Управление исправлениями: важнее, чем когда-либо (часть 2)
Введение
В части 1 этой серии мы рассмотрели как историю, так и текущее состояние ландшафта исправлений безопасности, а также начали обсуждать ваши варианты решения все более сложных задач управления процессом исправления в современной мобильной, облачной, BYOD-системе. управляемая сетевая среда.
Лучшие методы тестирования исправлений
Патч-тестирование должно быть рутинным процессом, который следует предписанной схеме, а не случайной задачей. Ваша команда должна разработать письменные процедуры для тестирования, и это должно быть сделано в тестовой лаборатории, которая максимально похожа на конфигурацию вашей производственной сети.
Некоторые организации полностью изолируют тестовую сеть от рабочей сети. Другие используют небольшую группу производственных машин для тестирования исправлений. Сложность среды тестирования, которую вы можете построить, может, конечно, зависеть от временных, кадровых и бюджетных ограничений. Виртуализация может помочь сократить расходы на настройку тестовой среды; это позволит вам использовать одну физическую машину для дублирования многих ваших производственных машин.
Однако до того, как обновления будут применены к машинам тестовой лаборатории, следует проверить целостность исправлений, чтобы убедиться, что они являются действительными обновлениями от поставщика и не были преднамеренно или непреднамеренно изменены. Это процесс проверки исправления, который можно выполнить путем проверки цифровых подписей или контрольных сумм.
Тщательное тестирование включает в себя применение исправлений и перезагрузку машин — независимо от того, считается ли перезагрузка необходимой для внесения изменений. Это сделано для того, чтобы исправление не повлияло на процесс загрузки операционной системы. Неприятно применять патч и думать, что все в порядке, а потом через несколько дней или недель получить неприятный сюрприз при следующем перезапуске системы.
Однако обычная перезагрузка не обязательно означает, что вы свободны дома. Печально известный «синий экран смерти» — самое серьезное, но далеко не единственное влияние, которое может иметь плохой патч. У вас должен быть набор тестовых сценариев, которые помогут вам определить, продолжают ли операционная система и ваши приложения работать правильно после исправления приложения. Исправление безопасности может повлиять на множество различных частей системы, поэтому вам необходимо протестировать его в различных сценариях, которые отражают наиболее часто выполняемые системные задачи.
Решение для управления изменениями должно быть частью вашей тестовой среды, так как оно автоматизирует обнаружение и точное определение изменений, которые исправление могло внести в ваши системы, таких как изменение разрешений и контроля доступа. Патчи также могут отключать или включать службы, вносить изменения в реестр или изменения в код системы или приложения, которые могут привести к полному сбою функций ОС или функций приложения или к ненормальному поведению.
Если исправления не вызывают проблем в тестовой среде, вы можете подготовиться к развертыванию их на рабочих машинах. В зависимости от серьезности уязвимости, воздействия (на основе критичности и чувствительности ваших машин) и вероятности использования (на основе уровня уязвимости ваших машин и наличия уже существующих эксплойтов), вы можете развертывайте исправления во всей сети одновременно или развертывайте их поэтапно.
Выполнение этого поэтапно может быть безопаснее и может функционировать как расширение процесса тестирования исправлений. Вы должны сначала применить исправления к менее важным системам, а затем оценить влияние на эти машины на предмет любых негативных последствий, прежде чем развертывать их на более важных серверах. Если на каком-либо этапе процесса тестирования, в том числе после части поэтапного развертывания, вам не следует развертывать исправления на каких-либо дополнительных компьютерах до тех пор, пока проблемы не будут устранены.
Поскольку что-то всегда может пойти не так, даже после тщательного тестирования, часть процесса тестирования должна включать в себя проверку того, что исправления могут быть удалены, а системы восстановлены в прежнее состояние без проблем. Убедитесь, что у вас есть план на случай непредвиденных обстоятельств, если вам нужно отказаться от исправления, а также план восстановления, если затронуты важные системы.
Варианты развертывания исправления
На этапе развертывания исправления устанавливаются на машины в вашей производственной сети, и сегодняшние ИТ-специалисты могут быть благодарны за то, что это больше не утомительная ручная задача, как это было на заре вычислительной техники. Существует множество инструментов, которые можно использовать для автоматизации процесса развертывания, но в этом и заключается проблема: у вас так много вариантов, что может быть трудно решить, какой подход выбрать.
Некоторые организации до сих пор используют свои собственные сценарии для применения исправлений, но целая индустрия выросла вокруг развертывания исправлений, и теперь существует множество коммерческих продуктов, которые могут значительно упростить весь процесс. Некоторые поддерживают только одну платформу (например, Windows), в то время как другие могут управлять исправлениями для разных платформ в гибридной сетевой среде.
Начиная с Windows Server 2003 серверные операционные системы Microsoft включают встроенные функции управления обновлениями в виде службы обновления Windows Server (WSUS), которая в более ранних версиях сначала называлась службами обновления программного обеспечения (SUS). Он расширил сферу своей деятельности с ограничения только обновлениями для Windows до возможности обновления других продуктов Microsoft, таких как Office. WSUS теперь установлен как роль сервера в Windows Server 2012/2012 R2.
Сервер WSUS подключается к службе обновлений Microsoft для получения информации о текущих обновлениях; он загружает обновления, а затем распространяет их на компьютеры в вашей сети в соответствии с вашими требованиями. В крупной организации серверы WSUS могут функционировать иерархически, при этом вышестоящий сервер WSUS распространяет обновления на другие серверы WSUS в сети, которые, в свою очередь, распространяют обновления на локальные серверы и клиенты.
Большим преимуществом WSUS является то, что он поставляется с Windows Server, поэтому вам не нужно покупать дополнительное программное обеспечение. Microsoft System Center Configuration Manager можно использовать для управления исправлениями наряду с обнаружением активов. SCCM хорошо интегрирован с WSUS и агентом обновления Windows. Процесс установки исправлений можно автоматизировать, например, с помощью различных графиков исправлений для разных отделов или других групп внутри компании, и можно легко исключить некоторые машины из развертывания исправлений, а также настроить поведение перезапуска для разных групп машин.
В то время как WSUS обеспечивает хороший базовый контроль обновлений для программного обеспечения Microsoft, а SCCM предоставляет больше возможностей и гибкости, существуют гораздо более сложные решения для управления исправлениями, предлагаемые сторонними поставщиками, и многие из них также интегрируются с WSUS и/или System Center.
Эти системы упрощают централизованное управление установкой исправлений для гибридных сетей, в которых работают операционные системы сторонних производителей, а также упрощают установку исправлений для программного обеспечения сторонних производителей в Windows. Хотя вы можете интегрировать System Center Updates Publisher (SCUP) с SCCM, для применения обновлений сторонних приложений требуются большие административные затраты (читай: время и усилия), особенно когда поставщики приложений не предоставляют CAB-файлы, совместимые с SCUP. для их обновлений. Продукты сторонних производителей также могут предоставлять вам такие дополнительные возможности, как отчеты об ошибках исправлений в режиме реального времени, а также уведомления и сканирование на соответствие требованиям.
Существует множество доступных решений для управления исправлениями, и в рамках этой статьи не рассматривается попытка рассмотреть или порекомендовать одно из них, поскольку наилучшее решение для вас зависит от конкретных потребностей вашей организации и конфигурации вашей сети. Некоторые из лучших доступных продуктов включают LanGuard от GFI, Lumension Patch & Remediation, SolarWindows Patch Manager и Secunia CSI (Corporate Software Inspector).
Выбирая лучшее решение для управления исправлениями для своей организации, вы должны подумать о таких вопросах, как развертывание всех исправлений из централизованного местоположения или наличие нескольких серверов обновлений, расположенных в разных местах вашей сети для обслуживания определенных групп или отделов. Это будет зависеть от того, насколько велика ваша организация и как она структурирована. В любом случае хорошее решение для управления исправлениями сможет проверять исправления.
Еще одно соображение заключается в том, следует ли использовать решение для управления исправлениями, использующее клиентские агенты, или решение без агентов. Есть преимущества и недостатки в любом случае. Системы на основе агентов требуют установки программного обеспечения на каждом из клиентов, но они лучше подходят для обновления машин, находящихся в демилитаризованной зоне, и могут использовать меньшую полосу пропускания и распределять вычислительную нагрузку между клиентом и сервером. Решения без агентов могут обнаруживать новые компьютеры в сети без установки агентов на этих клиентах и сокращают административные затраты на установку агентов. Вы также можете комбинировать два решения.
Важным критерием выбора системы управления исправлениями является уверенность в том, что она может оценить, были ли сами исправления обновлены, отозваны или заменены. Он также должен учитывать, нужно ли применять исправления в определенном порядке. Наконец, он должен иметь хорошие возможности отчетности. Это еще более важно, если ваша организация является частью регулируемой отрасли, которая подпадает под требования соответствия, поскольку вы должны будете иметь возможность документально подтвердить, что на ваших компьютерах установлены все правильные обновления безопасности.
Резюме
Управление исправлениями — это не то, что волнует большинство ИТ-специалистов, но рекомендуется время от времени пересматривать свою стратегию и инструменты исправления, чтобы убедиться, что ваш процесс обновления максимально эффективен, и избавить себя от ненужной работы. Сегодня доступно множество вариантов автоматизации задач, связанных с обновлением и обеспечением безопасности ваших систем, так что попробуйте их.