Łatki pod kontrolą

Straty powodowane przez wirusy w rodzaju Blastera, Sircama czy Code Red są liczone w miliardach dolarów. Dlatego lepsze zarządzanie łatkami bezpieczeństwa, uszczelniającymi systemy przed takimi zagrożeniami, jest dzisiaj sprawą priorytetową.

Straty powodowane przez wirusy w rodzaju Blastera, Sircama czy Code Red są liczone w miliardach dolarów. Dlatego lepsze zarządzanie łatkami bezpieczeństwa, uszczelniającymi systemy przed takimi zagrożeniami, jest dzisiaj sprawą priorytetową.

Łatanie oprogramowania związane z bezpieczeństwem systemów jest wyzwaniem dla administratorów zarówno w dużych, jak i małych firmach. Liczba łatek stale rośnie, a część z nich wyklucza się nawzajem. Konieczne jest przyjęcie pewnej strategii postępowania z rosnącą masą poprawek.

Meta Group szacuje, że w Stanach Zjednoczonych 40% organizacji IT wdroży dedykowane procesy zarządzania łatkami na serwerach w przyszłym roku, a liczba ta w roku 2007 wzrośnie do 75% i obejmie również desktopy. Gartner z kolei przewiduje, że w 2007 r. sprzedaż nowych licencji narzędzi zarządzania łatkami przyniesie ponad 40 mln USD.

Użytkownicy pilnie potrzebują automatycznego wspomagania procesów zarządzania poprawkami. Według CERT 95% wtargnięć do sieci jest spowodowanych wykorzystaniem znanych nieszczelności i niepoprawnie skonfigurowanych zasobów.

Do niedawna koncepcja zarządzania łatkami sprowadzała się praktycznie do stałej obserwacji uaktualnień na witrynie Microsoftu. Jednak w ostatnich latach bezpieczeństwo Internetu znacznie się pogorszyło. Według firmy Sophos tylko w maju br. wykryto 959 nowych wirusów i robaków, a liczba luk w Windows stale rośnie.

Praktyka składania wyłącznie na barki administratorów trudu nadążania za łatkami bezpieczeństwa jest na dłuższą metę nie do przyjęcia zarówno w dużych, jak i małych firmach. Chociaż łatanie ad hoc czasami może wystarczać, to nagły wzrost uaktualnień w czasie ostatnich dwóch lat wymaga, aby zarządcy IT byli świadomi bezpieczeństwa na każdym poziomie: jeżeli jeden z krytycznych systemów jest narażony, to cała sieć może być odsłonięta.

Niestety, olbrzymia liczba uaktualnień czyni dzisiaj proces zabezpieczania sieci przedsiębiorstwa trudniejszym niż kiedykolwiek. Przygotowanie większości poprawek dla systemu operacyjnego to jedna sprawa. Drugą jest to, że często niewłaściwa łatka tymczasowa może stać się poważnym problemem dla administratorów. Narastają też trudności z odszukaniem właściwych łatek i podejmowaniem decyzji o ich zastosowaniu.

Mając to wszystko na uwadze, wydaje się więc, że jedynym rozwiązaniem jest zwarta strategia centralnego zarządzania łatkami.

Wiedza o stanie posiadania

Pierwszym krokiem w projektowaniu efektywnej strategii zarządzania łatkami jest wykonanie kompletnej i dokładnej inwentaryzacji zasobów IT w całej organizacji. W dzisiejszych środowiskach sieciowych każde urządzenie może potencjalnie stać się słabym ogniwem w łańcuchu bezpieczeństwa i dlatego też szczegółowa wiedza o tym, jakie systemy funkcjonują w sieci, jest podstawą formowania silnej obrony przed zagrożeniami sieciowymi. Mając wiedzę o stanie posiadania, można zidentyfikować kluczowe systemy, kluczowe typy łatek i opracować strategie ich wdrażania. Dysponując kompletną inwentaryzacją, zarząd IT może użyć jej do określenia podstaw korporacyjnej polityki bezpieczeństwa, która jasno określi zasady ustalania priorytetów, testowania i wdrażania łatek oprogramowania.

Jednym z podstawowych celów procesu inwentaryzacji powinna być identyfikacja systemów mission-critical, które muszą mieć najwyższy priorytet w przypadkach kryzysowych.

Mając pełną wiedzę o środowisku sieciowym i priorytetową listę zasobów krytycznych, organizacja może zacząć ocenę rozwiązań programowych służących do zarządzania łatkami. Oprogramowanie zarządzania łatkami jest dość różnorodne i każde z dostępnych rozwiązań oferuje odmienne sposoby podejścia do problemu.

Jeżeli potrzeby zostaną poprawnie ocenione, to wybór rozwiązania odpowiadającego organizacji powinien sprowadzać się do porównania kluczowych wymagań polityki z dostępnymi mechanizmami i potencjalnymi brakami pakietów.

Chociaż kompletne rozwiązania zarządzania łatkami można uznać za idealne, wielu administratorów - nawet tych zajmujących się dużymi sieciami - skłania się, z różnych powodów, do podejścia ad hoc.

Przykładem mogą być środowiska będące w fazie modernizacji, gdzie sensowne jest wykorzystanie tego czasu do testowania nowych rozwiązań, a do bieżącej obsługi łatek zastosowanie np. SUS (Software Update Services). SUS pozwala administratorowi na tworzenie repozytorium łatek w lokalnej sieci, zamiast zdawać się na ośrodek Windows Update Microsoftu. Jest to jednak ciągle rozwiązanie ręczne, wymagające od zespołu IT indywidualnego łatania każdego systemu. Dla niektórych środowisk tego typu łatanie jest po prostu niewykonalne. W takich przypadkach potrzebne są bardziej zaawansowane narzędzia, takie jak SMS (System Management Server) lub jedno z wielu rozwiązań dostawców niezależnych.