Как добиться успеха в управлении патчами, оставаясь в здравом уме

Управление исправлениями - это топочный фильтр в мире ИТ. Вы знаете, что вам нужно обновить его, и вы должны делать это на регулярной основе. Но вы продолжаете откладывать это до тех пор, пока вдруг не опоздаете на несколько месяцев и не столкнетесь с хакерами и вредоносным ПО. Весь процесс усугубляется тем, что не только у вас мало драгоценного времени для управления различными задачами с исправлениями, но и для того, чтобы быть полностью руководителем, вы должны тестировать эти исправления на программном обеспечении и операционных системах (ОС), которые у вас есть. установлены так же как и друг друга. И вы должны делать все это между бесконечной рекой пользовательских требований, приоритетами управления и повседневной работой по поддержанию работы вашей сети и серверов. Но те, кто экономит на исправлениях, часто сталкиваются с серьезной утечкой данных, что делает общенациональные новости и обычно приводит к розыгрышу. Так как вы собираетесь исправлять все эти вещи?

Короткий ответ: вы, вероятно, не сможете исправить все, если вам не повезет иметь необычайно большой персонал и финансового директора (CFO), который достаточно щедр, чтобы заплатить всем этим людям вместе со всем остальным, что вы должны купить, чтобы заставить центр обработки данных работать. Существуют пакеты программного обеспечения для мониторинга сети, которые включают возможности исправления, но обычно они не охватывают все, что вам нужно для исправления из одной коробки. Решения для управления устройствами также часто имеют возможности исправления, но для инфраструктуры, даже критически важной инфраструктуры, такой как маршрутизаторы, коммутаторы и аналогичные устройства, вы можете использовать несколько инструментов исправления для отдельных брендов.

И не думайте, что вы можете убежать, просто став полностью облачным. Во-первых, в наши дни почти никто не основан на 100% облачных средах, поэтому вы почти наверняка будете располагать инфраструктурой центра обработки данных. Кроме того, вы никогда не избежите постоянно растущего списка клиентских устройств, которым требуется исправление ОС и микропрограмм, а также «умных» локальных ресурсов, таких как камеры, устройства хранения данных (NAS), принтеры и многое другое. Все это все еще нужно поддерживать в актуальном состоянии, поэтому дьявол патча придет, чтобы найти вас, несмотря ни на что.

Если вы похожи на многих менеджеров, то ваши сотрудники работают над тем, что кажется наиболее важным обновлением. Вы загружаете их, возможно тестируете, запускаете их в производство, а затем надеетесь на лучшее. То, как вы выбираете важность, обычно зависит от множества факторов или даже личных предпочтений, но часто оно основано просто на том, какие из подвигов кажутся наиболее угрожающими. Это может быть реальной жизнью, но на самом деле это не лучший способ сделать это.

Наиболее актуальные задачи для специалистов по кибербезопасности в 2018 году

Расставить приоритеты, классифицировать и сканировать

Во-первых, вы расставляете приоритеты, говорит Эд Беллис, соучредитель и технический директор Kenna Security. «Есть определенные небольшие подмножества, которые вы обязательно должны определить по приоритетам», - сказала Беллис. Вы определяете, что это подмножество патчей, рассматривая функции, наиболее важные для вашего бизнеса, а затем патчи, которые будут иметь наибольшее значение для этих функций.

«Например, электронная почта может иметь решающее значение, и она может состоять из критически важных устройств», - объяснил Шон Бленхорн, технический директор и вице-президент по продажам по всему миру в eSentire. Он сказал, что необходимо решить, насколько важны различные системы для вашего бизнеса, и в первую очередь сосредоточиться на них. Разбейте их на «патчируемые» элементы и постройте свою стратегию оттуда. В этом случае это может быть встроенное ПО сервера, встроенное ПО хранилища, ОС сервера и программное обеспечение сервера электронной почты, а также связанное с ним программное обеспечение для защиты от вредоносного ПО / нежелательной почты на стороне сервера, если таковое имеется. Клиент-ориентированное программное обеспечение для защиты конечных точек обычно не является большой частью стратегий ручного исправления, поскольку такого рода программное обеспечение само обновляется, если ИТ-служба не укажет иное.

Бленхорн сказал, что ошибка, которую допускают многие организации, заключается в том, чтобы сначала запустить сканер уязвимостей, но он сказал, что, не классифицируя, какие системы являются наиболее важными в первую очередь, вы можете получить страницы с результатами поиска уязвимостей и не знать, когда и если применять исправления.

«Сначала проведите классификацию, а затем выполните сканирование», - сказал Бленхорн. Он сказал, что три сканера уязвимостей, которые, по его мнению, используются чаще всего, принадлежат Qualys или Tenable, но он отмечает, что есть несколько других.

Он сказал, что причина, по которой вы классифицируете свои системы перед сканированием, заключается в том, что вы можете принять разумное решение относительно их приоритета. Например, если вы обнаружите серьезную уязвимость в системе, которая редко используется или не делает ничего действительно важного, то, возможно, будет лучше просто покончить с этой системой или, по крайней мере, отключить ее, пока у вас не будет времени залатать это.

Невозможный сон: патч всех уязвимостей

Выполнив сначала классификацию, вы также сможете узнать, когда уязвимость должна быть исправлена ​​немедленно, возможно, потому что это важно для вашей организации, а также для работы в Интернете. Возможно, вы также можете отложить исправление системы, в которой есть уязвимости, в которых нет эксплойтов, нет выхода в Интернет или и того, и другого. Он сказал, что важно не только определить, существует ли уязвимость, но также существует ли эксплойт и используется ли он.

Во многих случаях, по словам Бленхорна, в реальном мире нет никаких подвигов, а это значит, что может иметь смысл сосредоточиться на других действиях. Один из способов справиться с уязвимостями - взглянуть на профессиональные отчеты по оценке кибербезопасности от таких поставщиков, как Kenna Security. Эти отчеты анализируют различные базы данных об угрозах и сообщают об их результатах, измеряя уязвимости по ряду факторов в зависимости от того, как поставщик отчета подошел к теме.

«Наш первый отчет, который вышел прошлой весной, - сказала Беллис, - мы рассмотрели каждую уязвимость в базе данных». Он сказал, что их второй доклад только что вышел в январе 2019 года. По словам Беллиса, его анализ фокусируется на том факте, что очень немногие уязвимости действительно имеют известные эксплойты, а это означает, что более разумно сосредоточиться на тех, а не на уязвимостях, которые вряд ли когда-либо когда-либо быть атакованным. Отчет помогает ИТ-специалистам принять решение об установленной ими инфраструктуре.

«Мы разбили эти уязвимости по источникам технологий», - объяснила Беллис. Он сказал, что наиболее важные уязвимости могут исходить от Oracle за его обширную базу данных, Adobe за его широко распространенного и постоянно обновляющегося клиента Reader, Microsoft для Microsoft Windows 10 и аналогичных крупных поставщиков программного обеспечения. Но он отметил, что могут быть огромные различия в том, как обрабатываются эти уязвимости.

«Существует огромная разница в скорости восстановления», сказал Беллис. «Стало совершенно ясно, что Microsoft упростила и упростила для клиентов исправление своих уязвимостей. Oracle и Java находятся на другом конце этого масштаба».

Возьмите автоматизированный подход

Другой подход заключается в приобретении специального программного обеспечения, которое возьмет на себя большую часть анализа и календарного планирования управления исправлениями. Это автоматизированный подход.

«ИТ-администраторы не могут вручную вести учет всех отсутствующих исправлений в своей сети», - сказал Гиридхара Раам М, евангелист продукта для ManageEngine (подразделение корпорации Zoho), в обмене электронной почтой. «Следовательно, им потребуется автоматизированная система для сканирования сети, выявления отсутствующих исправлений, загрузки этих исправлений с сайта поставщика, тестирования исправлений и своевременного развертывания на целевых машинах», - продолжил он. «ИТ-администраторы должны иметь возможность планировать эти развертывания в нерабочее время, чтобы избежать трудностей для сотрудников».

ManageEngine имеет инструменты, которые могут помочь, как и другие поставщики, в том числе LogicMonitor и Microsoft. Однако все еще необходимо классифицировать сетевые активы, чтобы вы знали, на каких уязвимостях вам необходимо сосредоточиться.

Это классификация, которая является ключевой. Вам не нужно фокусироваться на каждой уязвимости сразу; вам просто нужно начать с тех, которые, скорее всего, сразу же вызовут проблемы, а затем начать строить оттуда.