Při instalaci softwarových patchů vyžadujících manuální potvrzení uživatelé mnohdy bezpečnostní aktualizace softwaru – ať již záměrně či nezáměrně – ignorují, čímž svůj počítač a potažmo celou firmu vystaví riziku úspěšného útoku hackerů. IT manažerům či poskytovatelům služeb tak přidělávají starosti a práci navíc.
Instalace softwarových aktualizací (tzv. patchování, čili „záplatování“) a servisních balíčků je pro uživatele velmi otravnou činností. Zdržuje je při ranním zapnutí počítače i při odpoledním úprku z práce a nezřídka se stává, že uživatelé ztratí trpělivost a počítač odpojí během aktualizace bez ohledu na případné následky.
Odpověď na otázku, proč vůbec tuto činnost provádět, není úplně jednoznačná, jak se z technického pohledu může zdát. Patche vycházejí v podstatě ze dvou důvodů: opravují známé chyby a rozšiřují funkcionalitu softwaru.
Přiznejme si, že nejrůznější funkční vylepšování, která pravděpodobně nikdy nepoužijeme, dostatečnou motivací k patchování nejsou. Pokud tedy pomineme tento rys a soustředíme se na chyby v softwaru, pak tyto chyby mohou být dvojího druhu: bezpečnostní nebo funkční.
Bezpečnostní chyby
Funkční chyby způsobují, že software nedělá to, co by normálně dělat měl. Je sice dobré, že výrobce jej dokáže opravit, ale tento bod zase není až tak důležitý. Samozřejmě s výjimkou situací, že nám takováto chyba brání v práci.
Bezpečnostní chyby jsou v podstatě existující díry v softwaru, prostřednictvím kterých může být napaden počítač uživatele, popřípadě celá podniková síť. A to už je mnohem zajímavější.
Ignorování oprav bezpečnostních chyb může způsobit ohrožení ochrany vlastního informačního systému. Hlavní problém spočívá v tom, že uživatelé považují tyto opravy za přílišné strašení a mají k dodavatelům určitou nedůvěru.
Obvyklé reakce typu „kdo by se nás pokusil hacknoutt?“ nebo „zase zbytečně strašíte“ a „nejsme pro nikoho důležití“ jsou poněkud mylné. Ano, je pravda, že většina firem je pro hackery nedůležitá a oni nebudou cílit přesně na určité jméno.
Hackerům je v podstatě jedno, na kterou firmu narazí – hledají pouze slabý článek. Štěstí v tomto případě proto přeje pouze připraveným uživatelům.
Co patchovat
Jaký typ softwaru je potřeba aktualizovat? Představme si, že firma používá na zakázku vyvinutý software, protože podporou unikátních procesů poskytuje značnou konkurenční výhodu. Potenciál bezpečnostních chyb v tomto systému je obrovský, protože organizace z principu nemá dostatečný počet bezpečnostních testerů.
V případě zneužití systému může být dopad na organizaci zásadní a může vést až k úpadku organizace. Na druhou stranu potenciál zneužití takovéhoto systému je mizivý, protože není rozšířený a nikomu nestojí za to hledat v něm díry kvůli napadení jednoho podniku.
Opačným příkladem je masově rozšířený Adobe Acrobat Reader. Jde o aplikaci, jejíž potenciál bezpečnostních chyb je průměrný; vyvíjí ji poměrně významná organizace, která se problematice bezpečnosti intenzivně věnuje.
Potenciál zneužití tohoto softwaru je ale obrovský. Co se může stát? S pomocí chyby v Adobe Acrobat Readeru se může hacker připojit na běžného uživatele a přimět jeho PC dělat požadované operace, jako je například rozesílání spamů. Problém není v tom, že Acrobat Reader není kriticky důležitý software, ale v tom, že je v podstatě na všech počítačích, a tudíž úspěšnost útoku je poměrně vysoká.
Jinými slovy pokud je chyba v důležitém softwaru pouze v jedné firmě, potenciál zneužití je malý i přes jeho minimální zabezpečení. Pokud ale je i nedůležitý software široce rozšířený, pak je mnohem ohroženější a jeho patchování má mnohem větší význam.
Jak patchovat
Nejběžnějším patchovacím nástrojem je Windows Update, kterým se řeší aktualizace operačního systému a kancelářských aplikací, jež se vyskytují na drtivé většině počítačů na světě. Kromě toho se provádějí ruční instalace aktualizací ostatních aplikací (Adobe, Java, prohlížeče třetích stran apod.).
Tyto instalace je možné nechat na uživatelích nebo manuálně vytvořit skripty pro každou příležitost a zavést je manuálně s pomocí tzv. GPO či logon skriptů, což je v případě většího počtu pracovních stanic téměř nadlidský úkol.
Další možností je použití WSUS (Windows Software Update Services), čímž si ušetříme čas a všechny důležité aplikace společnosti Microsoft budou updatovány centrálně.
Problémem ale je, že tato varianta řeší pouze Windows a programy společnosti Microsoft. Ty jsou sice všude, ale rozšířeny jsou také Adobe Flash, Adobe Acrobat, Java, WinZip a další populární systémy.
Třetí možností je použití specializovaného softwaru, tzv. řešení patch managementu. Takový program pomáhá snížit riziko automatizovanou detekcí, stahováním a instalací chybějících patchů. Nejdříve se podívá na počítače na síti, zjistí stav patchů či service packů a podá o tom zprávu.
V případě rozhodnutí pak je jednoduché chybějící patche a servisní balíčky instalovat. Jednotlivé zranitelnosti je možné opravit ještě před jejich zneužitím a snížit čas nutný k úplné aktualizaci všech počítačů na síti.
Specializovaný software zpravidla dokáže spravovat patche a service packy ve všech jazykových verzích vydávaných společností Microsoft a nabízí podporu patch managementu pro software nepocházející od společnosti Microsoft.
Jde především o patchování řady oblíbených aplikací, například Apple QuickTime, Adobe Acrobat, Adobe FlashPlayer, Adobe Reader, Mozilla Firefox, Java Runtime a dalších.
Stále populárnější jsou také softwarové aktualizace prováděné poskytovateli cloudových služeb. Cloudová řešení pro vzdálenou správu dnes obsahují i funkce pro skenování zranitelností a správu patchů.
To je zajímavé nejen pro koncové zákazníky, ale také příležitostí pro poskytovatele služeb vzdáleného dohledu, kteří mohou řídit patchování pro všechny své klienty z jednoho bodu.
Ušetřete čas i starosti
Chybějící bezpečnostní patche jsou jednou z hlavních příčin úspěšných bezpečnostních průniků. Otázka patch managementu není primárně o chybách v softwaru, jejich důsledkem však vznikají ztráty, které je nutné eliminovat.
Zásadnější než důležitost patchované aplikace je její celosvětové rozšíření, tj. i nejhloupější aplikace může způsobit v případě své bezpečnostní chyby spoustu škody, pokud ji používá celý svět. Nechat instalaci oprav na uživatelích je velmi naivní přístup, protože je uživatelé velmi rádi odmítají, a manuální aktualizace je nerealistická.
Proto je nejúčinnější automatizovat patchování s pomocí specializovaného softwaru, ušetřit tak čas a pokrýt aktualizacemi software všech výrobců na všech počítačích ve firemní síti.
Autor pracuje jako technický ředitel GFI Česká republika a Slovensko.
PŘEDPLATNÉ
ČLÁNKY DO MAILU