Как быстро вы должны исправить?

В последнем вторнике исправлений Microsoft устранила 55 уязвимостей безопасности в своих операционных системах Windows и другом программном обеспечении. Шесть из этих обновлений программного обеспечения были помечены как критические, а остальные 49 — как важные. Когда я увидел уведомление, моей первой мыслью было: «Должен ли я применить все эти исправления сейчас или подождать несколько дней, чтобы посмотреть, не вызовет ли какой-либо из них проблемы в сети, которой я управляю?»

Эта проблема часто возникает у администраторов сред с клиентскими и серверными системами Windows. Можно свести этот вопрос к простому вопросу: как быстро я должен применять обновления программного обеспечения, когда мой поставщик выпускает их?

Ответ, конечно, как и большинство вещей в жизни, заключается в том, что это зависит. В этой статье я рассмотрю некоторые соображения при попытке принять правильное решение.

Критический не означает, что вы должны паниковать

Паника ничего не решает, когда дело доходит до управления ИТ. Поэтому, когда Microsoft говорит, что одно или несколько их исправлений устраняют критические уязвимости в их продуктах, сохраняйте спокойствие и оцените, действительно ли вашей среде угрожает опасность. Для начала неплохо посмотреть CVE для этого патча. Как уязвимость может повлиять на вашу среду? Где она может впервые возникнуть и/или нанести наибольший ущерб?

Хороший способ подготовиться к этим оценкам — разделить вашу ИТ-среду на три уровня приоритета: наиболее важные системы и инфраструктура, важные, но не очень важные части и остальные, не столь важные в случае возникновения проблемы. Затем просмотрите CVE для критического обновления программного обеспечения, которое Microsoft только что выпустила, и уделите первостепенное внимание изучению того, может ли оно повлиять на ваши наиболее важные системы.

Всегда тестируйте обновления, даже если они устраняют уязвимости нулевого дня.

Тот факт, что уязвимость идентифицируется как нулевой день, не означает, что вы должны спешить развертывать ее в своей среде. Вам по-прежнему необходимо протестировать все обновления для этой уязвимости, прежде чем внедрять ее в рабочую сеть.

Я знаю, что тестирование — это не очень весело. Это работает. Это требует затрат на настройку (и поддержку!) тестовой среды, которая в основном отражает вашу производственную среду. Но разделение вашей сети на большинство, некоторые и не очень важные части может оказаться большим подспорьем. Вы должны — действительно должны — тестировать обновления программного обеспечения, применимые к наиболее важным системам в вашей инфраструктуре. Обычно это означает тестирование некоторых ваших серверов (виртуальных или физических), независимо от того, размещены ли они локально или в облаке. Обратите внимание, что я сказал «некоторые» серверы. Могут быть серверные рабочие нагрузки, функции которых не так важны для поддержки ваших основных бизнес-процессов.

На другом конце спектра находятся ваши рабочие станции. Исправление рабочих станций не может быть серьезной проблемой. На самом деле, вы можете даже не захотеть тестировать рабочие станции, если можно просто стереть и переустановить ПК, если исправление создаст проблему.

Для систем, которые являются несколько критическими, хорошим подходом может быть подождать и посмотреть, как исправления повлияют на наиболее важные системы после их применения. Если через пару дней ваши критически важные системы работают нормально, продолжайте развертывать обновления на менее важных, но все же важных системах.

С другой стороны, не забывайте резервные копии

Иногда нулевой день действительно означает, что некоторые из ваших систем находятся в непосредственной опасности взлома. В этом случае немедленно примените исправление, выпущенное поставщиком для устранения уязвимости. Примером этого могут быть эксплойты нулевого дня Microsoft Exchange, обнаруженные в марте 2021 года. Было обнаружено, что эти эксплойты уже использовались в дикой природе и использовались для атак на локальные версии Exchange. Поскольку новости об этом быстро распространились, многие администраторы, у которых в среде был Exchange, поспешили применить меры по смягчению последствий, опубликованные Центром реагирования Microsoft Security Response Center (MSRC). Затем администраторы быстро применили исправления, выпущенные Microsoft для устранения уязвимости.

Имейте в виду, что при обнаружении эксплойта нулевого дня ваши критически важные системы уже могут быть скомпрометированы! Это осознание важно, поскольку оно объясняет взаимосвязь между управлением исправлениями и непрерывностью бизнеса. Другими словами, бесполезно исправлять системы, которые уже сломаны. Вам нужно сначала восстановить их из резервной копии. Таким образом, хороший подход к резервному копированию критически важных систем не менее важен, чем защита их от критических эксплойтов.

Поймите свою терпимость к риску

Как сетевой администратор, вы должны чувствовать себя комфортно в отношении того, какой риск вы можете допустить для своей среды. Что еще более важно, когда вы строите или модернизируете свою сеть, вы должны попытаться сделать это таким образом, чтобы максимально минимизировать будущие риски. Такая устойчивая к риску архитектура требует некоторого времени для разработки, и нет никакого волшебного способа ее достижения. Всегда будут некоторые риски, которые вы не сможете устранить. Но каждый раз, когда вам нужно добавить новый сервер, развернуть новое программное обеспечение или построить новую сеть, задайте себе такие вопросы, как:

• «Добавит ли это какие-либо новые риски в мою среду?»
• «Как я могу минимизировать эти новые риски?»
• «Повысится ли риск, если я не внесу эти изменения в свою среду?»