Jak ve firmách optimalizovat záplatování softwaru

Pavel Houser , 30. květen 2012 08:00 0 komentářů
Jak ve firmách optimalizovat záplatování softwaru

Oprav zranitelností se v poslední době vydává velmi mnoho. Na jednu stranu to znamená, že dodavatelé berou bezpečnost mnohem vážněji než ještě před pár lety. Na druhé straně s sebou tento trend nese i zvýšenou zátěž i pro firemní administrátory.

S nejistou bezpečnostní politikou některých dodavatelů softwaru nelze přímo nic dělat, je nicméně možné stanovit určité priority, které umožní i s omezenými zdroji postupovat celkem efektivně. Tipy pro optimalizaci tohoto procesu se nedávno pokusil shrnout Amol Sarwate, ředitel výzkumu zranitelností ve společnosti Qualys.

Jaké jsou hlavní problémy správy a jak je překonávat?

  • Zejména velké firmy potřebují nástroje pro správu aktiv, je třeba provádět pravidelné inventury majetku. Pokud nevíte, že nějaké počítače vůbec existují, těžko se o ně můžete adekvátně starat.
  • Záplaty pro kritické systémy je před jejich nasazením třeba testovat. Testovací cyklus oprav by ale neměl být příliš dlouhý. Když se např. vše utopí v byrokracii a vyžaduje řadu schválení, dostanou útočníci čas pro napadení zranitelných strojů
  • Neodkládejte instalaci záplat ani tehdy, když je přitom třeba přerušit provoz kritických aplikací a systémy restartovat. Nebojte se zasáhnout do kritické aplikace (týká se především databází a informačních systémů, do kterých administrátoři často raději vůbec nevrtají).

Je také dobré si neustále uvědomovat, že žádné řešen pro zjednodušení správy není samospasitelné. Zde hlavně platí, že:

  • Neexistuje ideální systém pro správu záplat; některé jsou například skvělé pro aktualizace Windows, ale nehodí se pro databáze. Smiřte se s tím, že vedle sebe budete mít různé systémy a že práci třeba nepůjde zcela automatizovat a něco bude nutno provést ručně.
  • Snaha obejít instalaci záplat má své nevýhody. Namísto „skutečných“ záplat je opravdu možné nasazovat opravy „virtuální“ - přidat nějaké definice malwaru, pravidlo pro firewall nebo systém pro detekci průniku či kontrolu síťového provozu. Toto řešení by ale mělo být pouze dočasné, např. po dobu testování záplaty. Jinak se různá pravidla mohou dostávat do sporu, každopádně takový systém pak bude velmi obtížné spravovat. Po instalaci samotné záplaty je lépe vrátit změny v síti do původního stavu.
  • A hlavně:

    Je-li to technicky možné a ekonomicky únosné, nepřetěžujte servery příliš mnoha produkty od jednotlivých dodavatelů, vyhraďte různým podnikovým aplikacím dedikované servery. Opravy různých dodavatelů spolu mohou kolidovat. Závažnost tohoto problému sice postupně klesá, přesto však stále existuje.

Jak se chovat v kritických momenech a na co si dát pozor

Zde platí tři jednoduchá pravidla + obrnit se notnou dávkou trpělivosti.

  1. Při neexistenci řešení výrobce buďte opatrní. Instalace záplat od třetích stran je krajní řešení, přistupujte k nim pouze v případě absolutní důvěry k subjektu, který ji vydal, a když je jinak problém kritický. Raději se řiďte pokyny původního dodavatele softwaru.
  2. Pozor na vypršení licencí k softwaru; po tomto datu záplaty obvykle přestanou být k dispozici. Výsledkem může být chaos (respektive, nefunguje-li správně systém pro správu aktiv, chaos už nastal).
  3. SCADA a další řídicí či průmyslové systémy dnes stále častěji běží ne na speciálních OS, ale na upravených verzích Windows či Linuxu. Instalace záplat od Microsoftu či linuxových distribucí nemusí být možná. Je třeba tlačit na dodavatele systému, aby vydávané opravy rychle upravil/překompliloval pro své stroje. Lze-li instalovat standardní záplatu např. od Microsoftu, požadujte po dodavateli systému nějaké pokyny a záruky.

Komentáře

RSS 

Komentujeme

HTC: Měl to Google zapotřebí?

Pavel Houser , 24. říjen 2017 06:01
Pavel Houser

Ihned poté, co Google oznámil záměr koupit část HTC, se ozvaly hlasy zpochybňující smysl celé transa...

Více







Kalendář

24. 10. VeeamON Forum 2017
25. 10.

26. 10.
Profesia days 2017
26. 10. Acronis Roadshow 2017
RSS 

Zprávičky

České e-shopy letos opět dosáhnou rekordních obratů

Pavel Houser , 24. říjen 2017 10:00

Internetové obchody od poloviny listopadu obvykle dosahují více než 200 % obratů oproti standardním ...

Více 0 komentářů

Valeo rozšiřuje v ČR své vývojové centrum pro autonomní auta

Pavel Houser , 24. říjen 2017 09:00

V areálu se kromě laboratoří nachází testovací plocha pro systémy automatického parkování....

Více 0 komentářů

Slovensko pozastavilo vydávání průkazů s elektronickým podpisem

ČTK , 24. říjen 2017 08:00

Dosud vydané elektronické podpisy zůstávají v platnosti, ale deaktivují se všechny služby eGovernmen...

Více 0 komentářů

Starší zprávičky

ÚOHS začal posuzovat změnu vlastníka AutoContu

ČTK , 23. říjen 2017 11:15

V IT má Komárkova skupina rychle rostoucí byznys datových center své firmy DataSpring....

Více 0 komentářů

Google investoval do alternativní taxislužby Lyft

ČTK , 23. říjen 2017 09:00

Už v květnu podepsal Lyft dohodu o spolupráci s divizí samořídících aut Alphabetu.

...

Více 0 komentářů

Objem digitálních plateb i nadále roste

Pavel Houser , 23. říjen 2017 08:00

Nastupuje nový platební ekosystém...

Více 0 komentářů

ČSÚ: Volební weby byly nedostupné kvůli útoku DDoS

Pavel Houser , 22. říjen 2017 17:43

Výpadky prezentačních server vznikly na straně externího dodavatele komunikačních služeb. ...

Více 0 komentářů