Итак, коллеги, продолжая тему споров на профессиональные тематики хочу сегодня предложить обсудить вопрос обновления/установки патчей. Тема эта опять же не однозначная, с одной стороны все понимают, что обновлять системы необходимо, т.к. хакеры как правило ориентируются именно на непропатченные уязвимости. С другой стороны, само по себе обновление систем может создать проблемы посерьезнее, чем вредоносный код, т.к. частенько случается, что новый патч может стать причиной сбоя системы, потери работоспособности прикладного ПО, скрытых глюков, которые даже не сразу проявляются.
Итог, некоторые специалисты предпочитают либо вообще не обновлять некоторые критичные системы (по принципу "не стоит менять то, что работает"), либо делать это крайне редко.
Мое мнение - обновлять все (!) системы необходимо, но:
во-первых это необходимо делать по согласованному графику (не часто, не редко, в среднем критические уязвимости должны закрываться в течение 1-2 месяцев)
во-вторых все обновления должны быть предварительно протестированы либо на тестовых системах, либо на схожих "живых" системах, но не выполняющих критические функции (например, прежде чем обновить весь парк рабочих станций можно протестировать обновления на десятке активных пользователей, готовых мирится с возможными сбоями)
в-третьих, исключения для ряда систем возможны (например, установленное ПО вообще никак не работает с новым патчем, а разработчик обновлять ПО не собирается, т.к. эта версия уже не поддерживается), но они должны быть согласованы с руководством (включая обсуждение возможных рисков), документально закреплены и должны быть продуманы и реализованы компенсирующие меры
Я убежден, что найдутся и противоположные мнения, давайте поспорим, коллеги.
насчет пользователей, готовых мириться с возможными сбоями - по моему опыту как раз бизнес то и не готов с этим мириться, поэтому этот вариант, на мой взгляд, менее реализуем, чем тестовая среда.
ОтветитьУдалитьОбновления, на мой взгляд, нужны:
ОтветитьУдалить1) обновлнеия - это не только вопрос безопасности, но и функциональности приложения. Поэтому появляется дополнительные заинтересованные стейкхолдеры.
2) связка IE+Adobe Reader+Java в любом случае требует обновлений. Одна pdf-ка с липовым резюме, но с реальным трояном, для сотрудника HR - и вся сеть скомпрометирована.
Коллеги, подскажите интересные материалы по vulnerability management :)
Нужен разумный баланс. Некоторые системы позволяют относительно безболезненно обновляться при использовании регламентного обновления и предварительного тестирования (процедура должна быть просто обязательна). С другими может быть большая головная боль. В таком случае возможно использовать ограничение доступа к сервисам на уровне МСЭ и систем прикладного IPS. Так называемый "виртуальный патчинг"
ОтветитьУдалитьА мне вот видится другое высокоуровневое обоснование сего процесса: пусть лучше организация сама будет контролировать возможные падения своих сервисов при обновлениях, чем это за нее будут делать другие :)
ОтветитьУдалить