Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



21.05.2018

Dla małych grup

Drukarki Canon
17.05.2018

Inteligentna ochrona

Ever UPS DUO AVR
14.05.2018

Bezpieczna piaskownica

Kaspersky Cloud Sandbox
10.05.2018

Monitoring IT

NetCrunch 10.2 Suite
07.05.2018

Mobilna firma

Sophos Mobile 8.1
27.04.2018

Wydajne procesory

AMD EPYC Embedded 3000 i AMD Ryzen Embedded V1000
24.04.2018

Z odłączanym ekranem

Panasonic Toughbook CF-20
18.04.2018

Dla biznesu

Monitory AOC 6x
13.04.2018

Ochrona sieci przemysłowych

Stormshield SNi40

Procesy zarządzania aktualizacjami systemów i oprogramowania

Data publikacji: 19-04-2018 Autor: Ireneusz Tarnowski
CIĄGŁY PROCES AKTUALIZACJI

Ujawnienie podatności Spectre oraz Meltdown w procesorach Intel sprowokowało wielu analityków do dyskusji o pojawiających się podatnościach, ich pierwotnych przyczynach i krokach, jakie należy podjąć, aby środowisko informatyczne organizacji było odporne na cyberataki.

Na początek warto przypomnieć, że wymienione podatności wynikają ze sposobu przetwarzania w procesorach i niełatwo je wyeliminować. Wraz z ujawnieniem podatności pojawiły się przykłady ich zastosowania w praktyce. W szczególności wykazano, że można doprowadzić do całkowitej utraty poufności w systemach informatycznych. Dla porządku należy dodać, że problem dotyczy wszystkich procesorów o architekturze x86/x64.

Po udostępnieniu informacji rozpoczął się wyścig z czasem, aby jak najszybciej wprowadzić do eksploatacji poprawki oprogramowania, które ograniczą lub wyeliminują możliwość kompromitacji systemu i uzyskania dostępu do wrażliwych danych. Do dzieła ruszyli producenci systemów operacyjnych oraz oprogramowania dotkniętego podatnością Spectre oraz Meltdown. Od razu też pojawiły się pierwsze problemy – dostarczane aktualizacje drastycznie zmniejszały wydajność procesorów (w zależności od specyfiki wykonywanych zadań nawet o 40%). Dodatkowo w wielu przypadkach aktualizacje nie dawały się zainstalować, powodowały niestabilność działania systemu operacyjnego lub wymuszały wyłączanie oprogramowania antywirusowego.

Każdego tygodnia ujawniane są setki luk w oprogramowaniu, a wraz z nimi publikowane tysiące łatek (wliczając w to aktualizacje dla całego spektrum dostępnego oprogramowania). W ostatnich latach skala problemu rośnie eksponencjalnie. Informacje o problemach przy wprowadzaniu ważnych poprawek do systemów skłaniają do szerszego przyjrzenia się problemowi zarządzania aktualizacjami.

Jak powinno wyglądać prawidłowe zarządzanie aktualizacjami w organizacji? Jak bezpiecznie zorganizować cały proces? Dlaczego nie zawsze istnieje możliwość wykonania aktualizacji? Które z nich zainstalować, a które ignorować? Co zrobić z systemem i oprogramowaniem, którego nie można uaktualnić? Ważnych pytań w tym temacie jest wiele.

> PLANOWANIE I BUDOWANIE PROCESU

Zarządzanie aktualizacjami (Patch Management) jest skomplikowanym procesem, który swoim zakresem powinien obejmować:

 

  • ƒƒ serwery produkcyjne oraz testowe,
  •  ƒƒurządzenia typu appliance,
  •  ƒƒurządzenia sieciowe,
  • ƒƒ stacje robocze (desktopy, laptopy),
  • ƒƒ urządzenia mobilne (telefony, tablety),
  • ƒƒ urządzenia internetu rzeczy (IoT, Internet of Things),
  • ƒƒ aplikacje seryjne,
  • ƒƒ aplikacje własne.


W przypadku serwerów oraz stacji roboczych należy niezależnie traktować aktualizacje oprogramowania niskopoziomowego (firmware), systemu operacyjnego oraz oprogramowania middleware.

Taka różnorodność urządzeń i oprogramowania, wszelkie zależności pomiędzy systemami w zestawieniu z fundamentalnym obowiązkiem zachowania ciągłości działania organizacji sprawiają, że problem jest skomplikowany i wielowymiarowy. Tylko rozsądne podejście do aktualizacji posiadanych systemów znacząco podniesie poziom bezpieczeństwa w firmie. Dojrzałe organizacje ustanawiają ten proces w sposób formalny – określają sposób jego inicjowania, cały cykl życia procesu, role oraz zakres odpowiedzialności wykonawców. Wprowadza się także wskaźniki KPI (Key Process Indicator), dzięki którym proces zarządzania aktualizacji staje się mierzalny.

> UTRZYMYWANIE AKTUALNEGO REJESTRU ZASOBÓW

Należy zorganizować i utrzymywać aktualną bazę danych wszystkich systemów oraz gromadzić o każdym zasobie (system operacyjny, appliance, urządzenie sieciowe) informacje, które będą niezbędne do prawidłowej oceny potrzeby wykonania aktualizacji. Informacjami takimi są:

 

  • rodzaj systemu operacyjnego i jego wersja,
  • adresy IP,
  • fizyczna lokalizacja urządzeń,
  • lista kontaktowa (administratorzy, zewnętrzne wsparcie techniczne),
  • środowisko middleware (jeżeli istnieje),
  • zainstalowane oprogramowanie.


Istnieje wiele komercyjnych rozwiązań pomagających skanować infrastrukturę organizacji oraz gromadzić wymagane dane. Czynności te powinny być wykonywane okresowo, aby uwzględnić np. nowo włączone systemy. Dużym ułatwieniem jest standaryzacja konfiguracji serwerów oraz stacji roboczych. Zmniejszenie liczby używanych wersji systemów operacyjnych oraz aplikacji znacząco ułatwia realizację dalszych kroków w procesie zarządzania aktualizacjami.

> POZYSKIWANIE INFORMACJI O NOWYCH PODATNOŚCIACH I AKTUALIZACJACH

Utrzymanie założonego poziomu bezpieczeństwa wymaga stałego monitorowania nowych możliwości przeprowadzenia ataków na firmę. W tym kontekście należy przeglądać dostępne bazy danych, w których gromadzone są informacje o nowych lukach w oprogramowaniu. Zaufanymi źródłami takiej wiedzy są m.in. Mitre CVE (Common Vulnerabilities and Exposures) oraz rozszerzająca ją baza NVD NIST (National Vulnerability Database, National Institute of Standards and Technology).

Każda nowa podatność otrzymuje wycenę punktową CVSS (Common Vulnerability Scoring System) poziomu ważności (severity) określającą w dziesięciostopniowej skali wpływ odkrytej luki na bezpieczeństwo systemu, w którym występuje. Dodatkowo w szczegółach oceny CVSS podane są informacje o wpływie na atrybuty poufności, integralności oraz dostępności systemu z ujawnioną podatnością.  

[...]  

Ekspert bezpieczeństwa informacji, wieloletni administrator systemów IT, włącznie z systemem pocztowym jednego z komercyjnych dostawców tej usługi. Miłośnik defensywnego podejścia do cyberbezpieczeństwa. Niezależny konsultant i analityk cyberbezpieczeństwa w ramach inicjatywy Blue Cyberspace.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"