Jak ve firmách optimalizovat záplatování softwaru

Pavel Houser , 30. květen 2012 08:00 0 komentářů
Jak ve firmách optimalizovat záplatování softwaru

Oprav zranitelností se v poslední době vydává velmi mnoho. Na jednu stranu to znamená, že dodavatelé berou bezpečnost mnohem vážněji než ještě před pár lety. Na druhé straně s sebou tento trend nese i zvýšenou zátěž i pro firemní administrátory.

S nejistou bezpečnostní politikou některých dodavatelů softwaru nelze přímo nic dělat, je nicméně možné stanovit určité priority, které umožní i s omezenými zdroji postupovat celkem efektivně. Tipy pro optimalizaci tohoto procesu se nedávno pokusil shrnout Amol Sarwate, ředitel výzkumu zranitelností ve společnosti Qualys.

Jaké jsou hlavní problémy správy a jak je překonávat?

  • Zejména velké firmy potřebují nástroje pro správu aktiv, je třeba provádět pravidelné inventury majetku. Pokud nevíte, že nějaké počítače vůbec existují, těžko se o ně můžete adekvátně starat.
  • Záplaty pro kritické systémy je před jejich nasazením třeba testovat. Testovací cyklus oprav by ale neměl být příliš dlouhý. Když se např. vše utopí v byrokracii a vyžaduje řadu schválení, dostanou útočníci čas pro napadení zranitelných strojů
  • Neodkládejte instalaci záplat ani tehdy, když je přitom třeba přerušit provoz kritických aplikací a systémy restartovat. Nebojte se zasáhnout do kritické aplikace (týká se především databází a informačních systémů, do kterých administrátoři často raději vůbec nevrtají).

Je také dobré si neustále uvědomovat, že žádné řešen pro zjednodušení správy není samospasitelné. Zde hlavně platí, že:

  • Neexistuje ideální systém pro správu záplat; některé jsou například skvělé pro aktualizace Windows, ale nehodí se pro databáze. Smiřte se s tím, že vedle sebe budete mít různé systémy a že práci třeba nepůjde zcela automatizovat a něco bude nutno provést ručně.
  • Snaha obejít instalaci záplat má své nevýhody. Namísto „skutečných“ záplat je opravdu možné nasazovat opravy „virtuální“ - přidat nějaké definice malwaru, pravidlo pro firewall nebo systém pro detekci průniku či kontrolu síťového provozu. Toto řešení by ale mělo být pouze dočasné, např. po dobu testování záplaty. Jinak se různá pravidla mohou dostávat do sporu, každopádně takový systém pak bude velmi obtížné spravovat. Po instalaci samotné záplaty je lépe vrátit změny v síti do původního stavu.
  • A hlavně:

    Je-li to technicky možné a ekonomicky únosné, nepřetěžujte servery příliš mnoha produkty od jednotlivých dodavatelů, vyhraďte různým podnikovým aplikacím dedikované servery. Opravy různých dodavatelů spolu mohou kolidovat. Závažnost tohoto problému sice postupně klesá, přesto však stále existuje.

Jak se chovat v kritických momenech a na co si dát pozor

Zde platí tři jednoduchá pravidla + obrnit se notnou dávkou trpělivosti.

  1. Při neexistenci řešení výrobce buďte opatrní. Instalace záplat od třetích stran je krajní řešení, přistupujte k nim pouze v případě absolutní důvěry k subjektu, který ji vydal, a když je jinak problém kritický. Raději se řiďte pokyny původního dodavatele softwaru.
  2. Pozor na vypršení licencí k softwaru; po tomto datu záplaty obvykle přestanou být k dispozici. Výsledkem může být chaos (respektive, nefunguje-li správně systém pro správu aktiv, chaos už nastal).
  3. SCADA a další řídicí či průmyslové systémy dnes stále častěji běží ne na speciálních OS, ale na upravených verzích Windows či Linuxu. Instalace záplat od Microsoftu či linuxových distribucí nemusí být možná. Je třeba tlačit na dodavatele systému, aby vydávané opravy rychle upravil/překompliloval pro své stroje. Lze-li instalovat standardní záplatu např. od Microsoftu, požadujte po dodavateli systému nějaké pokyny a záruky.

Komentáře

RSS 

Komentujeme

Google vs. Oracle: Kdo tahá za kratší konec?

Pavel Houser , 04. duben 2018 11:30
Pavel Houser

Po 8 letech právních sporů vstoupila soudní tahanice mezi Googlem a Oraclem do dalšího kola. Nakolik...

Více







RSS 

Zprávičky

eMan vykupuje zpět podíl Jablotronu

Pavel Houser , 19. duben 2018 14:32

Strategie obou společností se po více než 2 letech propojení rozcházejí, kontrolu nad firmou získáva...

Více 0 komentářů

Facebook reaguje na nové normy EU, cílená reklama ale nepřestane

ČTK , 19. duben 2018 10:26

Facebook se začal dotazovat svých uživatelů, zda může v jejich fotografiích a videích používat techn...

Více 1 komentářů

Ruské úřady vs. Telegram

ČTK , 19. duben 2018 08:00

Začaly se objevovat informace o rozsáhlých výpadcích služeb, které se sporem nijak nesouvisejí....

Více 0 komentářů

Starší zprávičky

Arbes převzal slovenský Finamis a posiluje v oblasti řešení pro kapitálové trhy

ITBiz.cz , 18. duben 2018 16:30

Arbes Technologies za nezveřejněnou sumu získala majoritní podíl ve slovenské společnosti Finamis, k...

Více 0 komentářů

Sophos: jsou podniky ohroženy neidentifikovaným síťovým provozem

Pavel Houser , 18. duben 2018 10:30

Správci IT nejsou schopni identifikovat 45 % síťového provozu organizace....

Více 1 komentářů

Kvůli IT na ministerstvu práce padlo trestní oznámení

ČTK , 18. duben 2018 09:00

Vedení ministerstva práce podalo trestní oznámení kvůli pořízení resortního ekonomického informačníh...

Více 0 komentářů

EK: Soudy budou moci vyžadovat předání elektronických důkazů

ČTK , 18. duben 2018 08:00

Policisté a vyšetřovatelé se na provozovatele služeb budou moci obracet jen se souhlasem soudu....

Více 0 komentářů