Datorsäkerhet sker bara när programvaran hålls uppdaterad. Det borde vara en grundläggande princip för företagsanvändare och IT-avdelningar.
Det är det tydligen inte. Åtminstone för vissa Linux-användare som ignorerar att installera patchar, kritiska eller på annat sätt.
En färsk undersökning sponsrad av TuxCareett leverantörsneutralt företagsstödsystem för kommersiell Linux, visar att företag misslyckas med att skydda sig mot cyberattacker även när det finns patchar.
Resultaten visar att cirka 55 procent av de tillfrågade hade en cybersäkerhetsincident eftersom en tillgänglig patch inte tillämpades. Faktum är att när en kritisk eller högprioriterad sårbarhet upptäcktes tog 56 procent i genomsnitt fem veckor till ett år att åtgärda sårbarheten.
Målet med studien var att förstå hur organisationer hanterar säkerhet och stabilitet i Linux-produkterna. Sponsrat av TuxCare undersökte Ponemon Institute i mars 564 IT-anställda och säkerhetsutövare i 16 olika branscher i USA.
Data från respondenter visar att det tar för lång tid för företag att korrigera säkerhetsbrister, även när lösningar redan finns. Oavsett deras passivitet noterade många av de tillfrågade att de kände en tung börda från ett brett spektrum av cyberattacker.
Det här är ett problem som går att fixa, konstaterade Igor Seletskiy, VD och grundare av TuxCare. Det är inte för att lösningen inte finns. Det beror snarare på att det är svårt för företag att prioritera framtida problem.
“Människorna som bygger exploateringssatserna har blivit riktigt, riktigt bra. Det brukade vara 30 dagar var bästa praxis [for patching]och det är fortfarande en idealisk bästa praxis för många regler, säger TuxCares president Jim Jackson till LinuxInsider.
Huvudsakliga takeaways
Undersökningsresultaten avslöjar missuppfattningen att operativsystemet Linux inte är rigoröst och idiotsäkert utan ingripande. Så omedvetna användare aktiverar ofta inte ens en brandvägg. Följaktligen är många av vägarna för intrång ett resultat av sårbarheter som kan åtgärdas.
“Lappning är ett av de viktigaste stegen en organisation kan ta för att skydda sig mot ransomware och andra cyberattacker”, konstaterade Larry Ponemon, ordförande och grundare av Ponemon Institute.
Att patcha sårbarheter är inte bara begränsat till kärnan. Det måste utvidgas till andra system som bibliotek, virtualisering och databasbackends, tillade han.
I november 2020 lanserade TuxCare företagets första supporttjänst för utökad livscykel för CentOS 6.0. Det var väldigt framgångsrikt direkt, mindes Jackson. Men det som fortsätter att besvära honom är nya kunder som kommer för utökad livscykelsupport som inte har gjort någon patchning.
“Jag ställer alltid samma fråga. Vad har du gjort det senaste och ett halvt året? Ingenting? Du har inte patchat på ett år. Inser du hur många sårbarheter som har hopat sig under den tiden?” skämtade han.
Arbetsintensiv process
Ponemons forskning med TuxCare avslöjade problemen som organisationer har med att uppnå snabb korrigering av sårbarheter. Det var trots att man spenderade i genomsnitt 3,5 miljoner dollar årligen över 1 000 timmar per vecka för att övervaka system för hot och sårbarheter, lappa, dokumentera och rapportera resultaten, enligt Ponemon.
“För att ta itu med detta problem måste CIO:er och IT-säkerhetsledare samarbeta med andra medlemmar av det verkställande teamet och styrelsemedlemmar för att säkerställa att säkerhetsteamen har resurserna och expertis för att upptäcka sårbarheter, förhindra hot och korrigera sårbarheter i tid,” han sa.
Rapporten fann att respondenternas företag som gjorde patch tillbringade mycket tid i den processen:
- Den mest tid som ägnades varje vecka åt att patcha applikationer och system var 340 timmar.
- Övervakningssystem för hot och sårbarheter tog 280 timmar varje vecka.
- Att dokumentera och/eller rapportera om patchhanteringsprocessen tog 115 timmar varje vecka.
För sammanhanget hänför sig dessa siffror till ett IT-team på 30 personer och en arbetsstyrka på 12 000 i genomsnitt bland respondenterna.
Gränslösa ursäkter kvarstår
Jackson mindes många samtal med potentiella kunder som upprepade samma elaka berättelse. De nämner att investera i sårbarhetsskanning. De tittar på sårbarhetsrapporten som skanningen producerade. Sedan klagar de över att de inte har tillräckligt med resurser för att faktiskt tilldela någon att fixa de saker som dyker upp på skanningsrapporterna.
“Det är galet!” han sa.
En annan utmaning som företag upplever är det ständigt närvarande whack-a-mole-syndromet. Problemet blir så stort att organisationer och deras högre chefer bara inte kommer längre än att bli överväldigade.
Jackson liknade situationen vid att försöka säkra sina hem. Många motståndare lurar och är potentiella inbrottshot. Vi vet att de kommer för att leta efter de saker du har i ditt hus.
Så folk investerar i ett utarbetat staket runt sin fastighet och övervakar kameror för att försöka hålla ett öga på alla vinklar, alla möjliga attackvektorer, runt huset.
”Då lämnar de ett par fönster öppna och bakdörren. Det är ungefär som att lämna sårbarheter oparpade. Om du lappar det går det inte längre att exploatera”, sa han.
Så kom först tillbaka till grunderna, rekommenderade han. Se till att du gör det innan du spenderar på andra saker.
Automation gör lappning smärtfri
Patchproblemet är fortfarande allvarligt, enligt Jackson. Det kanske enda som förbättras är förmågan att tillämpa automatisering för att hantera mycket av den processen.
“Alla kända sårbarheter vi har måste åtgärdas inom två veckor. Det har drivit människor till automatisering för live-patchning och fler saker så att du kan möta tiotusentals arbetsbelastningar. Man kan inte börja med allt varannan vecka. Så du behöver teknik för att ta dig igenom det och automatisera det”, förklarade han som en fungerande lösning.
Jackson sa att han tycker att situationen blir bättre. Han ser att fler människor och organisationer blir medvetna om automationsverktyg.
Till exempel kan automatisering applicera patchar för öppna SSL- och G- och C-bibliotek, medan tjänsterna använder dem utan att behöva studsa tjänsterna. Nu finns livepatchning av databaser tillgänglig i beta som gör att TuxCare kan applicera säkerhetskorrigeringar på Maria, MySQL, Mongo och andra typer av databaser medan de körs.
“Så du behöver inte starta om databasservern eller någon av klienterna de använder. Att fortsätta driva medvetenhet hjälper definitivt. Det verkar som att fler människor blir medvetna och inser att de behöver en sådan lösning, säger Jackson.