Незалежно від того, наскільки старанно ви оновлюєте програмне забезпечення, підтримуєте пристрої у відповідності чи блокуєте мережі, ви зіткнетеся з уразливістю безпеки. Візьмемо як приклад проблему з кореневим доступом macOS High Sierra 2017 року.

Ось в чому ми переконалися:

  1. Жодна операційна система не застрахована від проблем безпеки
  2. Постачальники операційної системи та/або програмного забезпечення повинні швидко усувати вразливі місця безпеки та випускати оновлення
  3. Управління пристроєм, і зокрема керування виправленнями, більше не просто приємно мати
  4. Форуми спільноти, такі як Jamf Nation і Slack, надають миттєву та цінну інформацію про те, як розв’язувати проблеми

Уразливість High Sierra дозволила користувачеві або зловмиснику отримати доступ до Mac із налаштуваннями за замовчуванням без пароля, за умови, що зловмисник мав фізичний доступ до пристрою. Ця проблема також дозволяла звичайним користувачам, які вже ввійшли на пристрій, отримати підвищені привілеї в системних налаштуваннях, отримати доступ через сценарій і, що найважливіше, у вікні входу.

Протягом 24 годин Apple випустила оновлення безпеки для High Sierra (HT208315) і розмістила оновлення на всіх відповідних комп’ютерах, автоматично оновлюючи пристрої.

У цьому випадку Apple надала швидку 24-годинну відповідь, але це не завжди можливо залежно від складності вразливості та розташування вашої системи. Організації можуть вжити заходів для усунення вразливостей системи безпеки як до застосування глобального оновлення, так і коли для усунення проблеми потрібна ручна дія.

Реагування на вразливі місця безпеки

Посібник NIST з обробки інцидентів комп’ютерної безпеки перелічує ці чотири етапи життєвого циклу реагування на інциденти:

Підготовка

Цей етап часто закладає основу для того, як буде діяти ваша реакція на інцидент. Маючи встановлені процедури, ви обмежуєте пошук ресурсів і дії, поки дані вашої компанії знаходяться під активною загрозою. На цьому етапі ваша компанія повинна забезпечити належний персонал для врегулювання інцидентів, включаючи людей з технічними знаннями в мережах, адмініструванні серверів, безпеці тощо. Керівництво також має бути готовим до координації реагування та зв’язку з відповідними зацікавленими сторонами. Команди повинні добре розуміти кібератаки та структуру атак, мати хороший план комунікації та стратегію реагування.

Виявлення та аналіз

Ключем до виявлення загроз є розуміння базової активності вашої мережі. Інфраструктури порівняльного аналізу, такі як CIS Benchmarks, надають посібник із налаштування вашої системи. За допомогою програмного забезпечення безпеки та керування подіями (SIEM) відстежується ваша мережа та сповіщається про підозрілу активність. Виведені журнали дають уявлення про вашу мережеву активність, надаючи вам можливість виявляти аномалії.

Після виявлення інциденту група реагування на інцидент повинна проаналізувати та підтвердити його, дотримуючись попередньо визначеного процесу. Цей аналіз має визначити масштаб, походження та спосіб інциденту. Цей процес має бути добре задокументований, щоб інформувати про наступні кроки.

Стримування, викорінення та відновлення

Інциденти необхідно локалізувати, зберігаючи, якщо це можливо, докази, які допомагають визначити джерело та метод атаки. Наприклад, якщо пристрій піддається атаці через мережу, його можна ізолювати від мережі, але продовжити працювати для подальшого аналізу. В ідеалі можна зібрати інформацію про походження атаки.

Після стримування загрозу слід пом’якшити, незалежно від того, чи це означає видалення зловмисного програмного забезпечення, відключення зламаних облікових записів, виправлення вразливостей або відновлення систем із чистих резервних копій.

Діяльність після інциденту

Після усунення інциденту ваша організація повинна витратити час, щоб проаналізувати, як вирішували інцидент, щоб покращити процес у майбутньому. Залежно від того, як стався інцидент, команди повинні розробити політики та процедури для запобігання або виявлення вразливостей, перш ніж вони перетворяться на активні експлойти. Це може включати інвестиції в SIEM або додаткове навчання для співробітників, започаткування або розширення практики пошуку загроз або розширення обсягу вже чинних оцінок ризиків.

Проактивний, а не реактивний

За допомогою рішення для керування мобільними пристроями (MDM) адміністратори мають право надсилати обхідні шляхи на свої пристрої до того, як розробник виправить уразливість. Наприклад, якщо програма у вашому каталозі самообслуговування повідомляє про потенційну проблему, ви можете швидко заборонити користувачам доступ до програми, доки проблему не буде вирішено. На керованому комп’ютері Mac MDM, наприклад Jamf Pro, використовує двійковий файл на додаток до MDM, що дає вам такі можливості:

  1. Можливість писати сценарії та розгортати їх за допомогою політик для вирішення тимчасових налаштувань/виправлень, поки ви очікуєте виправлення від постачальника програмного забезпечення.
  2. Сповіщення про виправлення, щоб знати, коли сторонній патч видається від постачальника.
  3. Політики виправлення для автоматичного розповсюдження виправлення на комп’ютери, які потребують його для швидкого виправлення.
  4. Можливість оновлення або оновлення (коли операційна система або постачальник програмного забезпечення випускає апгрейд та апдейт). Незалежно від того, чи виконується виправлення критичного програмного забезпечення за допомогою надійного двійкового файлу чи спрощеної команди MDM, такі постачальники, як Jamf, дають ІТ-спеціалістам можливість негайно надсилати важливі оновлення всім кінцевим користувачам і закривати вразливі місця в безпеці до того, як система буде скомпрометована.

Рішення MDM дає вам можливість реагувати на щойно виявлені вразливості системи. MDM у тандемі з безпекою кінцевих точок і рішенням для керування ідентифікацією та доступом (IAM), таким як Jamf Connect, покращує вашу безпеку, використовуючи його для проактивності. Ось кілька функцій, які надає ця комбінація, щоб захистити ваші пристрої до того, як з ними трапиться інцидент:

  • Керування ідентифікацією: використання SSO з обліковими даними постачальника хмарної ідентифікації оптимізує процес автентифікації користувача та зменшує ймовірність зламу облікових даних.
  • Доступ до мережі з нульовою довірою (ZTNA): ZTNA безкомпромісно обмежує доступ до ресурсів компанії, якщо користувач успішно не підтвердить свою особу.
  • Безпека кінцевої точки: пристрої користувачів постійно та непомітно контролюються на наявність зловмисного програмного забезпечення для швидшого виявлення.
  • Аналітика: відстеження кінцевих точок на наявність зловмисного програмного забезпечення також дає аналітику поведінки, щоб запобігти перетворенню вразливостей на експлойти.
  • Фільтрація вмісту: обмеження доступу до ризикованих сайтів зупиняє зловмисне програмне забезпечення ще до того, як воно потрапляє на радари користувача.
  • Видимість і відповідність: MDM дають вам можливість підтримувати пристрої в актуальному стані з останніми виправленнями безпеки та операційними системами, підтримуючи їх сумісність і максимальну безпеку.

Apple надавала своєчасну відповідь, і адміністратори могли бачити їхню роботу в режимі реального часу. І хоча Apple відреагувала швидко, багато організацій воліли б не чекати, поки інший постачальник виправить значні вразливості. Завдяки таким спільнотам, як Jamf Nation і Slack, ІТ-адміністратори часто мають знання, а завдяки платформі Jamf — повну можливість швидко розгортати обхідні шляхи та найновіші виправлення, щойно їх випустить розробник.

 

Оригінал статті на сайті Jamf