Технологическую индустрию часто приводят в качестве примера быстрой адаптации и изменчивости перед лицом разрушительных изменений. Но сообщество информационной безопасности использует, по сути, те же методы защиты, что и несколько десятилетий назад, несмотря на то что картина угроз радикально изменилась, вслед за нуждами их заказчиков. Такая ситуация неприемлема и должна быть изменена для того, чтобы появились эффективные средства защиты от уязвимостей нулевого дня, считают эксперты.

В использовании незакрытых уязвимостей нет ничего нового. Злоумышленники искали и использовали новые ошибки в коде с самого появления ПО. А вот что действительно заметно изменилось в последние годы, так это масштаб использования уязвимостей нулевого дня и вид использующих их злоумышленников. Раньше это были в основном одиночные хакеры и некоторые высококлассные киберкриминальные группы. Теперь же уязвимости нулевого дня используются правительством, разведслужбами и группами хакеров, работающими под государственным контролем. В руках этих групп уязвимости нулевого дня представляют собой серьезную угрозу для организаций, на которые они нацелены и которые не могут вовремя патчить даже известные баги, не говоря уже о защите от атак через уязвимости нулевого дня.

«Не существует красной кнопки, которую вы можете нажать, чтобы это прекратилось. Это все будет продолжаться, — сказал Андреас Линд из шведской компании I Secure в среду в обсуждении на Virus Bulletin 2013. — Нам нужно выстроить наши приоритеты. Я предлагаю  вернуться к основам, а не покупать новые инструменты. Имеющиеся инструменты и так достаточно хорошо работают, если вы используете их правильно. У нас на самом деле есть хорошие инструменты. Нам просто нужно начать фокусироваться на действительно важных вопросах».

Линд сказал, что старая концепция глубоко эшелонированной защиты, которую кое-где в последние годы принято высмеивать, все еще работает в большинстве случаев, если организация правильно внедряет технологии, а не сидит сложа руки. Одним из ключей к успешной защите от не очень высококлассных злоумышленников, по его словам, является укрепление ПО за счет использования таких технологий, как ASLR и DEP, которые предотвращают множество обычных атак через повреждение содержимого памяти. Линд также сказал, что в последние годы число путей, которыми злоумышленник может проникнуть в систему, сократилось.

«Число векторов атаки, которые они могут использовать, снизилось, — сказал он. — Не так много места для них осталось».

Во многих случаях методы атак не являются безумно креативными разработками элитных групп, а скорее копиями методов, разработанных добропорядочными исследователями в области информационной безопасности.

«Эти люди на самом деле не пишут собственные эксплойты. Они просто роются в мусоре исследователей-безопасников», — заметил Линд.

Хотя большая доля внимания в СМИ и сообществе информационной безопасности и уделяется уязвимостям нулевого дня и новым атакам, большая часть ущерба в реальности наносится с помощью известных уязвимостей. «Закрытие этих дыр — дельный способ повышения эффективности своей защиты», — сказал Линд.

«Нам нужно знать, когда мы видим используемые злоумышленниками уязвимости в коде, что это не те, которые мы определили как критические, — сказал он. — Нам нужно заткнуть оставшиеся дыры. Нужно сделать то, что мы умеем, и делать это снова, и снова, и снова. Рано или поздно мир изменится, и мы должны измениться вместе с ним. Нам нужно лучше расставлять свои приоритеты. Нам нужно перестать вешать пользователям лапшу на уши насчет постоянно происходящих APT. Это не поможет».

Категории: Кибероборона, Уязвимости