WannaCry: урок для компаний с устаревшим парком и слабым восстановлением

12 мая 2017 года началась одна из крупнейших волн распространения программ-вымогателей в истории. WannaCry в течение нескольких часов заразил сотни тысяч машин в десятках стран - больницы, транспортные компании, производственные предприятия, телекоммуникационных операторов. Многие были вынуждены остановить работу.

Технически атака эксплуатировала уязвимость в протоколе SMB операционной системы Windows, для которой Microsoft выпустила патч ещё в марте - за два месяца до атаки. Те, кто установил обновления своевременно, не пострадали. Те, кто не установил - оказались беззащитны.

Это не история о сложной атаке нулевого дня. Это история об управлении обновлениями.

Почему патчи не устанавливаются

Я не буду делать вид, что ответ очевидный. В реальных организациях есть несколько причин, по которым обновления откладываются или не устанавливаются вообще.

Страх нарушить работу. Обновления операционных систем и приложений иногда ломают совместимость. В производственной среде, где критически важные системы должны работать без сбоев, команды предпочитают не рисковать.

Устаревший парк, который не обновляется официально. Windows XP перестала получать обновления безопасности в 2014 году. Но на производственных предприятиях, в больницах, в транспортных системах она продолжает работать - потому что специализированное оборудование привязано к конкретной версии ОС и обновление означает замену всей системы.

Отсутствие процесса. Нет инвентаризации, нет расписания, нет ответственных. Обновления происходят тогда, когда кто-то об этом вспоминает.

ИТ-инфраструктура, которая не управляется централизованно. В компаниях с распределёнными офисами и децентрализованной ИТ-поддержкой установить обновление на все машины - это отдельный проект.

Что показала атака

WannaCry сделал видимым то, что существовало давно: огромное количество организаций работает с неуправляемым долгом в части обновлений безопасности.

Ещё более тревожной оказалась не сама заражение, а то, что происходило потом. Организации, у которых не было нормального резервного копирования, оказались перед выбором: платить выкуп или терять данные. Часть заплатила. Часть потеряла.

Это второй урок: управление обновлениями и готовность к восстановлению - это не одно и то же, но они должны существовать вместе. Обновления снижают вероятность инцидента. Резервные копии определяют, насколько разрушительным будет инцидент, если он всё же случился.

Что это значит для руководителя

Для директора или собственника этот инцидент - повод задать несколько конкретных вопросов своей ИТ-команде.

Первый: есть ли у нас актуальная инвентаризация всех систем, включая возраст операционных систем и версии ключевого ПО?

Второй: есть ли у нас политика установки обновлений безопасности, и соблюдается ли она?

Третий: что у нас с резервным копированием - как часто делаются резервные копии, куда они сохраняются, когда в последний раз проверялась возможность реального восстановления?

Четвёртый: если завтра критически важная система окажется недоступна на сутки - каковы последствия для бизнеса и есть ли план действий?

Про устаревшие системы

Отдельный и неудобный вопрос - это системы, которые физически не могут получить обновления. Промышленное оборудование с Windows XP, медицинские устройства с фиксированной прошивкой, телекоммуникационные системы, которые не обновлялись годами.

Здесь нет простого ответа. Но минимальная мера защиты - сегментирование: эти системы должны быть изолированы от остальной сети настолько, чтобы их заражение не приводило к распространению по всей инфраструктуре.

WannaCry распространялся так быстро именно потому, что внутри корпоративных сетей всё было связано со всем. Сегментирование не мешает работе. Оно ограничивает масштаб катастрофы.