לא הספקתם להתעדכן ב-Patch Tuesday? אין באמת מה לדאוג

תמונה: נוצרה באמצעות AI

אין מי שלא מכיר את "Patch Tuesday", היום שבו מיקרוסופט וחברות נוספות משחררות את עדכון האבטחה החודשי שלהן. אבל בזמן שהחברות מתעקשות שכל העדכונים חשובים ודורשים יישום מיידי, יש מי שטוען שאפשר דווקא לקחת את הזמן. יותר מזה, הוא טוען שמצב האבטחה של הארגון לא רק שלא יחמיר בטווח הקצר, אלא אולי אפילו ישתפר.

את הטענה הזו העלה השבוע קרייג לוסון, סגן נשיא בחברת גרטנר, בכנס התשתיות והענן של החברה שנערך באוסטרליה. במהלך דבריו אמר לוסון: "אף אחד לא הצליח לעמוד בקצב של התוקפים, זה פשוט לא אפשרי", כשהוא מבסס את הדברים על שיחות שקיים עם ספקיות ענן, בנקים ורשויות ממשלתיות.

"הם טוענים שאין להם יכולת לעמוד בקצב שבו צריך לעדכן את המערכות", הסביר, וציין כי במצב הנוכחי הארגונים לא מבינים עד כמה עמוק פער האבטחה שנוצר בגלל פרצות לא מטופלות. במקום זאת, הם טועים לחשוב שהפתרון הוא להגביר את קצב ההטמעה, אבל לדבריו כמות התיקונים שנשלחת גבוהה משמעותית מהיכולת של ארגונים ליישם אותם בפועל: "לפעמים התיקונים כל כך מורכבים, שלא בטוח שהם שווים את ההשקעה. אי אפשר למשל פשוט לעדכן את Java, כי ייתכן שצריך לטפל קודם בחמישה דברים אחרים".

רוב חולשות האבטחה – לא קריטיות

לוסון הסביר כי רובן המכריע של חולשות האבטחה כלל לא מנוצלות בפועל, ורוב אלו שכן, מראש אינן מוגדרות כקריטיות. לדבריו, עברייני סייבר נוטים להתמקד בפרצות שנראות שוליות יותר, ולכן גם פחות מטופלות.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

עוד הוא טוען, כי ארגונים רבים ממשיכים ליישם את כל העדכונים, לעיתים כדי לעמוד ביעדים פנימיים או ברגולציה, אך בפועל זה לא מונע תקיפות. לדבריו, בתקופה האחרונה יותר מנהלים מתחילים להבין שלא תמיד יש טעם לרוץ ולתקן, במיוחד אם כבר קיימים מנגנוני הגנה שמפצים על פרצות לא מטופלות.

הפתרון, לפי לוסון, טמון במדד חדש שמתאר כיצד הארגון מתמודד עם מערכות לא מעודכנות, תוך קביעת תנאי סף לעדכון שכן כדאי ליישם מיידית. את המדד הזה, הוא מציע להפוך לכלי עבודה משותף של צוותי ה־IT, האבטחה והפיתוח, כדי לבנות יחד תוכנית ריאלית: מה לתקן, מתי ולמה.

"כמו שלא נותנים אספירין לכל מטופל, צריך להתאים את הטיפול הנכון לכל מצב", סיכם.