Patchovat, záplatovat, zadrátovat, zalepit …

díry a zranitelnosti operačních systémů a aplikací.

Patchovat, záplatovat, zadrátovat, zalepit …


Na úvod pár faktů:

Věděli jste, že:

  • z celkového počtu odhalených kyber útoků na celém světě bylo 30 % zaměřeno na produkty společnosti Adobe a aplikací Java a Microsoft Internet Explorer?
  • mezi tři nejčastěji napadané technologie v tomto roce patřili Adobe Flash Player, Microsoft Internet Explorer a Microsoft Silverlight?
  • 77 % ze všech odhalených vyděračských útoků (ransomware) bylo orientováno na oblasti obchodu a poskytování profesionálních služeb (28 %), státní správy (19 %), zdravotnictví (15 %) a maloobchodu (15 %)?
  • účinný proces patch managementu je pro mnoho IT oddělení stále velkou výzvou? Až 21 % IT oddělení provozuje systémy, které nemají ošetřenou vulnerabilitu (zranitelnost), která je známá již více než tři roky a u 12 % z nich dokonce i více jak pět let. Pro zkušené hackery nebo pro automatizované kyber zločince je zneužití těchto děr velmi jednoduché. A přitom se nabízí opravdu jednoduché řešení zavedením účinného programu pro ošetřování zranitelnosti systémů, v rámci pravidelného procesu patch managementu okamžitě dojde ke zvýšení obtížnosti jejich zneužití.
  • do roku 2020 se počet připojených zařízení zvýší ze současných 7 na více jak 20 miliard. Toto postupné sbližování klasických IT zařízení s jinými zařízeními (např. ze skupiny IoT) bude mít za následek enormní nárůst počtu zranitelností, které bude potřeba zvládnout.
  • … cílem každé organizace by mělo být vybudování odolného systému, který minimalizuje dopad závažných útoků na provoz podnikové sítě a systémů. Dosažení takto odolného systému je výzvou, výběrem a implementací správných bezpečnostních pravidel je možné toho dosáhnout. Bezpodmínečnou podmínkou je ovšem udržovat všechny IT systémy aktualizované. Mnoho úspěšných útoků vychází ze skutečnosti, že laptopy, desktopy, smartphony a další zařízení nemají nainstalovány poslední aktualizace a patche. Bez pravidelné aktualizace systémů a instalace patchí zůstanou zařízení s oslabeným zabezpečením, které mohou útočníci zneužít. …

 

Zdroj: NTT Security & NTT Data, 2017 Global Threat Intelligence Report

 

S odkazem na poslední vyděračské útoky (WannaCry a Petya/Petrwrap) je třeba si uvědomit, že se nejedná o žádný nám vzdálený problém. Bez vlivu nezůstaly řady společností a státních organizací v České republice i na Slovensku. Na druhou stranu je třeba si připustit, že se nikdy nepodaří těmto napadením zcela zabránit, což ovšem nesmí být argumentací pro ignorování těchto rizik. Pokud chcete, aby vaše systémy byly pod maximální možnou ochranou, musíte pravidelně provádět patchování, a to jak operačních systémů, tak aplikací, a nezapomínat na aplikace třetích stran. Jedním z výzkumů bylo zjištěno, že právě aplikace třetích stran se mohou stát až z 86% branou pro nezvané hosty do vaší sítě.

S udržováním systémů v aktuálním stavu vám pomohou specializované nástroje, které jsou schopny celý proces provádět zcela automatizovaně bez zbytečného nadužívání lidských zdrojů a s detailními zprávami z průběhu celého procesu patch managementu, například od společnosti Ivanti.

Právě s ohledem na výše uvedené bych se s vámi rád podělil o svou osobní zkušenost spojenou s touto problematikou. Ještě nedávno jsem stál na straně poskytovatele komplexních ICT služeb v roli manažera týmu, jehož úkolem bylo zajištění provozu všech IT služeb pro jednoho z nejvýznamnějších zákazníků. Jedním z rutinních úkolů mého týmu bylo i provádění pravidelného patchování operačního systému Microsoft Windows u fyzických i virtuálních serverů. Patchování bylo součástí servisní smlouvy se zákazníkem a nebylo možné jakkoliv tuto činnost omezovat, a to ani s ohledem na požadavek snižování výdajů na práci přesčas. Každý měsíc ve čtyřech týdenních cyklech bylo nutné naimplementovat vybraný seznam patchí na více jak 300 serverů, a to pouze o víkendech a přesně v době tomu vymezené. Podle platného procesu byl každý víkend třemi až čtyřmi techniky manuálně navolen seznam schválených patchí pro skupinu až 75 serverů a následně s podporou WSUSu spuštěn proces aktualizace, který byl po celou dobu víceméně aktivně techniky monitorován. Určitě si dokážete představit, že celková doba pravidelně představovala něco mezi 15 a 35 hodinami víkendové práce přesčas, kterou bylo nutné zaměstnancům proplatit. Jednalo se tak o nemalé prostředky v řádech tisíců eur měsíčně. Navíc tento systém neumožňoval technikům plnohodnotné využití volného času, který měli mít na odpočinek a rekonvalescenci po perném pracovním týdnu.

 

Vzhledem k nutnosti zlepšit pracovní podmínky techniků, právě s ohledem na lepší vyvážení času na práci a odpočinek, ale také z důvodu požadavku snížit enormní náklady spojené s prací přesčas, začala společnost uvažovat o změně procesu. Vizí byla implementace takového softwarového nástroje, který celý proces plně automatizuje, minimalizuje možnost vzniku lidských chyb a poskytne detailní informace o celém jeho průběhu a výsledku. To vše za účasti pouze 1 technika, který ve stanovených časech provede kontrolu stavu a případně zkoriguje postup, kdy předpokládaná práce přesčas neměla přesáhnout 2 hodiny.

Na základě doporučení jednoho z techniků byl vybrán software společnosti Ivanti založený na technologii Shavlik. Ve výběru tohoto nástroje sehrála důležitou roli výhoda jeho jednoduché instalace do našeho prostředí, spolehlivé a intuitivní ovládání a velmi dobře propracovaná a vyspělá funkcionalita tvorby reportů. Nákupem, implementací a pravidelným používáním jsme dosáhli nejenom všech předem definovaných cílů, ale především jsme získali velikou důvěru zákazníka v nově implementovaný proces, který se rozhodl používat i pro implementaci patchů nejen u operačních systémů, ale i na aplikační úrovni.

 

Robert Bělohlávek, Enterprise Sales Manager at Ivanti

 

Společnost Ivanti je jedním z předních lídrů v oblasti procesu Patch Managementu. Její produkty se neomezují pouze na systémy Microsoftu, ale jsou multiplatformní z pohledu operačních systémů (Linux, Unix, macOS) i z pohledu typu zařízení, pro které je možné jej využít (servery, laptopy, desktopy, smartphony, …). Důležitá je jejich schopnost implementace patchí na zařízení v rámci i mimo podnikové sítě, na zařízení bez ohledu na stav napájení nebo zda jsou online či offline.

 

Pro více informací navštivte stránky zastoupení pro Českou republiku a Slovensko:  www.ivanti.cz.

Úvodní foto: Fotolia © leowolfert










Komentáře