Zmora administratora

Poprawki i aktualizacje oprogramowania to już codzienność firmowych informatyków. Z biegiem czasu przynajmniej część tej mrówczej pracy przejmą specjalizowane narzędzia i samoaktualizujące się aplikacje.

Poprawki i aktualizacje oprogramowania to już codzienność firmowych informatyków. Z biegiem czasu przynajmniej część tej mrówczej pracy przejmą specjalizowane narzędzia i samoaktualizujące się aplikacje.

Aktualizacja oprogramowania w związku z wykrywaniem w nim błędów lub luk w zabezpieczeniach to już nie problem wąskiej grupy osób odpowiedzialnych za IT. Jakie poprawki uwzględnić, jak je testować, jak często wprowadzać do systemów produkcyjnych? Te dylematy tylko z pozoru mają charakter techniczny, bo systemy, których poprawki dotyczą, realizują zwykle istotne procesy biznesowe. Więcej poprawek to także większe koszty utrzymania informatyki.

Utrzymanie bezpieczeństwa systemów na poziomie zgodnym z bieżącym stanem wiedzy jest w praktyce niewykonalne. Problem ten dostrzegają już nie tylko naturalnie zainteresowani tą dziedziną producenci narzędzi, ale także wytwórcy aplikacji, które mają być aktualizowane. Wiele rozwiązań nakierowanych na rozwiązanie tego samego problemu (obok publikujemy krótki przegląd nowości w tej dziedzinie) to potencjalnie duże koszty. Na szczęście, już na jesieni doczekamy się prawdopodobnie pierwszego otwartego standardu, który umożliwi wymianę informacji między różnymi narzędziami do aktualizacji oprogramowania. Jak będzie z jego stosowaniem, zobaczymy.

Koszty i ryzyko

Można się łudzić, że aktualizacja oprogramowania to część pracy administratorów, i zamknąć sprawę. Koszty związane z aktualizacją oprogramowania ciągle rosną i coraz trudniej zmieścić je w funduszu płac dla specjalistów. Koszty bezpośrednie biorą się z prostego faktu, że luk i poprawek jest coraz więcej. Więksi producenci oprogramowania publikują nowe poprawki praktycznie codziennie - na przestrzeni całego 2003 r. wydali ich ponad 3,5 tys.! Śledzenie, ocena i nakładanie aktualizacji kosztuje bardzo wymiernie nie tylko w postaci etatów, ale także usług zewnętrznych i oprogramowania pomocniczego.

Z praktycznego punktu widzenia, z aktualizacją najlepiej zaczekać do momentu, gdy w Internecie pojawi się kod wykorzystujący daną lukę. W teorii. Bo jeśli wirus lub robak nie zaatakował systemu, można bez pośpiechu testować oprogramowanie. Ale już 10 min później sytuacja może się zasadniczo zmienić i aktualizacja systemu stanie się palącą koniecznością. Można więc założyć, że powstają tu koszty wynikające z przymusowego działania w przyspieszonym trybie.

Są też koszty pośrednie. Wynikają one, przynajmniej po części, z tego że szybka aktualizacja oprogramowania niejednokrotnie wywołuje większe problemy niż potencjalny atak na system - wszystkich konsekwencji aktualizacji nigdy nie da się przewidzieć. Źle zaktualizowane systemy trzeba przywracać do poprzedniego stanu. Nawet jeżeli cała operacja nie ma wpływu na ich dostępność, koszty powstają.

Poprawki z automatu

Firmy zajmujące się bezpieczeństwem systemów publikują informacje o lukach nawet wtedy, gdy kod je wykorzystujący (exploit) jeszcze nie istnieje. Wydaje się to słuszne, bo nadmiar wiedzy o lukach jeszcze nikomu nie zaszkodził. Problem jednak leży gdzie indziej. Robak W32/Sasser na początku maja zainfekował setki tysięcy komputerów na całym świecie, wykorzystując lukę, o której informacje (razem z odpowiednią łatą) Microsoft opublikował 13 kwietnia. Dla porównania robak Blaster pojawił się w ub.r. w miesiąc po ujawnieniu odpowiedniej luki. Czasu na podjęcie ważkiej w skutkach decyzji jest więc coraz mniej.

Stąd właśnie biorą się pomysły, by z decyzji o aktualizacji przynajmniej częściowo wyeliminować człowieka. Mechanizmy umożliwiające zarządzanie poprawkami oprogramowania są z reguły dostępne w dużych systemach do zarządzania sieciami, np. IBM Tivoli, CA Unicenter, Novell ZENworks lub HP OpenView, ale najczęściej są to funkcje ogólnego przeznaczenia, a nie rozwiązania zoptymalizowane do bieżącego monitorowania zagrożeń i aktualizacji. Często kryją się one m.in. pod określeniami: "zarządzanie konfiguracją", "automatyczna dystrybucja oprogramowania", "zarządzanie zasobami", "lokalizacja zagrożeń" lub "systemy zarządzania siecią i komputerami PC".

Na rynku działa też co najmniej kilkadziesiąt mniejszych firm, oferujących specjalizowane oprogramowanie koncentrujące się przede wszystkim na rozwiązywaniu tego typu problemów. Do najbardziej znanych należą Shavlik Technologies i PatchLink, których technologie są też licencjonowane przez największą chyba liczbę znanych producentów oprogramowania do zarządzania sieciami.

Przyszłość: samoobsługa

Nie tylko producenci korporacyjnych systemów zarządzania, ale także twórcy aplikacji dostrzegają problemy związane z instalacją poprawek. Microsoft, we współpracy z producentami oprogramowania antywirusowego planuje wprowadzenie do Windows mechanizmów automatycznej kontroli komputerów zdalnie łączących się z siecią korporacyjną, które będą umożliwiały sprawdzenie aktualizacji ich systemów zabezpieczeń przed udostępnieniem zasobów sieci firmowej. Komputer żądający dostępu będzie izolowany do czasu, gdy zostaną w nim zainstalowane odpowiednie poprawki lub aktualne informacje o wirusach.

Inicjatywa jest podobna do programu Network Admission Control przedstawionego przez Cisco Systems we współpracy z Network Associates, Symantec i Trend Micro, który przewiduje integrację Cisco modułów Trust Agent z klienckimi aplikacjami antywirusowymi i w efekcie umożliwienie zdalnej kontroli zabezpieczeń komputerami łączącymi się za pośrednictwem VPN.

Inaczej jednak niż Cisco, które koncentruje się na współpracy aplikacji z programami sterującymi przełącznikami i routerami tej firmy, Microsoft chce wprowadzić kontrolę na poziomie oprogramowania serwerowego, zwłaszcza Active Directory i DNS. Firma współpracuje też z większą liczbą niezależnych producentów oprogramowania antywirusowego, choć jej przedstawiciele mówią, że na razie jest jeszcze za wcześnie, by podawać więcej szczegółów na ten temat. Technologia ta, związana głównie z połączeniami VPN, ma się po raz pierwszy pojawić na rynku w tym roku wraz z pakietem Service Pack 1 for Windows Server 2003.

W roku 2005 Microsoft zamierza udostępnić oprogramowanie Windows Server 2003 Update umożliwiające zabezpieczanie i izolowanie wszystkich komputerów łączących się z siecią za pośrednictwem interfejsów kablowych lub bezprzewodowych. Obecnie tego typu oprogramowanie znajduje się w ofercie wielu mniejszych firm, takich jak Citadel, Sygate lub WholeSecurity. Również Network Associates we współpracy z Nortel Networks i Check Point Software Technologies przygotowuje narzędzia pozwalające na kontrolę urządzeń klienckich łączących się z siecią korporacyjną za pośrednictwem tuneli VPN.

Jesienny standard

Powszechność problemów z aktualizacją oprogramowania i mnogość firm, które próbują im zaradzić, sprawia, że w tej dziedzinie są potrzebne otwarte standardy. W tym kierunku zmierza inicjatywa firmowana przez organizację Trusted Computing Group (TCG), do której należą m.in. Extreme Networks, Foundry Networks, Funk Software, Hewlett-Packard, Intel, Juniper Networks, Meetinghouse Data Communications, Network Associates, Sygate, Symantec, Trend Micro oraz VeriSign. Jesienią br. TCG planuje opublikowanie otwartej specyfikacji Trusted Network Connect, która ma umożliwić kontrolę zainstalowanych łat, poprawek i baz danych o wirusach w systemach heterogenicznych. Jeżeli inicjatywa zyska poparcie Microsoftu, przynajmniej część problemów powinna zniknąć.

Lawina poprawek

Według CERT Coordination Center w 2003 r. ujawniono 3784 luki w oprogramowaniu. Choć jest to nieco mniej niż w poprzednim roku (w 2002 r. odnotowano 4129 takich luk), to i tak jest to ogromny wzrost w porównaniu z rokiem 2000, gdy ujawniono "tylko" 1090 błędów w systemach i aplikacjach. Oczywiście, nie oznacza to, że przeciętny administrator systemu IT musi dokonywać tysięcy aktualizacji rocznie, ale nawet sto poprawek jest trudnych do zainstalowania. Liczby te świadczą, że problem łatania luk oprogramowania staje się dla przedsiębiorstw krytyczny, zwłaszcza że - jak wynika z analiz CERT - aż 95% udanych ataków na systemy informatyczne zostało przeprowadzonych za pomocą znanych wcześniej luk lub wykorzystało niewłaściwą konfigurację systemu.

Dziurawy biznes

Meta Group przewiduje, że w ciągu najbliższego roku 40% firm będzie wykorzystywało dedykowane oprogramowanie do automatycznej instalacji łat i poprawek, a liczba ta zwiększy się do 75% w 2007 r. Gartner natomiast prognozuje, iż wartość sprzedaży tego typu aplikacji wzrośnie czterokrotnie do roku 2007, osiągając wartość ok. 40 mln USD.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200