Это был день, который большинство системных администраторов предпочли бы забыть. Клиент канадского консультанта по безопасности Дэвида Льюиса, основателя Liquidmatrix Security Digest, решил выпустить патч для продукта Symantec.

К сожалению, фирма не удосужилась проверить патч так как надо и он отключил ее файрволы.

«Управление патчами может показаться простым занятием, но оно может превратиться в кошмар если не осуществляется должным образом», — сказал Льюис. Он предупредил компании, что никогда нельзя полностью полагаться на автоматику.

«Всегда нужен человеческий элемент», — добавил он.

Управление патчами усложняется, когда количество приложений в рамках предприятия растет. Служба обновлений Microsoft хорошо следит за своими приложениями, но дальше ее полномочия не распространяются.

Сторонними приложениями управлять гораздо сложнее, а они составляют примерно две трети проблемы. В 2010 году 69% источников уязвимостей на конечных точках произошли именно из сторонних приложений.

В 2006 году обновление приложений и операционных систем Microsoft на конечных точках позволяло избавиться от 55% уязвимостей. В 2010 этот процент сократился до 31%.

Взять, к примеру, Adobe. За последние годы компания пострадала от нескольких серьезных эксплойтов, последний из которых появился в сентябре. Уязвимость нулевого дня в Flash player позволяет атакующими получить контроль над машиной, и, как признала фирма, этот эксплойт так до сих пор не нейтрализован.

PDF reader от Adobe тоже имеет критические уязвимости. И в данном случае использование альтернатив, вроде программы PDF Reader от FoxIT, не поможет. Эта программа тоже имеет проблемы с уязвимостями.

Быстрая работа

Вдобавок к патчам, которые ломают системы, тайм-менеджмент тоже может стать проблемой. Многие компании сокращают окна, во время которых можно отключить систему для планового технического обслуживания, поэтому патчи должны накатываться быстрее.

Однако Камел Патель, менеджер британского ИТ-гиганта Dimension Data, утверждает, что ему уже давно не приходилось устанавливать патч на систему, требующую обязательной перезагрузки. По его мнению, использование облаков облегчило задачу управления патчами.

«Сейчас уже реже бывают случаи, когда при установке патча он замещает другой файл», — сказал он.

Не всем по нраву утопическая идея ИТ-отделов, свободных от патчей. «Почему тогда Google и Adobe напоролись на проблемы, используя IE6?», — спросил Льюис.

Обе компании подверглись в 2009 году 0day атакам, которые использовали уязвимость в Internet Explorer 6. Атаки были частью хакерского натиска, известного как Operation Aurora. Компании использовали версию браузера, которая была на несколько поколений старше чем та, которая на тот момент уже была доступна.

«Почему?», — спрашивает Эмерсон Тэн, основатель интернет-сообщества PacketStorm, которое занимается сбором уязвимостей и эксплойтов. «Потому что никто не стал утруждать себя исправлением ошибок корпоративных интрасетей. Обновление до версий, в которых исправлено большинство ошибок, просто вывело бы из строя их внутренние приложения».

Окутывающие облака

Брайан Борн, основатель конференции по безопасности Sector, прошедшей в октябре в Торонто, точно также скептически относится к тому, что приложения на базе облаков способны избежать проблем управления патчами.

«У тебя меньше контроля над ситуацией, потому что ты должен двигаться дальше, когда тебе говорят», — сказал он.

Производители облачных приложений регулярно обновляют свои продукты не принимая во внимание клиентов. Как корпоративный пользователь, ты, возможно, можешь поговорить с производителем, чтобы ненадолго остаться на предыдущей версии приложения, но это не навсегда так.

«Может ты написал что-то, что работает с этим приложением. Или ты использовал какую-нибудь функцию, которую во время обновления производитель удали или изменил, решив, что ее все равно никто не использует», — объяснил Борн.

Еще одна проблема – это консьюмеризация ИТ, которая поощряет постоянных и временных работников приносить с собой планшеты и смартфоны.

Чтобы убедиться, что все эти устройства должным образом обновлены, нужно обойти целый набор трудностей. Чтобы разобраться с этим бардаком, нужно пройти через ряд проблем, связанных с контролем и карантином доступа в сеть, а также с серверами политики сети.

У небольших компаний все проще, по словам Пателя. «Все, что им нужно делать, это соглашаться с тем, что им предлагает Windows Update».

Для большинства средних и малых компаний этого достаточно. Но время от времени появляется патч, который нарушает работу какого-нибудь ПО. Взять, к примеру, недавнюю оплошность Microsoft, когда компания случайно решила, что Google Chrome является зловредом, причинив, таким образом, кучу неприятностей пользователям.

В идеале клиенты должны иметь возможность все опробовать, прежде чем устанавливать патч. Но для многих компаний цена установки испытательного стенда и обслуживания базы данных конфигураций может оказаться непомерной. Если не в плане капитальных расходов, то хотя бы просто из-за нехватки кадров.

Утомительное изучение

Как сказал Патель, многие компании сами виноваты в атаках. Вместо того, чтобы тестировать патч до потери пульса, используя при этом различные конфигурации, они проверяют его по-быстрому и выпускают.

«Нужно опробовать патч на тестовых машинах, и, если неделю спустя пользователи не испытывают никаких проблем, можно переходить к выпуску».

Некоторые компании могут просто подождать две недели, и, не дождавшись негативных реакций, приводят патч в действие. Все зависит от степени риска, который устраивает конкретную компанию.

В конечном счете, любая стратегия по выпуску патча связана хотя бы с какими-то человеческим взаимодействием. Но ключевое решение заключается в минимизации суматохи за счет применения зрелых подходов к ИТ.

Например, любой процесс управления изменениями можно упростить использовав всего пару образов для корпоративных компьютеров, вместо челой череды билдов. ПО по составлению отчетов также может продемонстрировать действия изменений и помочь убедиться в успехе применения патча, оказывая минимальное влияние на инфраструктуру.

Чтобы сохранить надежность сети, необходимо внимание к деталям и усовершенствованное управление изменениями. У тебя есть то, что нужно?



Оставить мнение