Bezpieczny komputer to podstawa

Bez skutecznego zabezpieczenia urządzeń końcowych nie da się osiągnąć wysokiego poziomu bezpieczeństwa. Jednym z niezbędnych, ale często zaniedbywanych elementów, jest zadbanie o zarządzanie aktualizacjami.

Jeśli zapytać specjalistów IT, jaki odsetek komputerów w ich firmach ma zainstalowane wszystkie wymagane aktualizacje systemu operacyjnego i aplikacji, większość odpowie, że 100%. Wynika to z przekonania, że stacje robocze korzystają z mechanizmów automatycznego instalowania aktualizacji. Praktyka pokazuje, że jest dokładnie odwrotnie – raczej nie zdarza się, żeby w urządzeniach końcowych były zainstalowane wymagane aktualizacje. Wynika to z kilku powodów.

W przypadku nowych urządzeń pokutuje przekonanie, że ich dostawca na pewno zadbał o odpowiednią konfigurację, w tym o włączenie automatycznych aktualizacji. Nagminnie nie sprawdza się więc, jak jest faktycznie. W wielu firmach obowiązuje zasada, że to pracownicy odpowiadają za aktualizację oprogramowania w swoich komputerach. Niestety często nie wywiązują się z tego obowiązku. Nawet jeśli dokona się weryfikacji, czy w stacjach roboczych są włączone automatyczne aktualizacje, nie można bezgranicznie ufać oprogramowaniu.

Zobacz również:

Niestety te środki nie gwarantują, że urządzenia końcowe będą miały zainstalowane najnowsze aktualizacje. Nie można polegać na konfiguracji oprogramowania przygotowanej przez dostawcę. Jeśli włączone są automatyczne aktualizacje, to nawet w przypadku Microsoft Windows Update, jednego z najbardziej dopracowanych mechanizmów, od czasu do czasu zdarzają się awarie. Poza tym z instalacją niektórych aktualizacji wiąże się konieczność restartu urządzenia. Jeśli pracowników zobowiąże się do dbania o aktualizacje, często wyłączają oni automatyczne pobieranie łatek, ponieważ komunikaty o konieczności restartu traktują jako utrudnienie w wykonywaniu pracy.

Jeśli w firmie używa się komputerów z system MacOS zamiast Windows, nie rozwiązuje to problemów z instalowaniem łatek. Proces instalowania aktualizacji stosowany przez Apple, mimo że odbywa się automatycznie, często wymaga również interakcji z użytkownikiem. Niestety pracownicy zajęci swoimi zdaniami mają skłonność do ignorowania takich kwestii, co opóźnia instalację łatek. Poza tym wielu użytkowników sprzętu Apple jest przekonanych, że ich urządzenia są bezpieczniejsze, dzięki czemu nie muszą się martwić o zabezpieczenia.

Duża firma, duży problem

W najmniejszych firmach, w których korzysta się z kilku komputerów, weryfikacja, czy jest w nich aktualne oprogramowanie, zajmie niewiele czasu. Jednak już przy ok. 10 stacjach roboczych ta czynność staje się czasochłonna, co prowadzi do konieczności zwiększenia zatrudnienia lub stosowania jakichś mechanizmów automatyzacji.

Nawet jeśli uda się skutecznie rozwiązać kwestię instalowania aktualizacji systemu operacyjnego, co z aplikacjami? W przypadku Windows można dość łatwo uruchomić narzędzie Windows Update i sprawdzić, jakie łatki są zainstalowane, a których brakuje. W przypadku aplikacji jest to dużo bardziej skomplikowane, ponieważ poszczególni producenci stosują własne rozwiązania aktualizacji. Wiele osób, które zmagają się z tym wyzwaniem, rozważa, czy faktycznie warto wdrożyć rozwiązanie do zarządzania aktualizacjami. Odpowiedź brzmi: zdecydowanie warto. Duży odsetek infekcji komputerów szkodliwym kodem, wliczając w to ransomware, to bezpośredni efekt wykorzystania znanych podatności. Ignorowanie problemu instalowania aktualizacji to jak zaproszenie do ataku.

Dobrym wskaźnikiem powagi problemu jest fakt, że dla wielu podatności, które są skutecznie wykorzystywane przez atakujących, można od miesięcy, a nawet roku pobrać stosowne łatki. Według raportu HPE Cyber Risk Report, aż 44% przypadków wykorzystania podatności w 2014 dotyczyło luk, które były znane od 2 do 4 lat.

Warto dodać, że w tak znanych standardach, jak HIPAA, PCI DSS czy SOX zaleca się zarządzanie aktualizacjami. To jasno pokazuje, że opracowujące je organizacje zdają sobie sprawę, jak ważne jest aktualizowanie oprogramowania dla zapewnienia bezpieczeństwa danych.

Plan działania

Można zrobić kilka rzeczy, żeby usprawnić i uprościć działania z wiązane z zarządzaniem aktualizacjami. Po pierwsze, trzeba wyznaczyć odpowiedzialną osobę. Niezależnie od metodologii, zarządzanie aktualizacjami nie zostanie dobrze zrobione, jeśli ktoś nie będzie za to odpowiadać. Ta osoba będzie musiała, m.in. sprawdzać nowe komputery pod kątem aktualności oprogramowania, jak również sprawdzać konfiguracje już używanych urządzeń.

Potrzebne są również zasady i procedury. Będą to narzędzia definiujące, jak należy zarządzać aktualizacjami oraz wskazujące zasady monitorowania. Kolejnym niezbędnym elementem jest rejestrowanie i weryfikowanie rezultatów. Efekty każdego sprawdzania aktualizacji powinny być rejestrowane w logach, które następnie powinna sprawdzać inna osoba.

Dużą pomocą jest automatyzacja. Jest wiele narzędzi ułatwiają sprawdzanie, czy wymagane aktualizacje są zainstalowane. Przykładowo, Microsoft Windows Server Update Service (WSUS) może być częścią takiego rozwiązania, równolegle z systemami zarządzaniami zasobami (np. Dell KACE czy ManageEngine).

Można również rozważyć outsourcing. Jest wielu dostawców usług zarządzanych, którzy instalują niewielkie oprogramowanie klienckie w stacjach roboczych, które umożliwia zarządzanie aktualizacjami i ich monitorowanie. Idąc tą drogą, lepiej wybrać ofertę specjalistów od bezpieczeństwa niż firmy zajmującej się ogólnie IT, która w ofercie ma również długą listę innych usług.