Záplatování děr nemusí být drahé a frustrující

Okamžik, kdy se uživatel vnitřně smíří s tím, že v každém softwaru jsou chyby, by mu měl přinést úlevu z pozná...


Okamžik, kdy se uživatel vnitřně smíří s tím, že v každém softwaru jsou chyby,
by mu měl přinést úlevu z poznání nevyhnutelného. Zcela opačné pocity však
musejí zažívat lidé zodpovědní za chod firemní IT infrastruktury. Jejich úkolem
je totiž zajistit aplikaci bezpečnostních záplat na objevené slabiny
spravovaných systémů dříve, než je někdo zneužije ve svůj prospěch.
Správa bezpečnostních záplat (patchů) přináší IT oddělením firem nejednu těžkou
chvíli. Jde o záležitost drahou, frustrující a v podstatě každodenní. Produkty
Microsoftu, které jsou množstvím záplat proslulé, jsou totiž takřka
všudypřítomné a navíc, po pravdě řečeno, se záplatování týká zdaleka nejen
jich. Tento problém se nevyhýbá žádnému z důležitých operačních systémů a
aplikací. Naštěstí jej ovšem lze dostat pod kontrolu.
Ve velkých společnostech může při nevhodné organizaci proces správy záplat
snadno paralyzovat běžné procesy v IT oddělení. Je k němu totiž potřeba
dostatek času a dalších zdrojů. Následky v oblasti nákladů jsou obrovské.
Společnost Aberdeen Group specializující se na průzkum trhu odhaduje, že jen v
USA přijde firmy správa bezpečnostních záplat celkově na 2 miliardy dolarů
ročně.
"Získání souhrnné znalosti o tom, kde lze nalézt příslušné záplaty a jak je
správně aplikovat, to je skutečně výzva," říká Andrew Nielsen, senior technolog
pracující pro společnost Raytheon Technical Services, která zajišťuje IT
podporu jednoho z výzkumných center NASA. Úroveň frustrace spojená s aplikací
záplat na Windows může podle něj v nejedné firmě přesáhnout únosné meze.

Vhodné nástroje
Pro zjednodušení své práce začal Nielsen velice brzy používat nejrůznější
podpůrné softwarové nástroje. Na základě získaných zkušeností se pak rozhodl
pro nasazení jednoho komplexnějšího produktu. Zvolil nástroj pro sledování
záplat od společnosti Shavlik Technologies a od té doby, co jej nasadil v
praxi, se podle jeho slov množství času a frustrace spojené s celým procesem
záplatování Windows výrazně snížilo. "Práci, kterou dříve prováděli dva
systémoví správci po většinu svého pracovního dne, dnes zvládne jeden člověk za
půl hodiny," popisuje rozdíl Nielsen.
Řada systémových správců se však dosud bez nástrojů pro správu záplat obejde.
Stav nainstalovaných produktů registruje pouze ve své hlavě a bezpečnostní díry
zabezpečuje podle potřeby průběžně, jak na ně přijde čas.
Během uplynulých dvou let se však situace v této oblasti natolik zkomplikovala,
že se takový postup stává i v menších a středně velkých organizacích velmi
neefektivním. "Je to ironie, ale čím více času věnujete správě záplat na svých
systémech, tím méně času vám pak zbývá na skutečné zajišťování jejich
bezpečnosti," komentuje takový přístup Eric Hemmendinger, analytik společnosti
Aberdeen. V současnosti je k dispozici řada nástrojů umožňujících
automatizovanou správu záplat, a tak i čím dál tím větší množství
administrátorů začíná používat nové postupy. Uživatelé, analytici i výrobci
sdílejí informace o tom, jak zjišťovat potřebu nasazení záplat, jak volit
priority a jak efektivně udržovat podnikové systémy v chodu při minimálních
rizicích bezpečnostních útoků. Přitom se shodují na jednom základním faktu:
Správa záplat je podle většiny z nich jen podmnožinou managementu změn a správy
rizik ve firmě. Porozumění této skutečnosti je podle nich kriticky důležité.

Risk a změna
Pokud ještě nemáte nastaveny procesy správy záplat a máte v úmyslu je
nastartovat, je třeba se nejdříve sejít s vedením firmy a rozhodnout o míře
tolerantnosti vaší firmy ohledně bezpečnosti. Pokud například preferujete
maximální bezpečnost za cenu snížení produktivity, měli byste vypnout své
systémy pokaždé, když jejich výrobce uvolní novou pro ně určenou a pro vás
relevantní bezpečnostní záplatu. Své systémy nespustíte do chvíle, dokud
nestáhnete záplatu, neotestujete její vliv na své systémy a nenainstalujete do
provozního prostředí. Jistě, v praxi nejspíše tak daleko nikdy nezajdete. Jedna
věc je tu ale zřejmá: Je třeba vidět otázku správy záplat jako jednu ze
součástí správy rizik ve vaší firmě.
Podobně to platí také pro správu změn, což je systematický přístup sledování
veškerých změn v prostředí firemních IT. Pro firmy se silnými procesy správy
změn znamená správa záplat prostě jen jeden další proces v celém komplexu.
Bill Anderson, vedoucí produktový manažer pro Microsoft SMS (Systems Management
Server), v této souvislosti zmiňuje zkušenosti jednoho zákazníka, který výrazně
zkrátil čas potřebný pro testování záplat pouze prostřednictvím změny
příslušných procesů: "Ten zákazník mi říkal, že mu dřív trvalo 4 dny, než
otestoval nějakou záplatu na všech firemních konfiguracích Windows. To je ovšem
příliš dlouho. A tak se ve firmě podívali na svoje procesy správy změn a
dospěli k závěru, že kompatibilní proces v oblasti správy záplat zabere jeden
den." Ani jeden den však není podle Andersona uspokojující. "Skutečným cílem je
dosáhnout doby mezi třemi a čtyřmi hodinami," vysvětluje.
Významným problémem je skutečnost, že pouze málo organizací má zavedeny výše
zmíněné procesy. Podle výzkumu CERT (www.cert.org) je 80 % všech výpadků
počítačů způsobeno špatně nakonfigurovanými servery.
Správa záplat tak podle expertů představuje dobrý startovní bod pro širší změny
v managementu změn ve firmě. Vytvoření a realizace politiky správy záplat by se
podle nich mohla stát něčím jako zkouškou šatů na ples na zavedení procesů
managementu změn.

Pozvánka k inventuře
Uživatelé, analytici i výrobci se shodují v tom, že prvním krokem v ochočování
procesů správy záplat by mělo být sestavení seznamu všech součástí IT
infrastruktury. To samozřejmě není snadná úloha, obzvláště pro velké firmy. Jde
ovšem skutečně o nezbytný krok. "Pokud nemáte zmapováno IT prostředí, ve kterém
pracujete, nemůžete ani tušit, co vlastně potřebujete," tvrdí Ralph Logan,
ředitel analytické laboratoře PentaSafe Security Technologies, společnosti,
která se zabývá integrovaným bezpečnostním managementem. Zmapování vaší
infrastruktury vám navíc podle Terryho Grogana, manažera systémové bezpečnosti
LGH (Lancaster General Hospital), umožní objevit, kdo co kde záplatuje.
"Zjistíte, že různá oddělení vaší organizace se k otázce záplatování staví
velmi odlišně," tvrdí.
Provedení inventury by vám mělo dát odpovědi na následující otázky:
Jaké systémy se nacházejí ve vašem IT prostředí?
Jaké jsou v něm využívány operační systémy a aplikace (včetně verzí)?
Jaké záplaty již byly aplikovány?
Kdo co spravuje a jaký je na něj kontakt (důležité ve velkých organizacích)?
Jaké hrozby, které zatím nebyly záplatovány, se týkají nalezených systémů?
Jakmile jednou tato data seberete, nezbývá, než je už jen pravidelně
aktualizovat a zpřístupnit všem, kdo by je mohli potřebovat správcům sítě,
manažerům bezpečnosti nebo systémovým správcům. Podle analytiků byste měli
postupně provádět čtvrtletní updaty v jednotlivých divizích firmy. Tím se celý
velký úkol změní na řadu menších úloh.

Před záplatováním
Pokud máte firemní infrastrukturu pevně v rukou, pak pro vás jistě nebude
problémem navrhnout vhodný způsob správy záplat nebo upravit vaši současnou
politiku aplikovanou v této oblasti. Jedním z prvních kroků by měla být volba
procesů, v rámci kterých se bude zvažovat důležitost nových záplat. Jednou z
možností je využít zkušeností vnitrofiremních expertů, lze to ovšem nechat i na
externí firmě.
Někdy je vhodnější po zveřejnění nové záplaty zůstat v klidu a čekat až na
doporučení organizací, jako např. CERT nebo Sans.org. Tyto skupiny zpravidla
vydávají široce publikovaná doporučení, která umožňují adekvátně zareagovat na
potenciální hrozby.
Když v nemocnici Lancaster General obdrží od firmy PentaSafe záplaty pro své
systémy s Windows, Unixem a IBM AS/400, Grogan se spojí s lidmi ze správy
lokální sítě ohledně záplat týkajících se serverů a se skupinou spravující
koncové stanice ohledně záplat určených pro uživatelská PC. Lidé z těchto
skupin pomohou vyhodnotit, zda je třeba v nemocnici záplatu nasadit, a pokud
ano, tak jak rychle.
Když se např. loni v srpnu objevila informace o bezpečnostní díře v SNMP
protokolu, který je hojně využíván k monitorování a správě síťových zařízení,
mnozí uživatelé se okamžitě začali zajímat o záplaty, stahovat je a nasazovat.
"První reakcí bylo, že všechny počítače s Windows musejí být záplatovány
patchem vydaným Microsoftem," říká Randy Streu, viceprezident pro produktový
management u firmy Configuresoft, která se zabývá výrobou softwaru pro správu
konfigurací a softwarových záplat. Pečlivé čtení odborných bulletinů však podle
něj ukázalo, že záplata je nezbytností pouze pro stroje, na kterých skutečně
běží protokol SNMP. Toto poznání snížilo množství ohrožených strojů na méně než
5 % původního odhadu.
"Musíte skutečně dobře promyslet, k čemu je daná záplata určena a zda je pro
vás důležitá. V případě zmíněného problému s SNMP jsem se například rozhodl, že
prostě jen zakážu SNMP provoz přicházející do mého firewallu," vysvětluje
Grogan. Toto rozhodnutí podle něj ušetřilo nemocnici peníze i čas potřebný pro
aplikaci záplat na stovky desktopových PC.

Testujeme
Jakmile se jednou rozhodnete záplatu aplikovat, je nezbytné provést její testy
na bezpečnost a kompatibilitu s firemním prostředím. Streu doporučuje vyzkoušet
záplatu nejdříve v laboratorním prostředí k tomu určeném a poté ji (pokud
uspěje) aplikovat na 10 % nejméně kritických systémů. Teprve následně ji podle
něj lze nasadit v celém IT prostředí firmy. "Pokud to uděláte tímto způsobem,
máte jistou záruku, že v případě selhání záplaty můžete vše poměrně snadno
uvést do původního stavu," říká. Mnozí uživatelé připouštějí, že idea 10 % je
sice pěkná, ale vzhledem k časovému presu často jen těžko realizovatelná. A tak
jsou záplaty mnohdy nasazovány po omezených testech rovnou do produkčního
prostředí. Nielsen doporučuje vytvořit doménu pro testování záplat na privátní
síti. Pokud je záplata úspěšná v testovacím prostředí a neobjeví se žádné
problémy, může být podle něj nasazena v produkčním prostředí.
Jeden IT manažer z velké pojišťovací společnosti, který si přeje zůstat v
anonymitě, tvrdí, že u nich dávají přednost testování záplat firemními
vývojáři. "Záplaty nejprve vždy poskytneme našemu oddělení vývoje aplikací,
abychom se ujistili, že jsou stabilní. Provedou se příslušné testy a teprve
poté je nasazujeme v produkčním prostředí," vysvětluje.

Závěr
Obezřetnost je rozhodně na místě. Správa softwarových záplat je poměrně mladou
disciplínou, která se objevila spolu s několika dalšími v nedávné době, kdy
začal být kladen daleko větší důraz na bezpečnost než dříve. "Výrobci produkují
rychlá řešení, ale rychlá řešení jsou nepřítelem bezpečnosti. Výsledkem je, že
se do světa dostávají produkty s množstvím slabin," říká Ray Wagner, analytik
společnosti Gartner.
Grogan z nemocnice Lancaster General souhlasí, ale současně to přijímá jako
nevyhnutelnost. "Neexistuje žádné perfektní řešení a s tím se musíme smířit,"
říká. "Já osobně musím ještě často záplatovat některé systémy manuálně,
potřebuji vědět, kde se co děje. V závěru je ale nejdůležitější, aby byly
systémy trvale zabezpečeny.

Tipy pro správu záplat
Považujte správu záplat za součást managementu změn a správy rizik ve firmě. A
tak k ní poté vždy přistupujte.
Udělejte kompletní inventuru svých síťových systémů včetně jejich stavu z
hlediska aplikovaných záplat a slabin. Vytvořený seznam pravidelně updatujte.
Vyhodnocujte všechny záplaty, které výrobci pro vaše produkty uvolní, abyste
zjistili, zda je potřebujete. Nemusíte instalovat všechny záplaty, které se
objeví, dokonce ani některé z těch, o kterých výrobce říká, že byste měli.
Testujte záplaty před tím, než je nasadíte do produkčních systémů. Záplaty
často uzavřou jednu bezpečnostní díru a další vytvoří, případně přinášejí do
prostředí různé nekompatibility.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.