Патч или нет? Взвешивание рисков немедленного обновления

Опубликовано: 6 Апреля, 2023

Патчить или не патчить? В идеальном мире это не было бы вопросом. , каждая организация должна устанавливать обновления безопасности для своих операционных систем и критически важных приложений, и делать это как можно скорее после выпуска этих обновлений. После того, как уязвимости будут раскрыты, это только вопрос времени, а иногда и совсем немного времени, когда злоумышленники используют эту информацию для разработки эксплойтов. В течение любого промежутка времени между выпуском исправления и его установкой ваши системы будут находиться в состоянии нулевого дня.

Почему же тогда мы слышим, что все больше и больше компаний откладывают установку критических исправлений безопасности? После ряда недавних громких «фиаско исправлений» ИТ-отделы (и отдельные лица) стали с осторожностью разрешать автоматическую установку обновлений безопасности (и других), чтобы «исправление» не принесло больше проблем, чем оно того стоит.

За последний год мы видели множество случаев, когда регулярные «вторники исправлений» Microsoft приводили к «четвергам отзывов», когда различные исправления нарушали работу Office, влияли на функциональность Windows и даже приводили к полным системным сбоям и ужасному синему экрану Смерть. Проблемы вызывают не только обновления Microsoft. Мобильные технологии сегодня находятся на переднем крае корпоративных рабочих мест, и после недавнего выпуска Apple iOS 8 для своих iPhone и iPad многие пользователи сообщали о проблемах, включая быструю разрядку батареи, медленный и/или пропадающий сигнал Wi-Fi, неработающий звук., случайные перезагрузки и многое другое.

Дилемма заключается в том, что если вы попытаетесь избежать этих проблем, не устанавливая обновления, вы сделаете компьютер или устройство (и, следовательно, возможно, всю вашу сеть) уязвимыми для эксплойтов и атак. Некоторые из проблемных исправлений Microsoft были разработаны для устранения критических уязвимостей, а iOS 8 включает более пятидесяти важных или критических исправлений безопасности.

Конечно, в этой фобии обновлений нет ничего нового. Подумайте о количестве людей (почти 13 процентов рынка по состоянию на август 2014 года), которые все еще используют Windows XP — операционную систему тринадцатилетней давности, которая больше не поддерживается Microsoft. В некоторых случаях это происходит из-за простой лени, стоимости или отвращения к переменам, но я слышал, как многие противники XP говорили, что не хотят покупать новый компьютер и боятся, что модернизация имеющихся у них «сломает все». ”

Собственная документация Microsoft Security Patches Best Practices на веб-сайте TechNet содержит утверждение о том, что «риск внедрения пакета обновлений, исправлений и исправлений безопасности всегда должен быть меньше, чем риск их невыполнения», и далее говорится: «Вы никогда не должны ухудшится, внедрив пакет обновления, исправление и патч безопасности. Если вы не уверены, примите меры, чтобы не было никаких сомнений при переносе их в производственные системы». К сожалению, кажется, что многие из их клиентов уверены в эти дни. Итак, какие шаги нужно предпринять, чтобы не было никаких сомнений?

Время решает все

Очевидно, что засовывать голову в песок и игнорировать все обновления из страха, что одно из них приведет к краху вашей системы, — не самый мудрый образ действий. Большинство крупных предприятий с крупными ИТ-отделами имеют протоколы для тестирования исправлений перед их развертыванием во всей сети.

Однако малые предприятия не всегда могут позволить себе такую роскошь, как персонал и оборудование, необходимые для создания и обслуживания среды тестовой лаборатории. Вот почему многие начали занимать выжидательную позицию, откладывая установку патчей на неделю или две, чтобы позволить кому-то другому быть «подопытным кроликом». Затем, если по истечении этого времени в технической прессе не возникнет серьезных проблем, они продолжат развертывание исправлений на своих собственных машинах.

Еще одно преимущество ожидания заключается в том, что даже если поставщик программного обеспечения оперативно выпускает новые исправления или «исправляет исправления» после выявления проблем, это может создать серьезную проблему для тех, кому затем придется удалить исходное исправление, прежде чем они смогут установить новое. один. Если вы просто подождите, проблемное исправление может быть удалено из доступности и заменено тем, которое работает должным образом, и которое вы можете установить заново, не выполняя процесс удаления.

Советы по более безопасному исправлению

Даже без сложной настройки тестирования есть вещи, которые вы можете сделать, чтобы снизить риск, связанный с исправлением. Некоторым требуется немного времени и усилий, но, вероятно, не так много, как потребовалось бы для работы с плохим патчем (или с последствиями отсутствия патча вообще).

RTFD

Первый и главный совет — это вариант старого стандарта RTFM: RTFD или Read the Fabulous Documentation. Некоторые поставщики программного обеспечения предоставляют больше документации, чем другие, но большинство из них предоставляют хотя бы минимальные объяснения того, какие уязвимости устраняются, какие конкретные программные компоненты задействованы и какие предварительные условия необходимы для установки исправления.

Часто проблем можно было бы избежать, если бы пользователь или ИТ-администратор просто прочитал всю документацию перед применением обновлений. Для некоторых обновлений может потребоваться установка (или удаление) другого программного обеспечения перед применением исправления. В некоторых случаях может потребоваться включить или отключить определенные функции ОС или приложения. Во многих случаях обновления необходимо применять в определенном порядке.

Посмотрите, прежде чем прыгать

Официальная документация по обновлению (например, в случае с обновлениями безопасности Microsoft, связанный с ними бюллетень по безопасности и статья базы знаний) иногда не дает полной информации. Если обновление было выпущено в течение нескольких дней, даже если о проблемах уже сообщалось, поставщики программного обеспечения иногда могут медлить с признанием проблем, а тем более с их устранением.

Вот почему полезно выполнить поиск в Интернете и просмотреть форумы сообщества, чтобы получить ранние отчеты о любых проблемах, с которыми другие могут столкнуться при установке исправлений. Обсуждения на форуме также могут выявить тенденции; это могут быть только пользователи с определенными конфигурациями или с определенными включенными настройками или с установленной определенной сторонней программой, которые страдают от проблем. Это даст вам больше информации, на основе которой вы сможете оценить, безопасно ли развертывать исправление на некоторых или на всех ваших компьютерах.

Анализ затрат/выгод

Когда у вас есть вся информация, которую вы можете собрать об обновлениях, вы можете разумно подумать, стоит ли риск, связанный с установкой, выгоды, которую можно получить от нее. Это означает рассмотрение нескольких различных факторов, касающихся конкретного обновления, а также ваших компьютеров, сети и методов ведения бизнеса.

  • Что исправляет патч? Является ли это обновлением для системы безопасности или обновлением, не связанным с безопасностью, которое устраняет проблемы с надежностью или производительностью или другие ошибки или добавляет функции и функциональные возможности?
  • Если это обновление, не связанное с безопасностью, влияют ли на ваши системы проблемы с надежностью или производительностью, которые оно устраняет? Поставщики программного обеспечения часто рекомендуют применять исправления только в том случае, если на ваших машинах действительно возникают проблемы. Вспомните старое преимущество: «Если не сломалось, не чини».
  • Если это обновление предназначено для добавления функций и функций, нужны ли вам эти функции? Будете ли вы использовать новые функции? Если нет, то зачем рисковать установкой обновления?
  • Если это обновление для системы безопасности, какую конкретную уязвимость (или уязвимости) оно устраняет? Каков уровень серьезности уязвимости? Какова подверженность вашей компании риску? То есть, каковы сценарии, при которых могут быть использованы уязвимости, и применимы ли эти сценарии к вашим пользователям? Если у вас есть пользовательские рабочие станции и приложения, заблокированные так, что они не могут, например, открывать вложения электронной почты, и единственный способ распространения эксплойта — через вложение электронной почты, ваше воздействие минимально, и вы можете не считать срочным примените исправление, особенно если оно может вызвать проблемы с функциональностью.

Иметь стратегию выхода

Есть старый мудрый совет, которому я стараюсь следовать во всех аспектах своей жизни: «Надейся на лучшее, но готовься к худшему». Это хорошая пословица, которую следует помнить при установке программных исправлений.

Вот, много лет назад, когда я был офицером правоохранительных органов, нам вбили в головы во время полицейской академии, что основной принцип передовой практики безопасности офицеров состоит в том, чтобы всегда полностью осознавать свое окружение и знать, где все выходы. находятся. Это также подчеркивается в обучении гражданской безопасности; одна из самых важных вещей, которую стюардесса говорит вам на брифинге по безопасности, — это осмотреться и отметить, где находится ближайший выход.

В этом контексте под стратегией выхода понимается наличие плана отката обновлений, если они действительно вызывают проблемы, и восстановления на ваших машинах их функций до установки исправлений с минимальным временем простоя. Это включает в себя наличие хороших, текущих резервных копий и уже существующий процесс восстановления, который был протестирован и работает.

Не кладите все яйца в одну корзину для патчей

Даже после того, как вы сделали свою домашнюю работу относительно исправлений, даже после того, как вы провели анализ затрат и выгод и определили, что риск отказа от обновления перевешивает вероятность проблем, вызванных исправлениями, даже если вы сформулировали хорошую стратегию выхода., по-прежнему выгодно хеджировать свои ставки. Даже если вы не можете провести полный эксперимент в тестовой лаборатории или даже если вы тестирование в лаборатории и не обнаружили там никаких проблем, самый безопасный способ продолжить — сначала применить исправления только к небольшой выборке несовместимых устройств. ответственные производственные машины.

Это дает вам возможность оценить, как патч ведет себя в вашей среде, и обнаружить любые проблемы, которые не возникали ранее. И даже когда там все идет хорошо, лучше не расслабляться, пока исправления не будут развернуты на всех машинах, нуждающихся в обновлении. Вы можете продолжить постепенное развертывание в течение нескольких дней — и обязательно подготовьте своих пользователей к возможным проблемам, даже тем проблемам, которые связаны исключительно с изменениями функциональности и незнанием пользователями новых функций или новых способов поведения программного обеспечения.

Резюме

Еще один ценный урок, который усваивают полицейские во время обучения, заключается в том, что «рутинных остановок движения не бывает». Несмотря на то, что в большинстве случаев остановка транспортного средства за нарушение правил дорожного движения проходит гладко и не представляет опасности, многие полицейские были убиты, когда подходили к машине, чтобы выписать штраф за незначительное нарушение, такое как превышение скорости. Очень важно помнить, что всегда есть вероятность того, что случится что-то плохое.

Программные исправления не приведут к физическим травмам или смерти, но тот же тип стратегического мышления и осведомленности по-прежнему полезен и может определенно уменьшить размер нанесенного ущерба (в виде дополнительной работы, потери производительности и, как следствие, денежных затрат). компании) на тот случай, если это окажется чем-то иным, кроме очередного рутинного исправления.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023