Oprav zranitelností se v poslední době vydává velmi mnoho. Na jednu stranu to znamená, že dodavatelé berou bezpečnost mnohem vážněji než ještě před pár lety. Na druhé straně s sebou tento trend nese i zvýšenou zátěž i pro firemní administrátory.
S nejistou bezpečnostní politikou některých dodavatelů softwaru nelze přímo nic dělat, je nicméně možné stanovit určité priority, které umožní i s omezenými zdroji postupovat celkem efektivně. Tipy pro optimalizaci tohoto procesu se nedávno pokusil shrnout Amol Sarwate, ředitel výzkumu zranitelností ve společnosti Qualys.
Jaké jsou hlavní problémy správy a jak je překonávat?
- Zejména velké firmy potřebují nástroje pro správu aktiv, je třeba provádět pravidelné inventury majetku. Pokud nevíte, že nějaké počítače vůbec existují, těžko se o ně můžete adekvátně starat.
- Záplaty pro kritické systémy je před jejich nasazením třeba testovat. Testovací cyklus oprav by ale neměl být příliš dlouhý. Když se např. vše utopí v byrokracii a vyžaduje řadu schválení, dostanou útočníci čas pro napadení zranitelných strojů
- Neodkládejte instalaci záplat ani tehdy, když je přitom třeba přerušit provoz kritických aplikací a systémy restartovat. Nebojte se zasáhnout do kritické aplikace (týká se především databází a informačních systémů, do kterých administrátoři často raději vůbec nevrtají).
Je také dobré si neustále uvědomovat, že žádné řešen pro zjednodušení správy není samospasitelné. Zde hlavně platí, že:
- Neexistuje ideální systém pro správu záplat; některé jsou například skvělé pro aktualizace Windows, ale nehodí se pro databáze. Smiřte se s tím, že vedle sebe budete mít různé systémy a že práci třeba nepůjde zcela automatizovat a něco bude nutno provést ručně.
-
Snaha obejít instalaci záplat má své nevýhody. Namísto „skutečných“ záplat je opravdu možné nasazovat opravy „virtuální“ – přidat nějaké definice malwaru, pravidlo pro firewall nebo systém pro detekci průniku či kontrolu síťového provozu. Toto řešení by ale mělo být pouze dočasné, např. po dobu testování záplaty. Jinak se různá pravidla mohou dostávat do sporu, každopádně takový systém pak bude velmi obtížné spravovat. Po instalaci samotné záplaty je lépe vrátit změny v síti do původního stavu.
-
A hlavně:
Je-li to technicky možné a ekonomicky únosné, nepřetěžujte servery příliš mnoha produkty od jednotlivých dodavatelů, vyhraďte různým podnikovým aplikacím dedikované servery. Opravy různých dodavatelů spolu mohou kolidovat. Závažnost tohoto problému sice postupně klesá, přesto však stále existuje. |
Jak se chovat v kritických momenech a na co si dát pozor
Zde platí tři jednoduchá pravidla + obrnit se notnou dávkou trpělivosti.
- Při neexistenci řešení výrobce buďte opatrní. Instalace záplat od třetích stran je krajní řešení, přistupujte k nim pouze v případě absolutní důvěry k subjektu, který ji vydal, a když je jinak problém kritický. Raději se řiďte pokyny původního dodavatele softwaru.
- Pozor na vypršení licencí k softwaru; po tomto datu záplaty obvykle přestanou být k dispozici. Výsledkem může být chaos (respektive, nefunguje-li správně systém pro správu aktiv, chaos už nastal).
- SCADA a další řídicí či průmyslové systémy dnes stále častěji běží ne na speciálních OS, ale na upravených verzích Windows či Linuxu. Instalace záplat od Microsoftu či linuxových distribucí nemusí být možná. Je třeba tlačit na dodavatele systému, aby vydávané opravy rychle upravil/překompliloval pro své stroje. Lze-li instalovat standardní záplatu např. od Microsoftu, požadujte po dodavateli systému nějaké pokyny a záruky.