Cum să reușești la managementul patch-urilor în timp ce rămâi sănătos

Managementul patch-urilor este filtrul cuptorului din lumea IT. Știi că trebuie să o actualizezi și știi că ar trebui să o faci în mod regulat. Dar continuați să o eliminați până când deodată întârziați cu câteva luni și sunteți încurajați de hackeri și malware. Întregul proces este înrăutățit deoarece, nu numai că aveți timp prețios pentru a vă gestiona diversele sarcini de patch-uri, ci pentru a fi în întregime în carte, ar trebui să testați aceste patch-uri cu software și sisteme de operare (OS) pe care le aveți. instalate la fel ca unele cu altele. Și ar trebui să faceți toate acestea între un râu neobișnuit de cereri ale utilizatorilor, priorități de gestionare și munca de zi cu zi de a vă menține rețeaua și serverele în funcțiune. Însă cei care scapă de patch-uri adesea se termină pe afaceri la sfârșitul unei încălcări masive de date care face știri naționale și, de obicei, duce la primirea unui slip roz. Deci, cum ai de gând să faci toate aceste lucruri?

Răspunsul scurt este că, probabil, nu poți remedia totul decât dacă ai norocul să ai un personal neobișnuit de mare și un ofițer financiar șef (CFO), suficient de generos pentru a-i plăti pe toți acei oameni împreună cu tot ce trebuie să cumperi. face ca un centru de date să funcționeze. Există pachete software de monitorizare a rețelei care includ funcții de corecție, dar acestea nu acoperă de obicei tot ceea ce trebuie să faceți o patch dintr-o singură cutie. Soluțiile de gestionare a dispozitivelor au adesea capabilități de corecție, dar pentru infrastructură, chiar și infrastructură critică, cum ar fi routere, comutatoare și dispozitive similare, s-ar putea să folosiți mai multe instrumente de corecție pentru mărci individuale.

Și nu credeți că puteți scăpa doar devenind total bazate pe cloud. În primul rând, aproape nimeni nu este bazat pe cloud la sută în zilele noastre, așa că aproape sigur veți avea niște infrastructură în centrul de date pe site. În plus, nu veți scăpa niciodată de lista mereu în creștere a dispozitivelor client care au nevoie de sisteme de corecție cu sistem de operare și firmware, precum și de active locale „inteligente”, cum ar fi camere, dispozitive NAS (stocare atașate la rețea), imprimante și multe altele. Toate acestea trebuie să fie păstrate la zi, așa că diavolul patch vine să te găsească indiferent de ce.

Dacă sunteți ca mulți manageri, atunci veți obține personalul care lucrează la ceea ce pare a fi cele mai importante actualizări. Le descarci, poate le testezi, le împingi în producție și apoi speri la cele mai bune. Modul în care alegeți importanța depinde de obicei de o varietate de factori sau chiar de preferințele personale, dar se bazează frecvent doar pe care exploatează sunetul cel mai amenințător. Aceasta poate fi viața reală, dar acesta nu este cel mai bun mod de a face asta.

Cele mai multe sarcini presante pentru profesioniștii în domeniul securității cibernetice în 2018

Prioritizarea, clasificarea și scanarea

În primul rând, aveți prioritate, spune Ed Bellis, co-fondator și Chief Technology Officer (CTO) al Kenna Security. "Există anumite subseturi mici pe care trebuie să le acorde prioritate", a spus Bellis. Determină care este acel subset de patch-uri, uitându-te la funcțiile care sunt cele mai critice pentru afacerea ta, iar apoi la patch-urile care vor face cea mai mare diferență pentru aceste funcții.

„De exemplu, e-mailul ar putea fi critic și poate fi format din dispozitive care sunt critice”, a explicat Sean Blenkhorn, Field CTO și VP al Worldwide Sales Engineering de la eSentire. El a spus că este necesar să decideți cât de importante sunt diverse sisteme pentru afacerea dvs. și să vă concentrați pe cele mai întâi. Împărțiți-le în elementele lor „patchile” și construiți-vă strategia de acolo. În acest caz, ar putea fi firmware-ul serverului, firmware-ul de stocare, sistemul de operare al serverului și software-ul serverului de e-mail, precum și software-ul său anti-malware / anti-spam asociat serverului, dacă există. Software-ul de protecție a punctului de vedere orientat către client nu este de obicei o mare parte a strategiilor de corecție manuală, deoarece acest tip de software se actualizează în sine, cu excepția cazului în care IT specifică altfel.

Blenkhorn a spus că o greșeală pe care multe organizații o fac este să ruleze mai întâi un scaner de vulnerabilitate, dar a spus că, fără a clasifica mai întâi ce sisteme sunt cele mai importante, puteți termina cu pagini cu rezultate de vulnerabilitate și să nu știți când sau dacă să aplicați remedieri.

"Mai întâi, faceți clasificarea și apoi faceți scanarea", a spus Blenkhorn. El a spus că trei scanere de vulnerabilitate pe care le vede folosite de cele mai multe ori sunt de la Qualys sau Tenable, dar observă că există alte câteva.

El a spus că motivul pentru care vă clasificați sistemele înainte de scanare este astfel încât să puteți lua o decizie inteligentă cu privire la care ar trebui să fie prioritatea lor. De exemplu, dacă găsiți o vulnerabilitate gravă într-un sistem care este rar utilizat sau care nu face nimic cu adevărat important, atunci poate ar fi cel mai bine să renunțați pur și simplu la sistemul respectiv, sau cel puțin să îl opriți până puteți obține timp. să-l patească.

Visul imposibil: corecți toate vulnerabilitățile

Efectuând mai întâi clasificarea, puteți afla, de asemenea, când o vulnerabilitate trebuie să fie patchată imediat, poate pentru că este esențială pentru organizația dvs. și, de asemenea, cu privire la internet. Poate că, de asemenea, puteți amâna plasarea unui sistem care are vulnerabilități care nu au exploatări, nu este orientat către internet sau ambele. El a spus că este important nu numai să stabilim dacă există o vulnerabilitate, dar și dacă există o exploatare și dacă exploitarea este folosită.

În multe cazuri, a spus Blenkhorn, nu există exploatări în lumea reală, ceea ce înseamnă că ar putea avea mai mult sens să vă concentrați asupra altor acțiuni. O modalitate de a obține un control asupra vulnerabilităților este să analizezi rapoartele profesionale de evaluare a securității cibernetice de la furnizori precum Kenna Security. Aceste rapoarte analizează diverse baze de date despre amenințări și raportează constatările lor, măsurând vulnerabilitățile pe o varietate de factori, în funcție de modul în care vânzătorul raportului a abordat subiectul.

"Primul nostru raport care a apărut primăvara trecută", a spus Bellis, "am analizat fiecare vulnerabilitate din baza de date". El a spus că cel de-al doilea raport a apărut tocmai în ianuarie 2019. Potrivit lui Bellis, analiza sa se concentrează asupra faptului că foarte puține vulnerabilități au de fapt exploatări cunoscute, ceea ce înseamnă că este mai mult sens să te concentrezi asupra acelora, mai degrabă decât asupra vulnerabilităților care este puțin probabil să apară vreodată. fii atacat. Raportul ajută profesioniștii IT să ia această determinare pentru infrastructura instalată.

„Am redus acele vulnerabilități în funcție de sursa tehnologică”, a explicat Bellis. El a spus că cele mai importante vulnerabilități pot proveni de la Oracle pentru amprenta masivă a bazei de date, Adobe pentru clientul său Reader, răspândit și permanent, Microsoft pentru Microsoft Windows 10 și furnizori de software la fel de mari. Dar a menționat că pot exista diferențe mari în modul în care sunt gestionate aceste vulnerabilități.

"Există o diferență imensă în rata de remediere", a spus Bellis. "A devenit destul de clar că Microsoft a făcut foarte ușor și operațional pentru clienți să-și corecteze vulnerabilitățile. Oracle și Java sunt la celălalt capăt al acestei scări."

Luați abordarea automatizată

O altă abordare este achiziționarea de software special care va lua o mare parte din analiza și programarea greutății managementului plasturelor de pe umeri. Aceasta este abordarea automatizată.

"Administratorii IT nu pot să țină cont manual despre toate patch-urile care lipsesc în rețeaua lor", a declarat Giridhara Raam M, Product Evanghelist pentru ManageEngine (o divizie a Zoho Corporation), într-un schimb de e-mail. "Prin urmare, ar avea nevoie de un sistem automat pentru a scana rețeaua, pentru a identifica patch-urile lipsă, pentru a descărca aceste patch-uri de pe site-ul furnizorului, pentru a testa patch-uri și pentru a le implementa la mașinile vizate la timp", a continuat el. "Administratorii IT ar trebui să poată programa aceste implementări în afara programului de lucru pentru a evita dificultățile angajaților."

ManageEngine are instrumente care vă pot ajuta, la fel ca și alți furnizori, inclusiv LogicMonitor și Microsoft. Cu toate acestea, este încă necesar să clasificați activele de rețea pentru a ști pe care vulnerabilități trebuie să vă concentrați.

Clasificarea este cheia. Nu trebuie să vă concentrați pe fiecare vulnerabilitate simultan; trebuie doar să începeți pe cele care sunt cel mai probabil să provoace probleme imediat și apoi să construiți de acolo.