Jak uspět v oblasti správy záplat při zachování rozumného stavu

Patch management je pecní filtr IT světa. Víte, že ji musíte aktualizovat a víte, že byste to měli dělat pravidelně. Ale pořád ho odkládáte, dokud najednou nebudete zpožděni o několik měsíců a hackeři a malware vás napadnou. Celý proces je ještě horší, protože nejenže máte drahocenný čas na správu různých záplatových úloh, ale abyste byli zcela v knize, měli byste tyto záplaty testovat proti softwaru a operačním systémům (OS), které máte nainstalovány i navzájem. A to vše by se mělo odehrávat mezi nekonečnou řekou požadavků uživatelů, prioritami správy a každodenní činností udržování provozu vaší sítě a serverů. Ale ti, kdo skákají z oprav, často končí na konci obchodního masivního narušení dat, které přináší národní zprávy a obvykle vede k tomu, že dostanou růžový lístek. Jak tedy chcete napravit všechny ty věci?

Krátká odpověď je, že pravděpodobně nemůžete napravit všechno, pokud nemáte to štěstí, že máte neobvykle velkého personálu a finančního ředitele (CFO), který je dostatečně štědrý, aby zaplatil všem těmto lidem spolu se vším, co musíte koupit. aby fungovalo datové centrum. Existují softwarové balíčky pro monitorování sítě, které zahrnují možnosti opravy, ale obvykle se nevztahují na vše, co potřebujete pro opravu z jedné krabice. Řešení správy zařízení mají často také možnosti oprav, ale pro infrastrukturu, dokonce i pro kritickou infrastrukturu, jako jsou směrovače, přepínače a podobná zařízení, můžete pro jednotlivé značky ukončit používání více opravných nástrojů.

A nemyslete si, že můžete uniknout jen tím, že se stanete úplně cloudem. Za prvé, v dnešní době téměř nikdo není založen na cloudu, takže téměř určitě budete mít na místě nějakou infrastrukturu datového centra. Navíc nikdy neuniknete stále rostoucímu seznamu klientských zařízení, která vyžadují oprava operačního systému a firmwaru, jakož i „chytrým“ místním aktivům, jako jsou fotoaparáty, zařízení NAS (síťová úložiště), tiskárny a další. Všechno to musí být stále aktuální, takže ďábelský patch vás přijde najít bez ohledu na to, co.

Pokud jste jako mnoho manažerů, pak necháte své zaměstnance pracovat na tom, co se zdá být nejdůležitější aktualizací. Stáhnete je, možná je vyzkoušíte, zatlačíte do výroby a doufáte v to nejlepší. To, jak si vyberete důležitost, obvykle závisí na mnoha faktorech nebo dokonce na osobních preferencích, ale často se jednoduše zakládá na tom, který z zvuků zneužívá nejohroženější. To může být skutečný život, ale ve skutečnosti to není nejlepší způsob, jak toho dosáhnout.

Nejnaléhavější úkoly pro profesionály v oblasti kybernetické bezpečnosti v roce 2018

Stanovte priority, klasifikujte a skenujte

Nejprve upřednostňujete, říká Ed Bellis, spoluzakladatel a hlavní technologický ředitel (CTO) společnosti Kenna Security. "Existují určité malé podmnožiny, které musíte bezpodmínečně upřednostnit, " řekl Bellis. To, co je tato podskupina patchů, určujete tak, že se podíváte na funkce, které jsou pro vaše podnikání nejkritičtější, a pak na patche, které na těchto funkcích budou mít největší vliv.

„Například e-mail může být kritický a může se skládat ze zařízení, která jsou kritická, “ vysvětlil Sean Blenkhorn, Field CTO a viceprezident pro celosvětové prodejní inženýrství v eSentire. Řekl, že je nutné se rozhodnout, jak důležité jsou různé systémy pro vaše podnikání, a zaměřit se na ně jako první. Rozdělte je na jejich „opravitelné“ prvky a odtud sestavte svou strategii. V takovém případě to může být firmware serveru, firmware úložiště, operační systém serveru a software e-mailového serveru, jakož i přidružený antispywarový / antispamový software na straně serveru, pokud existuje. Klientsky orientovaný software ochrany koncových bodů obvykle není velkou součástí strategií manuálního opravování, protože tento druh softwaru se sám aktualizuje, pokud IT nestanoví jinak.

Blenkhorn řekl, že chybou, kterou mnoho organizací udělá, je nejprve spustit skener zranitelnosti, ale řekl, že bez klasifikace toho, které systémy jsou nejdřív nejdůležitější, můžete skončit se stránkami výsledků zranitelnosti a nevíte, kdy a zda použít opravy.

„Nejprve proveďte klasifikaci a poté proveďte skenování, “ řekl Blenkhorn. Řekl, že tři nejčastěji používané skenery zranitelnosti jsou z Qualys nebo Tenable, ale poznamenává, že existuje několik dalších.

Řekl, že důvod, proč klasifikujete své systémy před skenováním, je proto, abyste se mohli inteligentně rozhodnout, jaká by měla být jejich priorita. Pokud například narazíte na vážnou zranitelnost v systému, který je používán jen zřídka nebo který nedělá nic opravdu důležitého, možná by bylo nejlepší tento systém jednoduše odstranit nebo alespoň vypnout, dokud nezískáte čas oprava.

Nemožný sen: Oprava všech zranitelných míst

Prvním provedením klasifikace se také můžete dozvědět, kdy je třeba chybu okamžitě napravit, například proto, že je to pro vaši organizaci kritické a také pro připojení k internetu. Možná můžete také oddálit oprava systému, který má zranitelnosti, které nevyužívají, nevyužívají internet nebo obojí. Řekl, že je důležité nejen určit, zda existuje zranitelnost, ale také, zda existuje exploit a zda je exploit používán.

V mnoha případech Blenkhorn řekl, že ve skutečném světě neexistují žádné vykořisťování, což znamená, že by bylo rozumnější soustředit se na jiné činy. Jedním ze způsobů, jak získat informace o zranitelnostech, je podívat se na profesionální zprávy o posouzení kybernetické bezpečnosti od dodavatelů, jako je Kenna Security. Tyto zprávy analyzují různé databáze hrozeb a podávají zprávy o svých zjištěních a měří zranitelnosti na různých faktorech v závislosti na tom, jak se dodavatel zprávy k danému subjektu přiblížil.

"naše první zpráva, která vyšla loni na jaře, " řekl Bellis, "podívali jsme se na každou zranitelnost v databázi." Řekl, že jejich druhá zpráva byla zveřejněna teprve v lednu 2019. Podle Bellise se její analýza zaměřuje na skutečnost, že jen velmi málo zranitelných míst má známá zneužití, což znamená, že má větší smysl zaměřit se spíše na ty než na zranitelná místa, která je nepravděpodobné nikdy být napaden. Zpráva pomáhá odborníkům v oblasti IT při určování infrastruktury, kterou nainstalovali.

"Rozebrali jsme tyto zranitelnosti podle zdroje technologií, " vysvětlil Bellis. Řekl, že nejdůležitější zranitelnosti mohou pocházet od společnosti Oracle pro její rozsáhlou databázovou stopu, od společnosti Adobe pro rozšířeného a stále opravujícího klienta Reader, Microsoft pro Microsoft Windows 10 a podobně velkých poskytovatelů softwaru. Poznamenal však, že mohou existovat obrovské rozdíly v zacházení s těmito zranitelnostmi.

„V míře nápravy je obrovský rozdíl, “ řekl Bellis. „Bylo zcela zřejmé, že společnost Microsoft velmi usnadnila a zprovoznila pro zákazníky nápravu jejich zranitelností. Oracle a Java jsou na druhém konci tohoto měřítka.“

Vezměte automatizovaný přístup

Dalším přístupem je nákup speciálního softwaru, který bude mít velkou část analýzy a plánování váhy správy záplat z vašich ramen. Toto je automatizovaný přístup.

„IT administrátoři nemohou ručně udržet účet všech chybějících oprav ve své síti, “ řekla Giridhara Raam M, produktová evangelistka společnosti ManageEngine (divize společnosti Zoho Corporation), v rámci výměny e-mailů. „Proto by potřebovali automatizovaný systém, který by prohledával síť, identifikoval chybějící záplaty, stáhl tyto záplaty z místa dodavatele, testoval záplaty a včas je nasadil na cílené stroje, “ pokračoval. „Správci IT by měli být schopni naplánovat toto nasazení mimo pracovní dobu, aby se zamezili problémům se zaměstnanci.“

ManageEngine má nástroje, které mohou pomoci, stejně jako ostatní dodavatelé, včetně LogicMonitor a Microsoft. Stále je však nutné klasifikovat síťová aktiva, abyste věděli, na která zranitelná místa se musíte zaměřit.

To je klíčová klasifikace. Nemusíte se soustředit na každou zranitelnost najednou; stačí začít s těmi, které s největší pravděpodobností způsobí problémy okamžitě, a pak odtud vyčnívat.