения, включая Citrix ADC, Microsoft Streaming Service Proxy и PaperCut. Однако исследование также показало, что предложение патчей после крупной бреши CVE является лишь в некоторой степени эффективным.Злоумышленники продолжают использовать давно известные уязвимости в CVE, зная, что организации, имеющие уязвимые CVE, с большой долей вероятности не патчили их уже год или более. Согласно недавнему отчету, 76 % уязвимостей, которые в настоящее время используются группами вымогателей, были впервые обнаружены в период с 2010 по 2019 год.

VentureBeat стало известно о том, что системы небольших и средних производителей на Среднем Западе США были взломаны из-за того, что на них не были установлены патчи безопасности. У одного из них были взломаны системы кредиторской задолженности, причем злоумышленники перенаправляли проводки кредиторской задолженности ACH, чтобы направить все платежи на нелегальные, не отслеживаемые оффшорные счета.

Не только производители страдают от кибератак, которые начинаются с устаревших или вообще не установленных патчей. 13 мая в городе Хельсинки (Финляндия) произошла утечка данных, поскольку злоумышленники использовали непропатченную уязвимость в сервере удаленного доступа.

Печально известная атака Colonial Pipeline с выкупом была приписана непропатченной VPN-системе, в которой также не была включена многофакторная аутентификация. Злоумышленники использовали скомпрометированный пароль, чтобы получить доступ к сети трубопровода через непропатченную систему.Согласно последнему отчету Ivanti о состоянии кибербезопасности, 27 % отделов безопасности и ИТ-отделов не согласовывают свои стратегии исправлений, а 24 % не согласны с циклами исправлений. Когда безопасность и ИТ-отделы не на одной волне, перегруженным работой ИТ-отделам и службам безопасности становится еще сложнее сделать управление исправлениями приоритетной задачей.

Шесть из десяти случаев взлома связаны с непропатченными уязвимостями. Большинство ИТ-руководителей, ответивших на опрос Ponemon Institute, - 60 % - утверждают, что одна или несколько брешей могли произойти из-за того, что патч для известной уязвимости был доступен, но не был своевременно применен.

ИТ-отделы и службы безопасности откладывают управление исправлениями до тех пор, пока не произойдет вторжение или попытка взлома. В 61 % случаев внешнее событие инициирует деятельность по управлению исправлениями на предприятии. Находясь в режиме реагирования, ИТ-команды, уже перегруженные приоритетами, откладывают другие проекты, которые могут принести прибыль. В 58 % случаев речь идет об активно эксплуатируемой уязвимости, которая снова толкает ИТ-отдел в реактивный режим исправления патчей. Семьдесят один процент ИТ-специалистов и специалистов по безопасности утверждают, что это слишком сложно, обременительно и отнимает много времени.

Пятьдесят семь процентов тех же ИТ-специалистов и специалистов по кибербезопасности говорят, что удаленная работа и децентрализованные рабочие места делают управление исправлениями еще более сложным.