Zašto upravljanje zakrpama samo po sebi ne zaustavlja unutrašnje pretnje

München, Nemačka – 19. septembar 2025.

Kako interni pentesti otkrivaju rizike koje zakrpljivanje ne može popraviti

Organizacije često smatraju upravljanje zakrpama temeljem svoje bezbednosne strategije. Iako je blagovremeno zakrpljivanje neophodno, Rasotec-ovi interni pentesti mreže dosledno pokazuju da usklađenost zakrpama samo po sebi ne sprečava unutrašnje povrede. Napadači retko se oslanjaju isključivo na nezakrpljene ranjivosti. Umjesto toga, aktivno iskorištavaju pogrešne konfiguracije, slabe kontrole pristupa i propuste u dizajnu koje zakrpe ne pokrivaju.

Unutrašnja okruženja su obično ravna, složena i zasnovana na poverenju. Jednom kada napadač stekne uporište, može se kretati bočno bez okidanja alarma. Ovo nije problem zakrpljivanja. To je sistemski problem u korenima prekomernih dozvola, neadekvatne segmentacije i nedostatka nadzora. Rasotec-ove procene često pokazuju kako napadači eskaliraju privilegije u potpuno zakrpljenim mrežama u roku od sati.

Prekomjerne privilegije Active Directory-a su ponavljajuća slabost. Mnoge organizacije dodeljuju široka administratorska prava ili ne sprovode modelirane administrativne nivoe. Čak i ako je svaki krajnji uređaj potpuno zakrpljen, jedan kompromitovan administratorski nalog može dovesti do kompromitovanja celog domena kroz ugrađene alate za upravljanje. Nijedna zakrpa ne može ispraviti pogrešne strukture privilegija.

Higijena akreditiva je još jedan zapostavljen faktor. Čuvane lozinke u običnom tekstu, slabe lozinke servisnih naloga i ponovna upotreba tokena često omogućavaju eskalaciju privilegija bez iskorištavanja bilo kakve ranjivosti. Rasotec rutinski stiče povišen pristup u okruženjima koja imaju savršenu usklađenost zakrpi, ali lošu praksu upravljanja akreditivima.

Potpuno zakrpljen ne znači potpuno bezbedan. Unutrašnje povrede obično uspevaju zbog propusta u dizajnu, a ne zbog nedostajućih ažuriranja, izjavio je Rick Grassmann, izvršni direktor u Rasotec.

Nedostatak segmentacije mreže uvećava uticaj kompromitovanja. Ravne unutrašnje mreže omogućavaju napadačima da dosegnu osetljive sisteme sa bilo koje ulazne tačke. Pravilna izolacija, restriktivno firewall-ovanje i rutiranje sa najmanjim privilegijama često nedostaju. Zakrpljivanje svakog sistema ne sprečava bočno kretanje ako ništa ne ograničava.

Procepi u detekciji dalje omogućavaju tajne napade. Mnoge organizacije nemaju telemetriju o unutrašnjem bočnom kretanju, eskalaciji privilegija ili abnormalnom administratorskom ponašanju. Bez vidljivosti, napadači mogu da rade unutar potpuno zakrpljene mreže nedeljama. Rasotec ističe da su interne sposobnosti detekcije i reagovanja jednako kritične kao i preventivne mere.

Ovi problemi ilustruju ključnu tačku: zakrpljivanje se bavi softverskim defektima, a ne arhitektonskim slabostima. Unutrašnja bezbednost zahteva slojeviti pristup koji kombinuje jaku upravu identitetom, minimizaciju privilegija, segmentaciju, kontinuiran nadzor i redovno ručno testiranje da bi se verifikovala njihova efikasnost.

Rasotec-ovi interni pentesti mreže fokusiraju se na ove dublje sistemske probleme. Simuliranjem realnog ponašanja napadača izvan iskorištavanja poznatih CVE-ova, otkrivaju slabosti koje zakrpljivanje ne može popraviti i koje predstavljaju najrealnije puteve do unutrašnjeg kompromitovanja.

O Rasotec: Rasotec je jedan od najbližih partnera CypSec i butik bezbednosna firma specijalizovana za ručno pentestiranje složenih veb, mobilnih i infrastrukturnih okruženja. Njegov tim se fokusira na otkrivanje propusta logike, ulančanih napadnih puteva i visoko-uticajnih ranjivosti koje automatizovani alati previde. Za više informacija posetite rasotec.com.

Kontakt za medije: Rick Grassmann, izvršni direktor u Rasotec - rick.grassmann@rasotec.com.