Надежность — палка безопасности о двух концах

В последнее время очень часто приходится слышать о том, что мол сегодня производители ИТ-продукции не заинтересованы в выпуске надежной продукции и специально делают продукты так, чтобы они «жили» не больше 1-2 лет, тем самым заставляя пользователей переходить на более дорогие новые модели своих товаров. При этом все приговаривают, что, мол, в прошлом, такой проблемы не было и оборудование или софт могли работать годами, не требуя обслуживания и обновлений. Возможно, что среди производителей ИТ действительно есть заговор, который направлен на «вымогательство» денег у пользователей, подсевших на новомодные гаджеты (в т.ч. и корпоративные), но поговорить мне хотелось бы о не об этом, а о пресловутой надежности, которая… становится угрозой для безопасности.

Да-да, именно так. Надежность играет злую шутку со специалистами, которые просто забывают про наличие в своем парке целого спектра давно и надежно работающих систем. Давайте возьмем к примеру статистику по оборудованию Cisco. Недавно мы проанализировали 115 тысяч устройств и выявили интересную, но печальную тенденцию, которая очень хорошо доказывает известное многим айтишникам правило «работает — не трогай». 92% проанализированных нами устройств, доступных через Интернет, содержало известные уязвимости и их среднее число составляло 26 на устройство. Легендарная надежность Cisco привела к тому, что про это оборудование многие «забывали», уделяя внимание более уязвимым платформам.

При этом многие организации применяли в своей сети устаревшее программное обеспечение, которое уже снято с производства. Причем в списке «лидеров» — розничные предприятия, страховщики, банки и ИТ-компании.

Еще интереснее выглядит ситуация с организациями, которые используют не просто устаревшее и уязвимое ПО, но ПО, для которого наступил уже срок завершения поддержки. А это значит, что никаких обновлений они уже не получат, что открывает двери злоумышленникам. Оборудование же по-прежнему надежно работает и выполняет стоящие перед ним задачи. Тут в лидерах банки, которые славятся своим консерватизмом, но в данном случае это уже перебор.

Все это следствие фактора времени и отсутствия необходимости пересмотра своей стратегии развития сети и ИБ. Многие компании строили свои сети еще десять лет назад и с тех пор практически ничего в них не меняли, следуя уже упомянутому принципу «работает — не трогай» и ссылаясь на дороговизну обновления. Однако с момента создания сети ситуация сильно поменялась — и зависимость от инфраструктуры существенно выросла, и злоумышленники стали более активными, чем 10 лет назад.

Вывод из этой неутешительной статистики ясен — если этого еще не сделано, то пора внедрять процесс управления изменениями и управления конфигурацией в информационной системе предприятия. А иначе верх над этим процессом возьмут злоумышленники со всеми вытекающими отсюда последствиями и по-прежнему надежно работающим оборудованием.

ЗЫ. Цифры взяты из ежегодного отчета Cisco по информационной безопасности.