Центр кибербезопасности РФ предложил алгоритм принятия решений необходимости обновления критичного ПО20.04.2022 12:46

pgqlpiqlffn4r4grfje3_jejhqs.png

15 апреля 2022 года Национальный координационный центр по компьютерным инцидентам России (НКЦКИ, создан ФСБ) предложил IT-компаниям алгоритм принятия решения по обновлению или не обновлению установленного в IT-инфраструктуре критичного и важного для бизнеса ПО, не относящегося к проектам Open source.

«Зафиксированы случаи внедрения разработчиками программного обеспечения (ПО) из недружественных Российской Федерации стран, недокументированных возможностей или добавления механизмов блокировки работы ПО.

В качестве первоочередной краткосрочной меры по обеспечению информационной безопасности Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ранее рекомендовал отключить автоматическое обновление для иностранного ПО.

В долгосрочной перспективе это может привести к накоплению неисправленных уязвимостей. В результате возникнет угроза компрометации данных, нарушения функционирования оборудования или бизнес-процессов. Риски эксплуатации злоумышленниками неисправленных уязвимостей могут быть выше рисков внедрения разработчиками программного обеспечения недокументированных возможностей.

В новом бюллетене НКЦКИ представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО»,

— заявили в НКЦКИ

При работе с алгоритмом НКЦКИ необходимо учитывать следующее:

  • алгоритм является рекомендацией, применение которой лежит в вашей зоне
    ответственности;
  • алгоритм не предусматривает граничные случаи, для которых рекомендуемое решение
    может отличаться. Поэтому применение алгоритма должно в обязательном порядке
    учитывать контекст организации;
  • ПО перед обновлением в продуктивной среде должно быть проверено на корректную
    работоспособность в тестовой среде или тестовой выборке;
  • если возможно препятствовать эксплуатации уязвимости наложенными средствами
    защиты, не рекомендуется производить обновление;
  • если специалисты вашей или подрядной организации в состоянии проверить обновление
    ПО на наличие недокументированных возможностей, то вам следует принимать решение по результатам собственного анализа, а не данной рекомендации;
  • не рекомендуется применять алгоритм принятия решения для обновления ПО,
    используемого в АСУ ТП;
  • алгоритм не рассчитан для применения к обновлениям ПО для мобильных ОС.


d1osv_nu9yh8s-vgr-q6y-juyho.jpegАлгоритм НКЦКИ для принятия решений необходимости обновления критичного ПО.

18 марта 2022 года «Сбер» порекомендовал отказаться от обновления программного обеспечения, чтобы не допустить заражение устройств. По мнению банка, в последнее время участились случаи внедрения провокационного контента в свободно распространяемое ПО и библиотеки, применяемые при разработке подобного софта.

Ранее деструктивные действия разработчика npm-пакета node-ipc привели к проблемам по всему миру.

© Habrahabr.ru