В прошлом году в новостях то и дело появлялись сообщения о том, что с очередным обновлением операционной системы что-то пошло не так. Microsoft неоднократно публиковала патчи, исправляющие недостатки, появившиеся при установке предыдущих патчей. Все это усилило и так существовавшее недоверие к необходимости срочного обновления, причем не только системы. Недавно мы провели исследование отношения к апдейтам в разных странах и выяснили, например, что 51% респондентов не устанавливают обновления сразу, а предпочитают сначала подождать, не возникнут ли у кого-нибудь проблемы. И это далеко не только домашние пользователи — так отвечали и представители бизнеса.
В целом их можно понять — никому не хочется, чтобы из-за очередного апдейта внезапно произошла утрата работоспособности компьютеров в корпоративной сети. Простой бизнеса может обернуться значительным ущербом. С другой стороны, нелишне вспомнить инцидент с уязвимостями в Microsoft Exchange. Атаки, использующие опубликованные PoC к этим уязвимостям, начались буквально через пару дней после того, как вышел патч. Очевидно, что истина должна быть где-то посередине — патчи ставить необходимо, делать это нужно достаточно оперативно, но их как-то надо проверять.
Но обновления Windows — это полбеды. Ведь кроме ОС существует еще множество программ, которые также надо обновлять. И их создатели зачастую сообщают о выходящих обновлениях и исправлениях не так активно, как это делает Microsoft. Возникает закономерный вопрос — как администраторам узнавать об апдейтах и правильно приоритизировать их установку.
Разворачивание патча в тестовой среде
К сожалению, полностью автоматизировать установку обновлений в корпоративной среде невозможно. Из-за особенностей ПО и железа, используемого в каждой конкретной компании, всегда остается опасность, что очередное обновление приведет к несовместимости и ошибке. Поэтому окончательное решение — устанавливать патч на все компьютеры компании или нет, должен принимать системный администратор, знакомый со спецификой компании. А для того чтобы это не привело к сбоям, разумно сначала проверить его в тестовой среде или, по крайней мере, не устанавливать на все компьютеры компании одновременно.
Тестовая среда
В крупных компаниях, особенно в тех, где используется какой-нибудь узкоспециализированный софт, в распоряжении ИБ-отдела имеется тестовая подсеть с компьютерами (или хотя бы несколько виртуальных машин). В небольших — администраторы выделяют один компьютер. На них безопасники или айтишники и проверяют работоспособность очередных обновлений перед раскаткой их по всей компании.
Эти машины (неважно, физические или виртуальные) имитируют типичное рабочее окружение сотрудников. На них устанавливают свежие патчи, а потом некоторое время следят за последствиями. Если что-то пойдет не так, то установку патча на компьютерах остальной инфраструктуры можно заблокировать.
Этот метод, во-первых, достаточно ресурсоемок, а во-вторых, не на 100% надежен. На тестовой машине, тем более на виртуальной, достаточно непросто имитировать полноценную работу живого человека. Возможно, проблемы возникнут не сразу, а во время активации какой-нибудь конкретной функции.
Метод постепенной установки
Иногда и айтишники предпочитают использовать альтернативный метод — постепенной установки патчей. То есть обновления ставятся не на все машины в инфраструктуре, а на какую-нибудь часть. Скажем, на 10%. Если в течение определенного времени проблем не возникает — обновление приходит еще на 40%. И так далее. В этом случае, если проблема и возникнет, то пострадают от нее не все сотрудники, а лишь небольшая часть.
Этот метод также не универсален — часть инфраструктуры продолжительное время остается незащищенной, и пока патчи проверяются на 10% машин, остальные 50% остаются под угрозой. Однако в нем больше шансов поймать какую-то несовместимость — ведь на компьютерах работают живые люди.
Приоритизация установки патчей
С проблемой поиска обновлений и их приоритизации разобраться куда проще. Можно использовать стороннюю систему управления обновлениями — она сама подсказывает администратору, какие обновления, актуальные для используемого в компании ПО, появились, и акцентирует внимание на степени их критичности.
В частности, с этой задачей помогает справиться Kaspersky Systems Management. Это решение позволяет минимизировать риски и упростить администрирование за счет централизации и автоматизации процессов учета программного и аппаратного обеспечения, оценки уязвимостей и распространения исправлений и обновлений. Kaspersky Systems Management входит в состав Kaspersky Endpoint Security для бизнеса.