Вестник цифровой трансформации

Gartner рекомендует: как снизить риски Spectre и Meltdown для предприятий
Gartner рекомендует: как снизить риски Spectre и Meltdown для предприятий




13:48 06.03.2018  |  5564 просмотров



Руководители по информационной безопасности должны опираться на прагматичный подход к защите от потенциальных угроз Spectre и Meltdown, основанный на оценке рисков, уверены аналитики Gartner.

В Gartner напоминают, что не все процессоры и ПО уязвимы для всех трех основных вариантов атак, которые возможны с использованием этих двух фундаментальных брешей, присутствующих во всех процессорах, выпущенных за последние 20 лет (подробнее читайте: Бреши Spectre и Meltdown: в чем суть и что под угрозой). В целом аналитики называют риск незначительным, отмечая, что он варьируется в зависимости от подверженности системы выполнению неизвестного и ненадежного кода.

В Gartner перечислили семь рекомендаций по уменьшению риска Spectre и Meltdown для руководителей по информационной безопасности.

  1. Поскольку брешь присутствует на аппаратном уровне, все работающие выше программные уровни, включая ОС и гипервизор, уязвимы. Однако Spectre и Meltdown потенциально позволяют лишь считывать защищенную память, но не менять ее, и для эксплуатации уязвимости требуется установка и выполнение в системе постороннего кода, что крайне сложно в случае жестко контролируемых серверов и программно-аппаратных комплексов наподобие сетевого оборудования и СХД. В связи с этим не обязательно срочно устанавливать доступные заплаты, особенно учитывая, что первые из них конфликтовали с антивирусами, приводили к неработоспособности Windows или резко ухудшали быстродействие систем.
  2. Брешь в какой-то степени затрагивает практически все современные ИТ-системы, — такого не было со времен печально знаменитой «проблемы 2000 года»: уязвимы настольные ПК, мобильные устройства, серверы, виртуальные машины, сетевое оборудование, промышленная техника и устройства Интернета вещей, поэтому для защиты требуется масштабный многоэтапный план мероприятий. Начать нужно с инвентаризации всех затрагиваемых систем. В каких-то случаях уместным будет вообще не устанавливать заплаты, но для каждой системы потребуется отдельная обновляемая запись с описанием и рабочей нагрузкой, моделью микропроцессора, версией микропрограммы и ОС.
  3. Удаленно воспользоваться уязвимостями нельзя — для атаки нужен запуск кода на системе. Поэтому контроль приложений и ведение «белых списков» для всех систем позволит сильно уменьшить риск выполнения неизвестных программ. Однако совместно используемые инфраструктуры в виде сервиса более уязвимы до тех пор, пока операторы не обновят соответствующие микропрограммы и гипервизоры — ведущие облачные провайдеры это уже сделали. Риск попадания ненадежного кода снижается за счет строгого разделения обязанностей и управления привилегированными учетными записями.
  4. При разработке стратегии защиты в Gartner рекомендуют разбивать ее на этапы по степени приоритетности, поскольку риск, влияние на быстродействие и модернизация оборудования в зависимости от случая будут сильно варьироваться. Начать следует с систем, создающих наибольший риск, — настольных ПК, виртуальных десктопов, смартфонов и доступных извне серверов.
  5. Руководителям по информационной безопасности нужно быть готовыми к сценариям, когда верным решением будет не устанавливать заплаты. Например, для более старых систем заплат просто не будет. В других случаях установка заплат может привести к слишком сильному падению производительности, оправдать которое снижением риска нельзя. Из соображений сохранения быстродействия можно будет не устанавливать исправления даже на сильно контролируемые серверы — до появления более качественных заплат. Однако для серверных рабочих нагрузок в Gartner рекомендуют устанавливать исправления, если позволяют характеристики производительности.
  6. Снизить риск для систем без заплат можно с помощью комплексных мер контроля. Прежде всего нужно ограничить возможность размещения неизвестного кода путем запрета выполнения любых посторонних программ по умолчанию. По мере появления сведений об атаках начнут также помогать традиционные средства защиты оконечных устройств и предотвращения вторжений.
  7. Spectre и Meltdown — совершенно новый класс уязвимостей, на полное устранение которых уйдут годы; в Gartner прогнозируют, что для этого понадобится переход на новое оборудование, которое появится в течение предстоящего года-двух. Именно поэтому инвентаризационные описи должны стать основным элементом стратегии ограничения риска на обозримое будущее, а политику «запрета по умолчанию» — блокирования любых неизвестных факторов необходимо ввести для всех серверных рабочих задач, включая физические, виртуальные, облачные и контейнерные.
Теги: Автоматизация предприятий Информационная безопасность Gartner Meltdown Spectre

На ту же тему: