Trudy zarządzania łatkami

Nie istnieje jedno uniwersalne podejście do problemu zarządzania łatkami: obejmuje ono zarówno uaktualnienia oprogramowania związane z wprowadzaniem nowych mechanizmów, jak i - dużo bardziej kłopotliwe - łatanie luk w systemie ochrony.

Taki zakres zadań powoduje, że łatanie oprogramowania jest procesem pracochłonnym i silnie zakłócającym działanie systemu informatycznego, wymagającym od działów IT testowania nowych łatek programowych przed ich zainstalowaniem, planowania wyłączenia poszczególnych maszyn w celu przeprowadzenie procesu wprowadzenia łatek i zapewnienia, że nie spowoduje to załamania pracy aplikacji.

Łatanie oprogramowania mające na celu zapewnienia bezpieczeństwa, wymaga od odpowiedzialnych za tę działkę stałego i pilnego śledzenia nowych luk odkrywanych w produktach poszczególnych dostawców. To niewdzięczne zadanie zabiera sporo czasu personelowi IT - pomimo rosnącej liczby produktów i usług, które mogą śledzić maszyny wymagające łatek i automatycznie sprowadzać odpowiednie łatki z ośrodków dostawców oprogramowania.

Zobacz również:

Ponieważ liczba wydawanych łatek jest bardzo duża, można oceniać je według kategorii ryzyka, w celu podjęcia decyzji, czy powinny być stosowane natychmiast, czy też mogą poczekać do najbliższej, planowanej, konserwacji systemu.

Komercyjne produkty zarządzania łatkami mogą być produktami niezależnymi, takimi jak dostarczane przez BigFix, PathLink, St. Bernard Software i Shavlik Technologies, lub komponentami systemów zarządzania pochodzącymi od takich dostawców, jak ConfigureSoft, Ecora, IBM Tivoli czy LANDesk Software.

W każdym przypadku jednak, przyjętą praktyką jest różnicowanie łatek w oparciu o ocenę ryzyka. Dzieje się tak dlatego, ponieważ wraz z szybko wzrastającą liczba nowoodkrytych nieszczelności, w szybkim tempie rośnie liczba łatek wydawanych przez dostawców. CERT Analysis Center podaje, że od 1999 r. liczba luk oprogramowania podwaja się corocznie.

W organizacjach stosujących głównie produkty serwerowe i desktopowe Microsoftu problem ten jest szczególnie dokuczliwy, ponieważ firma ta, jak na razie, nie uczyniła zbyt wiele, aby ułatwić zarządzania łatkami.

Microsoft oferuje trzy zasadnicze sposoby łatania swoich aplikacji serwerowych i desktopowych: za pomocą konsoli SMS (Server Management System) wykorzystywanej do wprowadzania uaktualnień oprogramowania; przez usługi System Update Services, które pozwalają sprowadzić odpowiednie łatki z ośrodka webowego Microsoftu i przez Microsoft Baseline Security Analyzer – bezpłatne narzędzie online do oceny „nieszczelności” oprogramowania.

Jednak użytkownicy nie są zachwyceni narzędziami Microsoftu. Łatki wydawane przez Microsoft dla systemów operacyjnych i aplikacji są przygotowywane przez oddzielne zespoły programistów co powoduje, że często brak jest konsekwencji w tym, jak powinny być stosowane i jak je identyfikować.

W zgodnej opinii zarządców IT całkowicie zautomatyzowane, natychmiastowe sprowadzanie i dystrybuowanie łatek jest modelem idealnym, do którego należałoby dążyć, ale doświadczenia pokazują, że wnosi to dodatkowe ryzyko, ponieważ łatki mogą powodować także nieoczekiwane uszkodzenia aplikacji.

Cześć łatek odwraca też często skutki zainstalowania wcześniej wydanych łatek. Tak więc aministratorzy systemów są na ogół nieufni w odniesieniu do automatycznej instalacji łatek, a dostawcy zapewniają taką automatyzację w swoich produktach najczęściej jako opcję.

Na jesieni Shavlik Technologies planuje wydanie agenta do automatycznego zarządzania łatkami dla desktopów i serwerów Microsoftu. Firma , która teraz skupia się wyłącznie na produktach Microsoftu, zamierza też rozszerzyć wsparcie na produkty Oracle i Apache.

Coraz większe grono zarządców IT uważa, że łatanie, a zwłaszcza uszczelnianie luk związanych z bezpieczeństwem, nie jest teraz procesem łatwym i potrzebne jest całkiem nowe podejście do tego zagadnienie.

Różne podejścia do problemu zarządzania łatkami

* „Zrób to sam”. Śledzenie wersji oprogramowania serwerowego i desktopowego oraz najnowszych łatek w bazie danych.

Zalety i wady: może być metodą tańszą niż zakup oprogramowania do zarządzania łatkami, ale też może wymagać dodatkowej pracy w zakresie konserwacji posiadanych aplikacji i monitorowania alarmów związanych z bezpieczeństwem.

* „Kup gotowe rozwiązanie”. Zastosowanie systemu zarządzania zawierającego komponent uaktualniania i instalowania łatek oprogramowania.

Zalety i wady: proces łatania staje się integralną częścią ogólnej inwentaryzacji zasobów komputerowych i procesów konfiguracyjnych, ale z drugiej strony jest to rozwiązanie znacznie droższe niż zakup niezależnego produktu zarządzania łatkami.

* „Zastosuj niezależne narzędzia”. Zakup i stosowanie niezależnych narzędzi zarządzania łatkami.

Zalety i wady: może to być rozwiązanie tańsze niż system zarządzania łatkami, ale wymaga dokładnej oceny produktów, ponieważ różnią się one znacznie w zakresie obsługi aplikacji i systemów operacyjnych, a także w tym czy wymagają dodatkowego oprogramowania agentów rozmieszczanych na maszynach w sieci. Produkty tej kategorii ulegają szybkim zmianom, zwłaszcza w zakresie stopnia automatyzacji procesu łatania.