Обновляйте ПО!

Джонатан Фельдман

В любой отрасли, отличной от отрасли ИТ, установка “заплаты” подразумевает временное решение возникшей проблемы. Для специалистов же по ИТ наложение программных “заплат” было, есть и всегда останется главным занятием. Вопрос лишь в том, кто или что управляет процессом “латания”: мы им или он нами?

Установка “заплат” не должна относиться к компетенции службы безопасности. Своевременное обновление ПО необходимо для обеспечения эффективности и качества его работы.

Предприятия, сумевшие “залатать” все “дыры”, обязаны этим скорее собственному опыту по поддержанию ПО, а не программе-мастеру обновлений. Оценивая возможности вашего отделения ИТ, определите наиболее критичные для бизнеса приложения и обеспечьте их сопровождение.

Применительно к рабочим станциям управление “заплатами” сводится к централизованному управлению их программным обеспечением. Выложив приличную сумму за управляющую консоль, вы вскоре оцените достоинства автоматического управления парком рабочих станций.

Всегда рассматривайте рабочую станцию в целом. Если вы приобрели систему управления “заплатами”, гарантирующую безопасность ОС, это еще не значит, что вопрос безопасности приложений снят с повестки дня. Довольно много подобных решений “обходят” его стороной.

Любое приложение способно ослабить защиту ваших рабочих станций. Обновление должно происходить автоматически и охватывать все ПО. Политикой безопасности вашего предприятия должна быть предусмотрена персональная ответственность за обновление ПО.

Не забывайте и о том, что инструментарий централизованного управления рабочими станциями обеспечивает связь со множеством машин. Возникающий при этом риск можно снизить, выработав четкую стратегию тестирования обновлений, их инсталляции и деинсталляции (при необходимости).

Еще раз проштудируйте политику безопасности вашей организации. Учтите, что чрезмерное стремление к разнообразию парка машин тоже приводит к риску. “Заплата”, которая годится для одних рабочих станций, может оказаться непригодной для других.

Разумеется, некоторое разнообразие парка машин в рамках структурных подразделений компании допустимо. Риск возникает лишь тогда, когда мы не можем контролировать это разнообразие. Если ваша политика безопасности полностью “развязывает руки” пользователям, то вы подвергаете ваши рабочие станции высшей степени риска. От него не спасет никакая программа-мастер обновлений.

Вывод: вам необходимо иметь четкий план тестирования и дистрибуции обновле-ний. Множащиеся день ото дня факты выявления все новых и новых уязвимостей свидетельствуют о том, что времени на раздумье у вас не осталось. Сначала как следует протестируйте “заплату”, потом установите ее на нескольких одинаковых машинах, постепенно охватывая весь парк.

Наука тестирования

Если ваша лаборатория всегда наготове, то процесс тестирования очередной “заплаты” займет минимум времени. Тестовая сеть лаборатории должна с максимальной степенью приближения имитировать вашу рабочую среду. Внимательно изучите ваше сетевое окружение на предмет его прочности. Компания Gartner отмечает следующее: только установив надлежащим образом системы предотвращения сетевых вторжений, системы обнаружения вторжений на хосты и персональные МЭ, можно обновлять ПО не чаще одного раза в квартал.

Но даже при отсутствии этих систем можно снизить степень риска. Изучите списки управления доступом. Если у вас имеется сетевое устройство-посредник, исследуйте его возможности фильтрации, чтобы предупредить проникновение “червей” в сеть. Имея под рукой инструментарий для анализа трафика, установите пороговые значения для генерации предупреждений в случае выхода объема трафика за рамки нормы. Если ваш инструментарий позволяет регистрировать события для каждой рабочей станции, обязательно задействуйте такую возможность.

Взаимодействие не менее важно, чем планирование. Вы должны убедить руководство, что управление обновлениями ПО — дело не одного дня. “Дыры” и “заплаты” к ним могут появляться нежданно-негаданно. Если взаимодействие налажено, регулярное обновление ПО не принесет вашей компании ничего, кроме выгоды..