Siralmas a szoftverfrissítések helyzete

Egy érdekes felmérés látott napvilágot, amelyből kiderül, hogy az operációs rendszerek és a webböngészők frissítése rengeteg kívánnivalót hagy maga után.
 

A BitSight úgy határozott, hogy feltérképezi a vállalatok, intézmények patch menedzsmenthez való hozzáállását. Az időzítés azért sem véletlen, mivel a WannaCry zsaroló program globális térhódítása nagyon komoly károkhoz vezetett annak ellenére, hogy rendszeres frissítésekkel nagyon sok áldozatul eső rendszer megvédhető lett volna. Sajnos azonban a szervezetek esetében korántsem egyszerű feladat a patch-ek gyors célba juttatása, már csak az esetleges tesztelési időszükséglet miatt sem. Ez pedig meg is látszik a BitSight felmérésének eredményein.
 
A kutatásban összesen több mint 35 ezer vállalat vett részt 20 különféle szektorból. Kiderült, hogy több mint 2000 szervezetnél a számítógépek 50 százaléka elavult operációs rendszert futtat. Emellett 8500 vállalat, illetve intézmény számítógépeinek több mint felén nem megfelelően frissített webböngésző volt kimutatható. Mindez pedig óriási támadási felületet jelent a támadók számára, akik gyakorta még válogathatnak is a tekintetben, hogy éppen milyen sebezhetőségeket fordítanak a saját javukra.
 
A BitSight a Microsoft és az Apple operációs rendszerei mellett a kutatásába bevonta a Firefox, a Chrome, a Safari és az Internet Explorer webböngészőket is. Noha a vizsgált rendszerek jelentős része Windows-ra épült (többségében Windows 7-re), azért nem mondható, hogy az Apple-féle rendszereken minden rendben lenne. Az alábbi ábrából jól látható, hogy a macOS frissítésére is időre van szükség, bár egészen biztosan sok Windows-os környezetben még így is irigykedve nézik ezeket a számokat.  
Élen az energetika
 
A kutatás iparágak szerinti bontásban is elkészült. Ebből kiderült, hogy a legtöbb elhanyagolt számítógép az oktatási, illetve a kormányzati rendszerekben működik. A legjobb helyzet az energetikai szektorban és a jogi cégek berkein belül tapasztalható. Ezeket követi a pénzügy, a kereskedelem és az egészségügy. Megjegyzendő ugyanakkor, hogy a kritikus infrastruktúrákat üzemeltető, és ezáltal a biztonságot középpontban tartó energetikai vállalatoknál  is van még mit tenni. A felmérésbe bevont energetikai cégek közül 120-nál jelen voltak támogatásukat vesztett operációs rendszerek, és 400 ilyen szervezetnél a webböngészők egyharmada nem volt megfelelően frissítve.  
Felmerülhet a kérdés, hogy vajon az operációs rendszerek és a webböngészők frissítése valójában mennyiben képes visszaszorítani a támadásokat. Erre a kérdésre nagyon nehéz válaszolni, mivel ezernyi tényező függvénye, de azért a BitSight kísérletet tett rá. Az alábbi diagram tanulsága szerint azon cégek, ahol komolyan veszik a patch menedzsmentet (nyilván nem csak az operációs rendszerek és a webböngészők frissítését), azok esetében jóval kevesebb sikeres támadás következik be.  
Természetesen a frissítésekre komolyan adó szervezetek esetében vélhetőleg nemcsak a patch menedzsment erősebb az átlagosnál, hanem az egyéb védelmi intézkedések is, amik összességében nehezítik meg az elkövetők dolgát.