Applen äskettäin julkaisema macOS Ventura 13.4 sisälsi kattavan luettelon tietoturvakorjauksista, mukaan lukien kaksi WebKit-haavoittuvuutta, jotka voivat johtaa arkaluontoisten tietojen vuotamiseen ja koodin etäsuorittamiseen. Applen turvallisuushuomautuksia myönsi, että he olivat "tietoisia raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää", mikä on niin lähellä luonnonvaraisen hyväksikäytön tunnustamista kuin todennäköisesti saamme.
Nämä ovat sellaisia kriittisiä korjauksia, jotka saavat IT- ja tietoturvatiimit pyrkimään päivitysten asentamiseen, mutta osoittautuu, että nämä WebKit-ongelmat oli jo korjattu Applen ensimmäisessä Rapid Security Response (RSR) -päivityksessä 1. toukokuuta.
Ensimmäinen RSR-julkaisu ei juuri mennyt liikkeelle ilman hankaluuksia, ja käyttäjät eivät edes tienneet, mitä se sisältää ennen käyttöjärjestelmän (OS) julkaisua. Silti RSR-päivitysten käyttöönotto on myönteinen kehitysaskel, koska ne erottavat kiireelliset tietoturvakorjaukset isoista käyttöjärjestelmäpäivityksistä, joita julkaistaan harvemmin ja joiden asentaminen kestää kauemmin.
Toisaalta RSR:ien olemassaolo on Applen hiljainen tunnustus siitä, että heidän turvallisuustarpeensa ovat yhä kiireellisemmät – sellaisia hyväksikäyttötyyppejä, jotka eivät voi odottaa viikkoja tai kuukausia korjaamista. Ja sen pitäisi kiinnittää kaikkien Mac-korjausten hallinnasta kiinnostuneiden huomio, sillä IT-järjestelmänvalvojat ovat tottuneet tekemään "viikkoja tai kuukausia korjausten asentamista".
Applen korjaustiedostojen hallintatyökalut eivät toimi
Yleisesti ottaen IT-tiimeillä on kaksi vaihtoehtoa päivitysten ja päivitysten asentamiseen Mac-koneisiinsa, ja kumpikaan niistä ei ratkaise ongelmaa kokonaan.
Ensimmäinen vaihtoehto on asentaa päivitykset etänä mobiililaitteiden hallinnan (MDM) kautta, mikä vaatii käyttäjän laitteen pakotetun uudelleenkäynnistyksen. Tämä vaihtoehto on teoriassa tehokas, mutta käytännössä se häiritsee käyttäjiä niin paljon, että useimmat järjestelmänvalvojat ovat haluttomia käyttämään sitä. Vaikka varoitat käyttäjiä päivityksistä etukäteen ja ajoitat ne yön aikana, mikä tahansa pakotettu uudelleenkäynnistys voi aiheuttaa tietojen menetyksen, ja monet käyttäjät (mukaan lukien johtajat ja kehittäjät, jotka aiheuttavat usein suuria tietoturvariskejä) saavat vapautuksen. tästä politiikasta.
Oppitunti tässä on: Tarvitset loppukäyttäjien osallistumisen päivitysten ja päivitysten asentamiseen.
Toinen vaihtoehto on käyttää työkaluja, kuten Nudge, joka, kuten nimestä voi päätellä, houkuttelee käyttäjiä asentamaan korjaustiedostoja lähettämällä heille automaattisia muistutuksia. Näiden muistutusten tiheys ja voimakkuus lisääntyvät, kunnes ne lopulta valtaavat käyttäjän näytön. Tämä lähestymistapa tarjoaa järjestelmänvalvojille apua, mutta käyttäjillä on silti taipumus lykätä päivityksiä mahdollisimman pitkään, ja suurin osa sallii 30 tai useamman päivän lykkäyksen.
Oppitunti tässä on: Et voi vain pyytää loppukäyttäjiä päivittämään – noudattamatta jättämisellä on seurauksia.
Lopuksi sekä MDM- että Nudge-vaihtoehdot toimivat vain valvotuissa laitteissa. Jos puhut BYOD Macista tai urakoitsijan laitteesta, organisaatiot eivät voi pakottaa korjauksia millään tavalla.
Korjaa korjaustiedostojen hallinta muuttamalla käyttäjien tottumuksia
IT- ja tietoturva-ammattilaisten keskuudessa on valitettava taipumus hylätä loppukäyttäjien mahdollisuudet olla tietoturvaliittolaisia ennemmin kuin vastuita. Ja on totta, ettei ole helppoa saada käyttäjiä ottamaan päivitykset vakavasti. Tämä voi olla erityisen totta Mac-käyttäjille, jotka (äskettäin asti) ovat olleet suurelta osin immuuneja sellaisilta tietoturvauhkilta, jotka vaivaavat Windows-yhteisöä.
Mutta on oppitunteja muista liikkeistä, jotka onnistuneesti muuttivat näennäisesti vaikeaselkoista käyttäytymistä. Erityisen opettavainen esimerkki tulee turvavyölakeista.
Se on helppo unohtaa, mutta amerikkalaisten saaminen kiinni 1980-luvulla oli lähes yhtä haastavaa kuin saada heidät asentamaan päivityksiä nykyään. Tuolloin monet katsoivat, että turvavyölainsäädäntö oli esimerkki sosialistisen hallituksen ylityksestä. Mutta nykyään amerikkalaiset hyväksyvät turvavyöt automaattisesti (paitsi New Hampshiressa, jossa ei vieläkään ole lakia).
Turvavyötottumusten muuttaminen vaati yhdistelmän ratkaisuja. Teknisellä tasolla autonvalmistajilta vaadittiin turvavyöt kaikissa ajoneuvoissa. Sillä välin amerikkalaiset vakuuttuivat käyttämään niitä julkisen koulutuksen (julkiset ilmoitukset ja mainostaulut) ja suhteellisten seurausten (sakkojen) avulla.
Sama ratkaisuyhdistelmä voi muuttaa käyttäjien käyttäytymistä korjaustiedostojen hallinnassa. Tekniset ratkaisut sisältävät automatisoituja työkaluja, jotka vähentävät päivitysten kitkaa ja tarjoavat näkyvyyttä myös hallitsemattomiin laitteisiin. Mutta näihin on liitettävä koulutus, koska monet käyttäjät eivät ymmärrä, että päivitysten nopea asentaminen on yksi tehokkaimmista turvatoimista, joita he voivat toteuttaa. Lopuksi kaikkien lähestymistapojen on sisällettävä käyttäjille suhteelliset seuraukset, kuten se, että yrityksen resursseja ei voida käyttää ennen kuin päivitykset on asennettu.
Riippumatta siitä, kuinka IT- ja tietoturvatiimit päättävät toteuttaa tämän lähestymistavan, on selvää, että muutosta tarvitaan. Applen ei ainakaan pitäisi julkaista korjaustiedostoja nopeammin kuin IT-järjestelmänvalvojat voivat ottaa ne käyttöön.
Tässä on video, joka näyttää kuinka nämä laitetaan korjaustiedostojen hallinnan periaatteet käytännössä.
kirjailijasta
Elaine Atwell on Koliden sisältömarkkinoinnin vanhempi toimittaja. Hän on kirjoittanut yritysturvallisuudesta vuodesta 2019 lähtien ja on kiinnostunut tietoturvalähestymistavasta, joka tasapainottaa vastuullisen tiedonhallinnan sekä työntekijöiden yksityisyyden ja autonomian.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://www.darkreading.com/endpoint/what-apple-rsrs-reveal-about-mac-patch-management
