Перейти к содержанию

Какое ПО следует обновлять в первую очередь | Блог Касперского


Рекомендуемые сообщения

Установка обновлений — это по определению процесс бесконечный. Настолько бесконечный, что на обновление вообще всего имеющегося в инфраструктуре софта и примкнувшего к нему железа может просто не хватать ресурсов. В среднем каждый день — и не только рабочий — находят десятки новых уязвимостей и, соответственно, каждый месяц выпускают многие сотни и даже тысячи заплаток для них.

Возникает вопрос: какие обновления должны быть в приоритете? Вообще говоря, однозначного ответа на него нет. Стратегии установки патчей могут быть очень разными, и какая из них сработает лучше в вашем случае — зависит от разных обстоятельств. В этом же посте я собираюсь порассуждать о том, что стоит обновлять в первую очередь, исходя из потенциальной опасности эксплуатации уязвимостей.

Уязвимости есть? А если найду?

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем. Просто обычно их находят там, где больше ищут. Конечно, можно использовать какой-то всеми забытый программный продукт, потому что в нем еще не ступала нога человека не обнаруживали уязвимости. Но это плохая политика: а ну как копнут и найдут сразу пачку?

Поэтому, если уж на то пошло, обращать внимание надо не на количество багов, найденных в том или ином софте, а на время реакции разработчика и, что тоже немаловажно, качество этой реакции. Если заплатки выпускают быстро и регулярно — это хорошо. Если медленно, спорадически и каждый раз изо всех сил пытаются делать вид, что ничего страшного не случилось, — это плохо, вот такого софта стоит избегать.

Еще полезно, когда у разработчика есть программа «баг баунти». Вообще отлично, если она открыта для всех желающих. А вот информация о том, что компания-разработчик угрожала судебными исками обнаружившим дырку исследователям (да-да, такое бывает чаще, чем можно было бы подумать) или действительно потащила кого-то за найденные уязвимости в суд, — это совсем плохо.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты
Quote

Некоторые считают, что количество обнаруженных уязвимостей говорит о качестве программного продукта. Иначе говоря, если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили. И, соответственно, учитывают эти соображения при выборе софта для компании.

Это, разумеется, заблуждение: количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. Баги есть во всем.

Автор либо повторяет заблуждение других в статье, либо заблуждается сам, но не понимает, где именно.

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили

Построено так, будто оба утверждения являются одним целым, но это заблуждение. И мало того, тут ещё недопустимые упрощения. Смотрите:

Quote

если где-то постоянно обнаруживают дырки, то это плохая программа

Кажется, что да. Однако:

  • Находят уязвимости ITW ("в дикой природе") или же находят сами разработчики или нанятые ими аудиторы? Если первое - программа действительно плохая. Если второе - разработчики делают аудит и постоянно следят за качеством
  • Уязвимости потенциальные или легко эксплуатируемые? Если первое — это вовсе не так страшно, как можно подумать. Иногда вплоть до "это не считается". Потому что стоимость атаки, напомню, должна быть ниже стоимости данных. И атаки на _потенциальные_ проблемы могут быть абсурдно дорогими, вплоть до того, что под силу только государствам. Если же проблемы легко эксплуатируемые — это однозначно плохо

Итого: если где-то постоянно находят дырки, которые не сложно эксплуатировать и это находят не разработчики/их аудиторы — это однозначно плохая программа.

 

Перейдём ко второй части:

Quote

А хорошая — это та, где багов отродясь не находили

Нет! Это фундаментальное заблуждение. Нужно осознать это и тогда будете ловить такие заблуждения сходу. Это про тестирование, но применимо и здесь:

Quote

тестирование не способно сообщить, что проблем нет. Тестирование способно сообщить, что проблемы есть. То есть если тестирование не выявило проблем, это не означает, что проблем нет. Это означает, что тестирование их не выявило и только это. Но если тестирование выявило проблемы, это означает, что проблемы есть.

То есть если дыр не находили, нельзя утверждать, что всё хорошо. И, вроде, ниже об этом сказано. Но это слеплено с прошлым утверждением про нахождение дыр, что приводит к логической ошибке.

 

В целом ниже по тексту написано уже правильно. Но начало очень странное. Если Аланна (напомню, считаю её хорошим автором для массового читателя) просто показывала рассуждение обычного человека, то претензии снимаю. Очень вероятно, что я спотыкаюсь на вот этих рассуждениях просто из-за того, что имею отношение к этой области и потому рассуждаю чуть иначе.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Как только компания становится более-менее известной, находятся люди, пытающиеся эксплуатировать этот успех в своих целях. В лучшем случае они просто прикрываются чужим именем, чтобы продвигать какие-нибудь товары и услуги сомнительного качества. В худшем — охотятся на ваших клиентов, партнеров или даже сотрудников. Причем руководство и ИБ-отдел компании зачастую даже не подозревают о существовании имперсонаторов до тех пор, пока недовольство действиями злоумышленников не вызывает шквал писем в поддержку или скандал в социальных сетях, а это в любом случае негативно отражается на репутации компании. Чаще всего двойники работают по трем направлениям.
      Фальшивые приложения в магазинах
      Сейчас практически каждый серьезный бизнес имеет собственное приложение для удобного доступа клиентов к услугам или для заказа товаров. Иногда даже не одно. Поэтому никто не удивляется, увидев в поиске магазина приложений сразу несколько позиций с одинаковой иконкой. Да, большинство пользователей скачают самый популярный вариант, но скорее всего часть попадется на уловку злоумышленников и установит себе фальшивку. Особенно если получат на нее прямую ссылку. А внутри может быть что угодно: от банковского трояна до средств удаленного управления устройством. Совсем недавно наши эксперты нашли в Google Play несколько модифицированных версий популярных мессенджеров, по факту являющихся шпионскими программами.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      После того как Илон Маск сломал свой Twitter (сейчас известный как X), а Марк Цукерберг показал общественности свой Threads*, в Интернете заметно участились разговоры о некоем Fediverse. Многие считают его последней надеждой человечества на то, чтобы выбраться из существующего социально-сетевого безобразия.
      В этом посте разбираемся, что этот самый Fediverse собой представляет, как он работает, что он предлагает пользователям уже сейчас и что в нем может появиться в недалеком будущем.
      Что не так с обычными социальными сетями
      Начнем с того, зачем вообще нужен Fediverse. Главная проблема современных соцсетей — они стали чрезмерно закрытыми и замкнутыми сами на себя (на полях заметим, что их еще и чертовски много). Часто без регистрации в той или иной соцсети вы не сможете даже получить доступ к существенной части контента, а о каком-то взаимодействии с ним и вовсе речи быть не может.
      Чтобы, к примеру, поставить лайк в Twitter или оставить комментарий к видео в YouTube, вам придется сначала зарегистрироваться в соответствующем сервисе. Если говорить о социальных сетях, которые входят в империю Марка Цукерберга, то тут все еще хуже: часто без аккаунта вы не сможете даже толком ознакомиться с содержимым соцсети, не то что «полайкать».
      Вторая важная проблема социальных сетей состоит в том, что они по сути не производят ничего сами по себе. Все содержимое соцсетей создают пользователи, а владеющие ими огромные и могущественные корпорации наживаются на чужом контенте. И, конечно же, совершенно не уважают приватность своих пользователей, собирая невероятное количество данных о них. Это уже приводило к грандиозным скандалам в прошлом и наверняка выльется в кучу неприятностей в будущем, если ничего кардинально не поменяется.
      При нынешнем порядке вещей есть еще один немалый риск, связанный с полным отсутствием хоть какого-то контроля со стороны пользователей над платформой, которую они на самом деле создают. Скажем, когда огромная соцсеть, ставшая, так уж вышло, одной из важных медийных частей общемировой политики, переходит под контроль человека с весьма своеобразными взглядами, ее пользователям остается только утереться (или поискать себе другую платформу, с чуть более вменяемым владельцем).
      Fediverse призван решить все эти проблемы привычных социальных сетей: излишнюю централизацию, полную неподотчетность, изоляцию контента, сбор данных о пользователях и нарушение их приватности.
       
      Посмотреть статью полностью
    • Сергей Ф.
      От Сергей Ф.
      Здравствуйте.
      Блокируется установщик Касперского.
      Оффлайн инсталлер даже  не запускает окно установщика.
      Онлайн запускается, но при проверке связи с сервером КасперскийЛаб выдаёт неизвестную ошибку.
      Скриншеты
       
      Логи AutoLogger
      report1.logreport2.logCollectionLog-2023.09.20-14.04.zip
      Лог AV_block_remover
      AV_block_remove_2023.09.19-21.02.log
       
       
    • KL FC Bot
      От KL FC Bot
      В крупных компаниях у рядового сотрудника не так часто спрашивают мнение о его карьерных устремлениях, сферах интересов и достижениях, выходящих за рамки должностных обязанностей. Как правило, это происходит раз в год — при подведении итогов. А многим хочется поделиться своими мыслями с руководством гораздо чаще. Поэтому, когда внезапно в почтовые ящики падает приглашение на внеочередной опрос для самооценки, многие не раздумывая спешат ответить на вопросы. Особенно если в приглашении четко сказано, что процедура обязательная. Этим и решили воспользоваться злоумышленники для очередной кампании целевого фишинга.
      Фишинговое письмо с приглашением
      Письмо присылается якобы от HR-отдела компании. И снабжено оно весьма проникновенным текстом, описывающим процедуру самооценки сотрудников. О том, что это часть корпоративных усилий по установлению откровенного диалога между сотрудниками и менеджментом, что вся предоставленная информация будет использована для создания подробного отчета, который позволит многое узнать о своих сильных и слабых сторонах и определить направление дальнейшего развития в компании. В общем, достаточно убедительный корпоративный мотивационный спич.
      Письмо сотрудникам с приглашением пройти процедуру самооценки
      Впрочем, в письме есть несколько достаточно заметных красных флагов, позволяющих понять, что это фишинг. Для начала — это доменное имя в адресе отправителя. Да, он не совпадает с названием организации получателя. И в теории ваш HR-отдел действительно мог воспользоваться услугами неизвестного вам подрядчика. Но почему этим может заниматься Family Eldercare? Даже если вы не знаете, что это некоммерческая организация, цель которой в помощи семьям, заботящимся о пожилых родственниках, название должно насторожить.
      Кроме того, в письме написано, что опрос ОБЯЗАТЕЛЕН для ВСЕХ (капслоком) и сдать его нужно До Конца Дня (с заглавных букв). Даже если отбросить нелепую капитализацию, акцентирование внимания на срочности — это всегда повод задуматься, а нет ли тут какого-то подвоха, и уточнить у реальных сотрудников отдела кадров: проводится ли в компании такое исследование.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      «Безопасность» и «переработки» — почти синонимы. По результатам недавнего опроса, каждый пятый CISO работает 65 часов в неделю, а не 38 или 40, как написано в контракте. В среднем переработки составляют 16 часов в неделю. То же касается рядовых сотрудников ИБ-команды — примерно половина жалуется на выгорание из-за постоянного стресса и переработок. При этом кадровый дефицит и ограничения бюджета сильно затрудняют самое очевидное решение проблемы — нанять больше людей. Но есть и другие пути! Мы изучили, какие задачи занимают большую часть времени у ИБ-команд и что можно сделать для снижения этих затрат.
      Оповещения безопасности
      Уверенный победитель в номинации «за потраченное время» — оповещения, генерируемые ИБ- и IT-системами компании. Поскольку число систем часто исчисляется десятками, то требующих обработки событий — тысячи. В среднем ИБ-специалисту приходится проверять 23 оповещения в час, и это включает совершенно нерабочее время. 38% опрошенных признались, что им приходилось реагировать на оповещения ночью.
      Что делать
      Используйте больше решений одного производителя. Централизованная консоль управления и интегрированная система оповещений снижают количество этих сигналов и ускоряют их обработку. Внедряйте автоматизацию. Например, решение XDR позволяет автоматизировать типовые сценарии анализа и реагирования, а также снижает число оповещений, соединяя разнородные события в один инцидент. Привлеките MSSP, сервис MDR или коммерческий SoC. Это самый эффективный способ гибко масштабировать работу с оповещениями. Штатные сотрудники смогут сосредоточиться на построении общей системы безопасности и расследовании сложных ситуаций.  
      Посмотреть статью полностью
×
×
  • Создать...