העדכונים שאתם מדלגים עליהם הם הדלת שתוקפים משתמשים בה: ניהול עדכונים לעסקים

כשאנשים מדמיינים מתקפת סייבר, הם מציירים האקר גאון שמגלה פגם חדש לגמרי. המציאות הרבה יותר שגרתית והרבה יותר ניתנת למניעה: הרוב הגדול של ההתקפות המוצלחות מנצל פגיעויות שכבר היו מוכרות, ושעבורן כבר היה קיים תיקון, לעיתים קרובות חודשים. העסק פשוט לא יישם את העדכון. ניהול עדכונים (patch management) — השגרה הלא זוהרת של שמירה על תוכנה מעודכנת — הוא אחת מבקרות האבטחה היעילות והזולות ביותר הזמינות לעסק קטן, ואחת המוזנחות ביותר. עבור עסק קטן בישראל, עשייתה נכון סוגרת חלק עצום מהנתיבים שתוקפים באמת משתמשים בהם, בלי ציוד מיוחד.

מה עדכון אבטחה באמת

תוכנה נכתבת על ידי בני אדם, אז היא מכילה טעויות, וחלק מהטעויות האלה הן פגיעויות אבטחה — פגמים שתוקף יכול לנצל כדי לפרוץ, להריץ קוד או לגנוב מידע. כשיצרן מגלה פגם כזה, הוא משחרר תיקון: עדכון שסוגר את החור. הקאץ' הוא שברגע שתיקון מתפרסם, הפגם שהוא מתקן הופך לידע ציבורי, ותוקפים מתחילים מיד לסרוק את האינטרנט אחר מערכות שטרם יישמו אותו. עדכון הוא לכן מרוץ. היצרן נתן לכם את התיקון; אם תנצחו או תפסידו תלוי לחלוטין במהירות שבה תתקינו אותו לפני שמישהו ינצל את החולשה המפורסמת כעת שהוא מטפל בה.

למה פגיעויות מוכרות גורמות לכל כך הרבה פריצות

מפתה להניח שתוקפים מוקירים פגיעויות סודיות שלא נראו מעולם. כמה גורמים מתוחכמים אכן עושים זאת, אבל עבור הרוב המכריע של ההתקפות המכוונות לעסקים קטנים, הכלכלה מעדיפה את הדרך הקלה: סריקה אוטומטית אחר המערכות הרבות שעדיין מריצות תוכנה לא מעודכנת עם פגמים מתועדים בפומבי. למה לפתח משהו חדש כשכל כך הרבה דלתות נשארות לא נעולות? כמה מהתפרצויות הכופרה ההרסניות ביותר בשנים האחרונות התפשטו דרך פגיעויות שתיקונים עבורן היו זמינים שבועות או חודשים. הלקח הלא נוח הוא שפיגור בעדכונים לא רק משאיר סיכון תאורטי — הוא ממקם את העסק שלכם בדיוק במאגר המטרות הקלות שהתקפות אוטומטיות מתוכננות למצוא.

זה לא רק Windows

עסקים רבים משווים עדכונים עם ההתראות של Windows שמדי פעם קוטעות את היום שלהם, אבל משטח התקיפה רחב הרבה יותר. מערכות ההפעלה שלכם, כן — אבל גם דפדפני אינטרנט והרחבותיהם, Microsoft Office ויישומים אחרים, הקושחה בראוטרים, חומות אש ונקודות גישה, השרתים שלכם והתוכנה שרצה עליהם, וכל יישום ייעודי לתחום שלכם. כל אחד הוא נקודת כניסה פוטנציאלית, ולתוקפים לא אכפת באיזו הם משתמשים. דפדפנים והתוספים שלהם הם מטרה נפוצה במיוחד כי הם מתקשרים ישירות עם האינטרנט, ומכשירי רשת מסוכנים בדיוק כי הם יושבים בקצה. עדכון אפקטיבי פירושו לחשוב על כל מה שמריץ תוכנה, לא רק על מערכת ההפעלה של שולחן העבודה.

למה עסקים קטנים נשארים מאחור

הפיגור הוא לעיתים רחוקות רשלנות; הוא התוצאה הצפויה של איך שעסקים קטנים פועלים. עדכונים מפריעים — הם דורשים הפעלה מחדש וקוטעים את העבודה — אז הם נדחים בשבוע עמוס ואז נשכחים. יש לעיתים קרובות פחד אמיתי וסביר שעדכון ישבור יישום קריטי, אז כלום לא מתעדכן בכלל. אף אחד לא אחראי בבירור על העדכונים, אז זה נופל בין הכיסאות של 'IT' ל'מי שיש לו זמן'. ועסקים רבים פשוט חסרי נראות: הם לא יודעים איזו תוכנה הם מריצים או אילו גרסאות, אז הם לא יכולים לדעת מה לא מעודכן. כל אחד מאלה מובן, וכל אחד משאיר את אותו פער מסוכן שהתקפות אוטומטיות בנויות לנצל.

בניית שגרת עדכונים מעשית

אינכם צריכים תהליך משוכלל — אתם צריכים אמין. התחילו מלדעת מה יש לכם: מצאי פשוט של המכשירים שלכם והתוכנה המרכזית עליהם, כי אי אפשר לעדכן את מה שאתם לא יודעים שקיים. הפעילו עדכונים אוטומטיים בכל מקום שזה בטוח, במיוחד עבור מערכות הפעלה, דפדפנים ויישומים נפוצים, שכן אוטומציה מסירה את השכחה האנושית שגורמת לרוב הפספוסים. קבעו לוח זמנים קבוע — חלון חודשי צפוי, למשל — ליישום ואימות עדכונים שאינם אוטומטיים, כולל קושחה במכשירי רשת. תעדפו לפי סיכון: עדכוני אבטחה קריטיים למערכות פונות-אינטרנט ופגיעויות חמורות לא צריכים לחכות למחזור הבא. וודאו שהעדכונים אכן יושמו, במקום להניח שכן.

בדיקות, תזמון, והפחד לשבור דברים

הפחד שעדכון ישבור משהו לגיטימי, אבל התשובה היא לנהל אותו, לא להפסיק לעדכן. הסיכון שעדכון יגרום בעיה אמיתי אך בדרך כלל קטן; הסיכון שמערכת לא מעודכנת וחשופה-לאינטרנט תנוצל גדול בהרבה. עבור רוב התוכנה היומיומית הדרך ההגיונית היא ליישם עדכונים מהר. עבור יישומים עסקיים קריטיים, גישה עדינה עובדת היטב: כשאפשר, יישמו עדכון על מכונה אחת או קבוצה קטנה תחילה, ודאו ששום דבר לא נשבר, ואז הפיצו רחב יותר. שמירת גיבוי עדכני ובדוק לפני עדכונים גדולים פירושה שבמקרה הנדיר שמשהו כן משתבש, אתם יכולים להתאושש מהר במקום להיתקע. זהירות סבירה; דחייה אינסופית לא.

בעיית התוכנה שהגיעה לסוף חיים

חלק מהתוכנה אי אפשר לעדכן כלל כי היצרן הפסיק לתמוך בה. הרצת מערכת הפעלה או יישום שהגיעו לסוף החיים מסוכנת באופן ייחודי: פגיעויות חדשות עדיין מתגלות, אבל שום תיקון לא משוחרר לעולם, אז המערכת הופכת לחשופה לצמיתות ובאופן הולך וגובר. גרסאות Windows ישנות, תוכנת שרת לא נתמכת, ויישומים עסקיים מזדקנים הם אשמים נפוצים בעסקים קטנים, לעיתים קרובות נשמרים בחיים כי החלפתם לא נוחה או יקרה. תכננו מראש למעברים האלה במקום להיאלץ אליהם על ידי אירוע. אם מערכת קריטית באמת לא יכולה עדיין להיות מוחלפת, היא צריכה לכל הפחות להיות מבודדת על מקטע רשת משלה ומוגבלת בחוזקה, כך שלא ניתן להגיע בקלות לחולשותיה הבלתי נמנעות.

עדכונים כחלק מהתמונה הגדולה

ניהול עדכונים אינו עומד לבדו — הוא שכבה אחת בהגנה שעובדת יחד. אפילו עדכון חרוץ אינו יכול לעצור פגם חדש לגמרי שטרם תוקן, ולכן הוא יושב לצד זיהוי בנקודות קצה שיכול לתפוס ניצול בזמן אמת, אימות רב-שלבי שמגביל את שווי דריסת הרגל, חלוקת רשת שבולמת התפשטות, וגיבויים בדוקים שמאפשרים לכם להתאושש. באותה מידה, ה-EDR הטוב ביותר והסיסמאות החזקות ביותר נחלשים אם המערכות שתחתיהן מלאות בחורים מוכרים בני חודשים. עדכונים והבקרות האחרות מחזקים זה את זה, ותוכנית אבטחה שמצטיינת באחד תוך התעלמות מהשאר משאירה את הפער שתוקף פשוט יעבור דרכו.

מאיפה להתחיל

אם העסק שלכם לא יכול לומר בביטחון שהמחשבים, השרתים ומכשירי הרשת שלו כולם מעודכנים, אי-הוודאות הזו היא בדיוק הפער שהתקפות אוטומטיות מתוכננות למצוא. NetFortress מספקת ניהול עדכונים ופגיעויות מנוהל לעסקים קטנים ובינוניים בישראל — רישום מצאי של מה שאתם מריצים, שמירה על מערכות הפעלה, יישומים וקושחה עדכניים, תעדוף העדכונים החשובים ביותר, וסימון מערכות שהגיעו לסוף חיים לפני שהן הופכות לסיכון. קבעו ייעוץ חינם ונעריך עד כמה ההגדרה הנוכחית שלכם חשופה לפגיעויות מוכרות ובנות-תיקון, ונעמיד שגרה אמינה כך שהעדכונים שמגנים עליכם אכן יותקנו.