Patch management

questionPatch mananagement je proces, který se skládá z několika kroků. Začíná zjištěním existence patche, rozhodnutím o jeho relevantnosti, pokračujíc jeho testováním a končící postupným nasazením na všech systémech. Samotný patch je pak kód, který odstraňuje nedostatky ve stávající verzi softwaru. A může se jednat o nedostatky související s bezpečností, stabilitou nebo použitelností.

V okamžiku, kdy se objeví nějaká zranitelnost a je uvolněn odpovídající patch, stojíme před zásadní otázkou, zda ho nasadit nebo ho nejprve důkladně otestovat.

Pokud se rozhodnete patch neprodleně nasadit, tak tím sice snížíte riziko zneužití zranitelnosti, kterou patch odstraňuje, ale na druhou stranu riskujete nestabilitu systému. Je jasné, že pokud budete s nasazením patche příliš dlouho otálet, tak se zase může stát, že danou zranitelnost buď někdo zneužije, nebo o tom alespoň napíše článek na svůj web.

Tihle „experti“ si bohužel neuvědomují, že něco jiného je provozovat server, který navštěvuje jen pár uživatelů denně, a který když nepoběží, tak se nic neděje anebo provozovat systém, který poskytuje služby několika tisícům platících klientů, kteří na něm mají postaven svůj vlastní business.

Zde je nasazení patche nebo provedení jakékoliv změny nutné velice pečlivě zvážit a důkladně otestovat. A zapomínat byste neměli ani na downgrade test, protože nikdy nemáte jistotu, že se problém neobjeví až po nějaké době.

Vždy byste si měli položit otázku, co by se mohlo stát, kdyby daná zranitelnost byla opravdu zneužita. Jaká je pravděpodobnost, že k tomu dojde? Existuje snad již nějaký exploit? Je snadné ho zneužít? Je váš systém dostupný z internetu? Je instalace patche jediné možné řešení? Tohle jsou základní otázky, které byste si měli položit při stanovení závažnosti zranitelnosti.

Pokud musíte určitý patch nasadit na více systémech, proveďte rychlou analýzu rizik, seřaďte rizika a začněte s instalací patchů na těch serverech, kde vám rizika vyšla jako nejvyšší. Pokud vám riziko vyjde jako nízké nebo je možné dané riziko snížit jiným způsobem než instalací patche, udělejte to a patch nejprve důkladně otestujte.

Nejde však jen o patche, které se nasazují na servery, ale i o ty, které se nasazují na koncová zařízení, a zde je problém ještě horší. Vezměte si třeba takovou typickou koncovou stanici, na které se zpravidla nachází operační systém od společnosti Microsoft, a dále jsou na ní nainstalované i další běžné aplikace jako je např. Internet Explorer, Adobe Flash Player, Adobe Reader, JAVA a Microsoft Office.

A teď si představte, že se objeví nějaká kritická zranitelnost v prohlížeči nebo Adobe Flash Playeru a vy stojíte před rozhodnutím, zda daný patch bez nějakého dalšího testování okamžitě nasadit na několik tisíc vámi spravovaných koncových stanic anebo ne. Na jedné straně zde riskujete nákazu v okamžiku, kdy zaměstnanec zavítá s neopatchovaným prohlížečem nebo Adobe Flash Playerem na web s exploitem a na straně druhé zase riskujete, že některé aplikace nebudou s novou verzí fungovat.

Jak se rozhodnete, nasadíte bezodkladně takový patch?

Nahrávání ... Nahrávání ...


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:

  1. Miroslav Čermák

    Zde je odpověď na otázku, proč velké společnosti nepatchují, resp. proč nepatchují hned, jak se patch objeví. Je to proto, že čas od času patch způsobí problémy, například: http://thehackernews.com/2014/08/Microsoft-Patch-update-Blue-Screen-of-Death.html.


K článku “Patch management” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: