Lekarstwo na poprawki

Rosnąca złożoność systemów informatycznych wymusza stosowanie narzędzi do automatycznego wyszukiwania luk w zabezpieczeniach.

Rosnąca złożoność systemów informatycznych wymusza stosowanie narzędzi do automatycznego wyszukiwania luk w zabezpieczeniach.

Instalowanie poprawek i uaktualnień eliminujących luki w zabezpieczeniach systemów operacyjnych i aplikacji jest uważane za fundament skutecznej ochrony przed włamaniami i atakami wirusów. Trudno nie zgodzić się z tą tezą. Jednak w praktyce coraz trudniej ją realizować. Spójrzmy na statystyki: od początku 2000 r. tylko Microsoft opublikował ponad 230 ostrzeżeń o błędach lub lukach w zabezpieczeniach.

Zbyt wiele poprawek

Alarmy o naruszeniu bezpieczeństwa zdarzają się niemal codziennie.

Jeżeli przyjąć, że każdy taki przypadek wymaga podjęcia przez administratorów jakichś działań zaradczych czy nawet tylko sprawdzających, okazuje się, że utrzymanie nawet przeciętnego poziomu bezpieczeństwa w niezbyt skomplikowanej, jednolitej sieci może z powodzeniem zająć nawet 100% ich czasu pracy. W środowisku heterogenicznym, przy dużej liczbie systemów i aplikacji pochodzących od różnych dostawców, utrzymanie bezpieczeństwa wydaje się prawie niemożliwe, o czym świadczą "sukcesy" autorów wirusów Nimda i Code Red.

W tych warunkach ograniczenie się jedynie do powiadamiania użytkowników aplikacji o potencjalnych zagrożeniach przestaje być efektywne. Alternatywą dla dotychczas stosowanych środków zaradczych są rozwiązania umożliwiające automatyczne śledzenie zagrożeń i dostępności poprawek oraz współpracujące z nimi aplikacje wspomagające proces aktualizacji oprogramowania. Nie zastąpią one administratorów, lecz pomogą ograniczyć pomyłki lub niedopatrzenia mogące zaważyć na poziomie bezpieczeństwa systemu sieciowego, w przedsiępiorstwie, a jednocześnie umożliwią administratorom wykonywanie innych obowiązków.

Zdalnie bądź z agentami

Na rynku jest dostępnych wiele tego typu programów. Ze względu na sposób działania systemy wspomagające instalację "łat" można podzielić na dwie kategorie. Pierwsza wykorzystuje moduły działające na wszystkich systemach (agenty). Tego typu rozwiązanie umożliwia ograniczenie ruchu w sieci - agenty analizują i przechowują informacje lokalnie, przekazując do centralnego serwera tylko raporty. Jego wadą jest konieczność instalowania i zarządzania tymi programami na wszystkich komputerach. Do tej kategorii należą m in. Enterprise Suite firmy BigFix, Service Pack Manager 2000 firmy Gravity Storm Software, pakiet Update firmy PatchLink oraz HfNetChk Pro autorstwa Shavlik Technologies. Narzędzia te pozwalają na automatyczną analizę systemów (serwerów i stacji roboczych) pracujących w sieci korporacyjnej, instalowanie na nich niezbędnych poprawek i uaktualnień oraz prezentowanie administratorowi raportów dotyczących ich stanu.

Druga grupa rozwiązań działa jedynie na serwerze centralnym i zdalnie skanuje zawartość pracujących w sieci komputerów - automatycznie lub na żądanie administratora. Choć w ten sposób unika się problemów związanych z instalowaniem i zarządzaniem agentami, zdalne skanowanie istotnie zwiększa zajętość pasma sieciowego, co np. w środowiskach WAN może stanowić poważną barierę w ich wdrożeniu. Do tej grupy rozwiązań należą m.in. aplikacje firm Shavlik i Gravity Storm.

PatchLink Update

Firma PatchLink monitoruje poprawki i uaktualnienia publikowane przez Microsoft, Citrix Systems, i innych producentów aplikacji. Testuje je we własnych laboratoriach, a następnie przesyła użytkownikom serwerów z zainstalowanym oprogramowaniem PatchLink. Poprawki krytyczne są przesyłane automatycznie na serwer użytkownika, zaś mniej ważne - na żądanie administratora, który informacje o nich otrzymuje w formie wiadomości e-mail.

Oprogramowanie PatchLink składa się z dwóch składników: modułu serwerowego Update Server oraz modułu agenta instalowanego w komputerach PC. Aplikacja serwerowa działająca na Windows 2000 przechowuje informacje o aktualizacjach w bazie MSDE lub - w przypadku większych systemów - bazie SQL Server. Lokalne przechowywanie poprawek wraz ze środowiskiem do zarządzania nimi to dla administratora duża wygoda i zabezpieczenie na wypadek niedostępności łączy internetowych. Oprogramowanie umożliwia zdalne instalowanie agentów na wskazanych przez administratora komputerach pracujących w sieci, a także zdalne zarządzanie nimi za pomocą przeglądarki.

PatchLink umożliwia tworzenie grup komputerów o określonej konfiguracji i ich zbiorowe uaktualnianie. Nie chodzi tu tylko o poprawki dostarczane przez producentów aplikacji - oprogramowanie PatchLink pozwala dystrybuować także zmiany definiowane przez administratora, np. modyfikacje rejestrów, lub zdalnie instalować oprogramowanie. Dodatkowo pakiet PatchLink tworzy bazę informacji o zainstalowanym oprogramowaniu, ułatwiając zarządzanie licencjami oraz inwentaryzację sprzętu i aplikacji.

Wielka poprawka

Pakiet Enterprise Suite firmy BigFix składa się z trzech modułów: serwera centralnego, konsoli i programów agenckich. Moduł Server prowadzi lokalną bazę aktualizacji oraz komunikuje się z udostępnianym online przez producenta repozytorium informacji. Oprogramowanie działa na serwerze Windows 2000 Server. Jeżeli firma nie dysponuje bazą SQL Server, pakiet instaluje MSDE.

Konsola służy do zarządzania modułem serwerowym oraz instalowanymi w sieci agentami. Administrator może określić, kiedy, jakie i w jakiej kolejności poprawki mają być instalowane. W przeciwieństwie do PatchLink standardowa wersja oprogramowania nie pozwala na dystrybucję własnych poprawek czy oprogramowania. Funkcje te można jednak dokupić.

Hotfix Checker dla korporacji

Program HfNetChk Pro oferowany przez firmę Shavlik jest korporacyjną wersją narzędzia HfNetChk (Microsoft Network Security Hotfix Checker) dostępnego na stronach WWW Microsoftu. Oprogramowanie wykorzystuje ten sam moduł wewnętrzny co narzędzie HfNetChk, potrafi jednak kontrolować moduły MDAC (Microsoft Data Access Components) i JVM (Java Virtual Machines), czego standardowy pakiet Microsoftu nie umożliwia.

Pozwala też na zapisywanie konfiguracji często wykorzystywanych procesów skanowania, skanowanie okresowe, a także ograniczanie pasma używanego podczas skanowania. Aplikacja nie wymaga instalowania modułów agenckich i jest wyposażona w centralną konsolę do zarządzania, która może działać pod kontrolą Windows NT 4.0/2000/XP. Systemem można sterować zarówno przez konsolę graficzną, jak i z linii poleceń.

SPM 2000

Pakiet SPM 2000 firmy Gravity Storm, podobnie jak HfNetChk Pro, jest programem do zdalnego skanowania komputerów pracujących w sieci. SPM 2000 pozwala na skanowanie dowolnie określonej przez administratora grupy komputerów lub całej domeny, a także planowanie terminów instalowania oprogramowania. Program został wyposażony w funkcję Live Update, umożliwiającą automatyczne uaktualnianie informacji o dostępnych poprawkach.

Przydatną funkcją SPM 2000 jest możliwość tworzenia profili zawierających informacje o zestawie poprawek przewidzianych dla określonej grupy komputerów. Niestety, profile nie mogą być aktualizowane automatycznie - wymagają ręcznego wprowadzania zmian przez administratora.