Рациональный подход к патчингу уязвимостей нулевого дня с помощью Guardicore

Введение

В майское обновление Microsoft 2021 года вошло 55 уязвимостей, включая критическую уязвимость нулевого дня CVE-2021-31166, связанную с удаленным выполнением кода в стеке протокола HTTP. Патч исправляет ошибку, из-за которой злоумышленник без аутентификации мог удаленно выполнять код, просто отправив специально созданный пакет данных на сервер с уязвимостью. Именно из-за этого ошибка может распространяться от жертвы к жертве, как червь.

Установка обновлений безопасности — одна из самых сложных задач для ИТ-организации любого масштаба. Даже после завершения установки, нет гарантий, что все машины были запущены на момент развертывания обновлений. Это подвергает риску не только их, но и всю сеть.

Чтобы быстро снизить риск и устранить уязвимость CVE-20121-31166, разделите машины на 3 группы и обновляйте их по степени критичности:

1. Сперва обновите машины с самым высоким уровнем риска – те, которые не обновлялись и имеют открытый доступ в Интернет.

 2. Заблокируйте порт 443 для необновленных машин, которые его не используют. Эта группа довольно большая, и ее можно обновить позже.
 
3. Установите патч на машины, которые не обновлялись, используют порт 443, но не имеют выхода в интернет. Это поможет ИБ-командам сосредоточиться на обновлении не десятков тысяч серверов, а несколько сотен или даже меньше, при этом полностью контролировать риски и уязвимости.

Как решить проблему быстрее, чем за час

Используйте три основные возможности Guardicore: Insight для отправки запросов на конечные точки и серверы, Reveal для отображения карты взаимосвязей и Policy для устранения угрозы при помощи политик сегментации.

Сначала нужно разобраться с машинами, наиболее подверженными риску: необновленными, с доступом в Интернет (через порт 443)

1. Используя Guardicore Insight, введите простой SQL-запрос для нахождения необновленных машин, уязвимых к KB5003173 (CVE-2121-31166): 


Выполните запрос с помощью Guardicore Insight

Вам вернется список необновленных машин за несколько секунд:


Список машин, требующих обновления

2. Добавьте лейбл к необновленным машинам: в приведенном примере используется лейбл KB5003173:Yes.

Примечание: запрос и маркировку можно сделать периодическими, тогда при появлении новых машин, требующих обновление, они будут автоматически маркироваться.

3. Используйте Reveal для создания карты и отсортируйте отображенные серверы по лейблу, который вы только что создали, а также по наличию доступа в Интернет (через порт 443). Наибольшему риску подвержены машины, которые не обновлялись и имеют открытый доступ в Интернет:


Сортировка по наличию входящего Интернет-соединения

Сортировка по метке

Затем следует разобраться с необновленными машинами, которые не используют порт 443

Убедившись в отсутствии машин с высоким риском – необновленных и с доступом в Интернет – приступайте ко второй группе машин.

1. Сначала необходимо определить машины без обновлений, которые не используют порт 443. Заблокируйте для них этот порт, чтобы устранить риск, а затем установите патч. Для этого снова отсортируйте сервера на карте по признаку NOT Destination Port 443 и пометьте их как NotUsing443.

 2. Затем добавьте простое правило Override Block, как показано ниже:


Единая политика блокирует доступ к порту 443 для машин, которые не использовали его изначально

Наконец, установите патч на уязвимые необновленные машины, которые используют порт 443, но не выходят в Интернет

Установите патч на машины, которые используют порт 443, но являются внутренними (не выходят в Интернет). Когда все машины обновятся, можно удалить метки и правила.

Вывод

Благодаря такому поэтапному подходу к установке патчей с помощью Guardicore Centra можно просто и эффективно решить серьезную проблему безопасности с учетом всех рисков.

Закажите демо и тестирование Guardicore

Хотите узнать больше? Закажите демо и тестирование Guardicore по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/