Húsz szektor 35 ezer vállalatánál szondázta meg az amerikai BitSight frissítések kezelését. A massachusettsi cégnek ez testhezálló feladat, mivel abból él, hogy vállalatok biztonsági kockázatait méri fel. A felmérések adataiból aztán rendszeresen készít elemzéseket is. Egy friss tanulmányában (.pdf) például a szervezetek patchmenedzsment-gyakorlatát vizsgálta.

A WannaCry adta az ötletet

Az elemzés elkészítéséhez a WannaCry zsaroló program adta az ötletet – olvasható a tanulmány bevezetőjében –, mivel a mintegy 300 ezer érintett rendszer többsége megvédhető lett volna, ha telepítették volna a Microsoft egy korábban közzétett frissítését. A vírus május közepén lendült támadásba, de az általa kihasznált hiba javítását a Microsoft kereken két hónappal korábban, március 14-én publikálta.

Bár a BitSight sem reprezentatív adatgyűjtésre alapozta elemzését, a merítés széles köre (20 szektor 35 ezer szervezete) alkalmas arra, hogy megmutassa a patchmenedzsmenttel kapcsolatos tendenciákat. Azt például, hogy az operációs rendszerek frissítse kicsit jobban áll, mint a böngészőké.

A problémák öt pontban

A tanulmány öt olyan területet lát, ahol általánosan – iparágtól és cégmérettől függetlenül – komoly gondok vannak. A BitSight műszaki igazgatója, Stephen Boyer ezzel kapcsolatban annyit jegyzett meg, hogy ha a szervezetek nem térnek át a kockázatok proaktív kezelésére, egyre nagyobb és pusztítóbb támadásokat fognak elszenvedni. A frissítések elhanyagolása szerinte olyan, mintha elavult eszközökkel akarnánk megküzdeni a legújabb kihívásokkal.

Az öt legnagyobb probléma.

1. A 35 ezer szervezetből 2000-nél a számítógépek 50 százalékán elavult az operációs rendszer.

2. 8500 szervezetnél a számítógépeinek több mint felén nem a legfrissebb böngésző fut.

3. A kormányzati szektorban használt számítógépek negyedén elavult az operációs rendszer. Ez legfőképpen a MacOS-ekre igaz, amely az elavult rendszerek 80 százalékát adja.

4. A vizsgált körben még mindig nagy arányban vannak Windows Vista-s és XP-s gépek. Márciusban – tehát a WannaCry támadás előtt két hónappal – a vizsgált 35 ezer cég teljes gépállományának közel 10 százalékán futott ez a két rendszer, melyekhez a Microsoft már nem ad ki javítást.

5. Bár Magyarországon a Mac népszerűsége kisebb mint az USA-ban, de ettől még érdekes, hogy a MacOS Sierra (10.12-es verzió) hibajavító alverzióinak megjelenése után a vállalatok több mint 35 százaléka továbbra is az előző verziót használja.

Minden szektornak más a problémája

Az adatokat megvizsgálták szektoronként is. Hét iparágat néztek meg alaposabban: az oktatási intézményeket, a kormányzati szektort, a kiskereskedelmi cégeket, az egészségügyi szervezeteket, a pénzügyi szektort, a jogi és az energiaszektort.
 

Az elavult operációs rendszerek és böngészők megoszlása szektoronként

Az elavult operációs rendszerek és böngészők aránya az oktatási intézményekben és a kormányzati szektorban a legmagasabb. A legnagyobb gond az, hogy a kormányzati és önkormányzati szektorban az operációs rendszerek több mint 25 százaléka elavult, és mint fentebb említettük, ezek 80 százaléka MacOS. A böngészőknél is hasonló a helyzet, melyeknél szintén minden negyediket nem frissítették. A nem frissített böngészők többsége – több mint 70 százaléka – Chrome.

Némileg jobb a helyzet a pénzügyi, az egészségügyi és a kiskereskedelmi szektorban: az operációs rendszereknek és a böngészőknek is átlagosan 15 százaléka elavult. A legjobb állapotban a jogi vállalkozások és az energiaszektor van. Ez annyiban érthető is, hogy az energiaszektor a kritikus infrastruktúrák közé sorolódik, így ott különösen nagy figyelmet kap a kockázatok proaktív megközelítése. De még így is találtak 120 olyan vállalatot, ahol elavult operációs rendszerek futottak, és 400 olyant, ahol a böngészők harmadát nem frissítették.

A vállalatoknál rá kell készülni a frissítésre

Bár a BitSight felmérése komoly és általános problémára hívja fel a figyelmet, a szervezeteknél a frissítések szükségszerűen kisebb-nagyobb késésekkel kerülnek fel a gépekre. A telepítést ugyanis meg kell előznie egy tesztfázisnak, amikor ellenőrzik, hogy a vállalati rendszerek a frissítések telepítése után is helyesen működik-e. Volt ugyanis példa arra, nem is egyszer, hogy maga a javítócsomag okozott problémákat, ha pedig a frissítéssel új funkció is érkezik, még nagyobb körültekintéssel kell eljárni. A Microsoft például ezt figyelembe is vette a frissítési metódusainak kialakításakor.
 

A sikeres támadások aránya a naprakész rendszerek függvényében

Ettől azonban a mintél gyorsabb reagálás nagyon fontos. A BitSight tanulmánya azt mutatta ki, hogy azt a céget kevesebb sikeres támadás éri, melynek jók a patchmenedzsment folyamatai.