Dlaczego firmy nie powinny opóźniać aktualizacji oprogramowania – nawet po wadzie CrowdStrike

Zdjęcie: Oficjalna strona CrowdStrike

Awaria bezpieczeństwa technicznego CrowdStrike w lipcu ukazało prawdziwą współzależność – oraz kruchość – światowych systemów komputerowych. Śledząc szereg głośnych naruszeń danych, decydenci polityczni apelują do przedsiębiorstw, żeby zrobić więcej, aby naprawić słabość kodów oraz chronić system przed cyberprzestępcami. 

Nowe badanie zwraca uwagę na jedną prostą zmianę, jaką firmy mogłyby wprowadzić: aktualizowanie oprogramowania wcześniej po tym, jak ulepszone wersje trafiły na rynek. Badanie wykazuje, że jakieś 60 procent organizacji Stanów Zjednoczonych nadal używało popularnego oprogramowania serwera WWW ze znanymi poważnymi wadami bezpieczeństwa długo po tym, jak bezpieczniejsza wersja stała się dostępna.

„Nawet niektórzy informatycy, z którymi rozmawiałem, są zaskoczeni wynikami”.

Dlaczego? Koszt aktualizacji oprogramowania – zarówno pod względem czasu i pieniędzy – może spowodować, że firmy opóźnią aktualizacje systemów podatnych na ataki. Mówi Shane M. Greenstein, profesor administracji biznesowej Martina Marshalla w Harvard Business School. 

„Nawet niektórzy informatycy, z którymi rozmawiałem, są zaskoczeni wynikami” – mówi Greenstein. „Wiedzieli, że wiele firm opóźnia aktualizacje, ale nie w takim stopniu, jak pokazały dane”.

Wyniki badań odzwierciedlają, jak bardzo systemy komputerowe wielu firm są narażone na ataki hakerów – często dlatego, że firmy po prostu nie aktualizują ręcznie oprogramowania za pomocą poprawek do czasami poważnych wad zabezpieczeń, mówi Greenstein. Ma nadzieję, że wyniki mogłyby skłonić decydentów do zajęcia bardziej zdecydowanego stanowiska wobec firm, które nie ujawniają szybko znanych zagrożeń dla swoich systemów i nie reagują na nie.

Greenstein napisał artykuł wraz z Ravivem Murciano-Goroff, asystentem profesora w Boston University’s Questrom School of Business I Ran Zhuo, asystentem profesora w University of Michigan’s Ross School of Business.

Kompromisy aktualizacji oprogramowania

Badanie zespołu przypadkowo zadebiutowało w czasie intensywnym skupieniu się na aktualizacjach zabezpieczenia oprogramowania, po tym, jak ogromny krach technologiczny w lipcu dotknął miliony urządzeń z systemem Microsoft Windows używanych przez organizacje na całym świecie, w tym linie lotnicze, szpitale, centra powiadomienia ratunkowego oraz banki. Przyczyna awarii: Niewykryta wada w rutynowej, zautomatyzowanej aktualizacji oprogramowania platformy bezpieczeństwa Falcon zarządzanej przez CrowdStrike, ogromną firmę cyberbezpieczeństwa. 

„To, co się wydarzyło w CrowdStrike, jest ilustracją ryzyka natychmiastowego podjęcia aktualizacji”. 

Praca Greensteina skupia się na ręcznych aktualizacjach oprogramowania, w przeciwieństwie do automatycznych aktualizacjach CrowdStrike, jednak on wskazuje na dwa punkty sytuacyjne , które wskazują na nieodłączne ryzyko działania zbyt szybko lub zbyt wolno, jeśli chodzi o naprawianie wad w zabezpieczeniach. 

„Zawsze są kompromisy”- mówi Greenstein. „To, co się wydarzyło w CrowdStrike, jest ilustracją ryzyka natychmiastowego podjęcia aktualizacji, ponieważ od czasu do czasu pojawia się błąd. To rzadkie zjawisko, ale się zdarza. Drugi problem jest bardziej powszechny: opóźnianie aktualizacji i narażanie systemów na cyberataki”.

Ta rosnąca liczba cyberprzestępczości w ciągu ostatnich lat również wpłynęła na pracę naukowców. Autorzy wskazują na naruszenia tak szerokie, jak te wymierzone w biurze kredytowym Equifax oraz brytyjskim National Health Service, którym można było zapobiec, gdyby organizacje wcześniej uruchomiły dostępne aktualizacje oprogramowania. 

Śledzenie luk w oprogramowaniu

W ramach ich badania, Greenstein i jego współtwórcy zbadali luki w zabezpieczeniach Apache HTTP o otwartym kodzie źródłowym. Popularne oprogramowanie serwera www był użyty przez ponad 150,000 mediów i ogromne Organizacja Stanów Zjednoczonych pomiędzy latami 2000 i 2018, pozwalając autorom zbadać ogromny zbiór danych przez długi okres czasu.

Podczas tych lat, Apache wydało 115 aktualizacji oprogramowani, głównie mając na celu naprawienie 28 poważnych luk oraz 130 mniej poważnych luk. 

Używając danych z Apache, Internet Archive’s Wayback Machine oraz innych źródeł, autorzy mogli śledzić serwer oprogramowania, używanego do gospodarowania stron internetowych każdej organizacji w miarę upływu czasu – i gdy gospodarze zaktualizowali lub nie zaktualizowali oprogramowania do nowych wersji. 

Ponad połowa organizacji jest zagrożona

Autorzy znaleźli jeden dość zachęcający wynik: Około połowa firm naprawia poważne luki w ciągu roku i rutynowo docierają do „granicy” aktualizacji, przełączając na nowe wersje oprogramowania dość krótko po tym, jak alerty dotyczące luk w zabezpieczeniach zostały wydane, a nowe poprawki zostały udostępnione. 

Z drugiej strony około połowa firm była „zbyt daleko od granicy” – mówi Greenstein, niewykonujący aktualizacji przez dłuższy okres czasu, na przykład dwa lata, jeśli w ogóle, śledząc alerty Apache o wadach oprogramowania i poprawkach. 

Przeciętna firma zgromadziła dwie poważne wady, z powodu opóźnionych ręcznych aktualizacji po tym, jak alerty zostały wydane, a poprawki dostarczone, zgodnie z badaniem.

Jednak najbardziej niepokojące znalezisko: W ciągu 18 lat, średnio 57 procent organizacji działało z poważną wadą nawet po tym, jak wada została publicznie ujawniona, a poprawka była dostępna, jak wskazuje badanie.

Czy chodzi tylko o koszty?

Autorzy znaleźli dowód na to, że jednym z głównych czynników opóźnień są koszty, związane z aktualizacjami oprogramowania, zarówno pod względem pieniędzy, jak i zmarnowanego czasu, jeśli systemy są wyłączane w celu przeprowadzenia złożonych aktualizacji. Autorzy również podejrzewają, że niektóre firmy po prostu czekają z wykonaniem aktualizacji oprogramowania w ujęciu rocznym. 

„Cyberprzestępcy pojawiają się, gdy się pojawiają”.

„Ludzie powiedzieli nam, że wiele organizacji ma coroczne kalendarze, aby zaktualizować swoje oprogramowanie zabezpieczające”- mówi Greenstein. „Po prostu podejmują wyliczone ryzyko. Luki nie działają w kalendarzu. Cyberprzestępcy pojawiają się, gdy się pojawiają”.