Hvordan lykkes med patch-håndtering mens du holder deg frisk

Patch management er ovnfilteret til IT-verdenen. Du vet at du trenger å oppdatere det, og at du bør gjøre det med jevne mellomrom. Men du fortsetter å legge den av til du plutselig er flere måneder for sen, og du blir plaget av hackere og malware. Hele prosessen blir verre, fordi du ikke bare har god tid til å administrere de forskjellige oppdateringsoppgavene dine, men for å være helt i boken, bør du teste disse oppdateringene mot programvaren og operativsystemene (OSes) du har installert så vel som hverandre. Og du skal gjøre alt dette mellom en uendelig elv av brukerkrav, ledelsesprioriteringer og den daglige jobben med å holde nettverket og serverne i gang. Men de som skimpter etter lapping havner ofte på forretningsavslutningen på et massivt datainnbrudd som gir nasjonale nyheter og vanligvis fører til at de får en rosa glipp. Så hvordan skal du lappe alle de tingene?

Det korte svaret er at du sannsynligvis ikke kan lappe alt med mindre du er heldig nok til å ha en uvanlig stor stab og en finansdirektør (CFO) som er rause nok til å betale alle disse menneskene sammen med alt annet du må kjøpe til få et datasenter til å fungere. Det er nettverksovervåkningsprogramvarepakker som inkluderer oppdateringsfunksjoner, men disse dekker vanligvis ikke alt du trenger for å lappe ut av en enkelt boks. Enhetsadministrasjonsløsninger har ofte lappemuligheter, men for infrastruktur, til og med kritisk infrastruktur som rutere, brytere og lignende enheter, kan det hende at du slutter å bruke flere lappverktøy for individuelle merker.

Og ikke tro at du kan unnslippe bare ved å bli helt skybasert. For det første er nesten ingen 100 prosent skybasert i disse dager, så du vil nesten helt sikkert ha noe datasenterinfrastruktur på stedet. I tillegg vil du aldri unnslippe den stadig voksende listen over klientenheter som trenger OS og firmware-lapping, så vel som "smarte" lokale eiendeler som kameraer, NAS-enheter (nettverkstilkoblet lagring), skrivere og mer. Alt dette må fremdeles holdes oppdatert, så lappjevelen kommer til å finne deg uansett hva.

Hvis du er som mange ledere, får du de ansatte til å jobbe med det som ser ut til å være de viktigste oppdateringene. Du laster ned dem, tester dem kanskje, skyver dem i produksjon, og håper deretter på det beste. Hvordan du velger betydning avhenger vanligvis av en rekke faktorer eller til og med personlige preferanser, men det er ofte bare basert på hvilke utbytter som virker mest truende. Det kan være det virkelige livet, men det er virkelig ikke den beste måten å gjøre det på.

De fleste presseoppgaver for fagpersoner innen cybersikkerhet i 2018

Prioriter, klassifiser og skann

Først prioriterer du, sier Ed Bellis, medgründer og Chief Technology Officer (CTO) i Kenna Security. "Det er visse små undergrupper som du absolutt må prioritere, " sa Bellis. Du bestemmer hva det delsettet av oppdateringer er ved å se på funksjonene som er mest kritiske for bedriften din, og deretter på de oppdateringene som vil gjøre mest forskjell på disse funksjonene.

"For eksempel kan e-post være kritisk, og det kan være sammensatt av enheter som er kritiske, " forklarte Sean Blenkhorn, felt CTO og VP for Worldwide Sales Engineering hos eSentire. Han sa at det er nødvendig å bestemme hvor viktige forskjellige systemer er for virksomheten din, og å fokusere på de først. Bryt dem ut i deres "patchbare" elementer og bygg strategien din derfra. I dette tilfellet kan det være server firmware, firmware for lagring, serverens OS og e-postserverprogramvare, så vel som tilhørende anti-malware / anti-spam programvare på serversiden. Klientorientert sluttpunktbeskyttelsesprogramvare er vanligvis ikke en stor del av manuelle patcheringsstrategier da den typen programvare oppdaterer seg med mindre IT spesifiserer noe annet.

Blenkhorn sa at en feil som mange organisasjoner gjør er å kjøre en sårbarhetsskanner først, men han sa at uten å klassifisere hvilke systemer som er viktigst først, kan du ende opp med sider med sårbarhetsresultater og ikke vite når eller om du vil bruke rettelser.

"Først gjør klassifiseringen og deretter skanningen, " sa Blenkhorn. Han sa at tre sårbarhetsskannere han ser brukt oftest er fra Qualys eller Tenable, men han bemerker at det er flere andre.

Han sa at grunnen til at du klassifiserer systemene dine før skanning er, slik at du kan ta en intelligent beslutning om hva deres prioritering skal være. For eksempel, hvis du finner en alvorlig sårbarhet i et system som sjelden brukes eller som ikke gjør noe veldig viktig, kan det kanskje være best å bare fjerne det systemet, eller i det minste slå det av til du kan få tid å lappe det.

Den umulige drømmen: Lapp alle sårbarheter

Ved å utføre klassifiseringen først, kan du også lære når en sårbarhet må rettes opp umiddelbart, kanskje fordi den er avgjørende for organisasjonen din og også på internett. Kanskje kan du også utsette å lappe et system som har sårbarheter som ikke har utnyttelse, ikke er vendt mot internett eller begge deler. Han sa at det er viktig ikke bare å avgjøre om det er en sårbarhet, men også om en utnyttelse eksisterer og om utnyttelsen blir brukt.

I mange tilfeller, sa Blenkhorn, er det ingen utnyttelser i den virkelige verden, noe som betyr at det kan være mer fornuftig å fokusere på andre handlinger. En måte å få tak i sårbarheter er å se på profesjonelle rapporter om netsikkerhetsvurderinger fra leverandører som Kenna Security. Disse rapportene analyserer ulike trusseldatabaser og rapporterer om funnene sine, og måler sårbarheter på en rekke faktorer, avhengig av hvordan rapportens leverandør nærmet seg emnet.

"Vår første rapport som kom ut i fjor vår, " sa Bellis, "vi så på alle sårbarheter i databasen." Han sa at den andre rapporten deres nettopp kom ut i januar 2019. I følge Bellis fokuserer analysen på det faktum at veldig få sårbarheter faktisk har kjent utnyttelse, noe som betyr at det er mer fornuftig å fokusere på de snarere enn sårbarheter som det neppe er sannsynlig noen gang bli angrepet. Rapporten hjelper IT-fagfolk med å gjøre denne beslutningen for infrastrukturen de har installert.

"Vi brøt ned disse sårbarhetene etter teknologikilde, " forklarte Bellis. Han sa at de viktigste sårbarhetene kan komme fra Oracle for sitt enorme databasefotavtrykk, Adobe for den omfattende og stadig oppdaterte Reader-klienten, Microsoft for Microsoft Windows 10, og lignende store programvareleverandører. Men han bemerket at det kan være store forskjeller i hvordan disse sårbarhetene håndteres.

"Det er en enorm forskjell i utbedringsraten, " sa Bellis. "Det ble ganske tydelig at Microsoft har gjort det veldig enkelt og operativt for kunder å korrigere sårbarhetene. Oracle og Java er i den andre enden av den skalaen."

Ta den automatiserte tilnærmingen

En annen tilnærming er å kjøpe spesiell programvare som vil ta mye av analysen og planleggingsvekten av patchhåndtering fra skuldrene. Dette er den automatiserte tilnærmingen.

"IT-administratorer kan ikke manuelt føre en oversikt over alle de manglende oppdateringene i nettverket, " sa Giridhara Raam M, produktevangelist for ManageEngine (en avdeling av Zoho Corporation), i en e-postutveksling. "Derfor ville de trenge et automatisert system for å skanne nettverket, identifisere de manglende programrettelsene, laste ned disse programmene fra leverandørstedet, teste patcher og distribuere til de målrettede maskinene i tide, " fortsatte han. "IT-administratorer bør kunne planlegge disse distribusjonene utenfor arbeidstid for å unngå problemer for ansatte."

ManageEngine har verktøy som kan hjelpe, som andre leverandører, inkludert LogicMonitor og Microsoft. Imidlertid er det fortsatt nødvendig å klassifisere nettverksfordelene slik at du vet hvilke sårbarheter du trenger å fokusere.

Det er klassifiseringen som er nøkkelen. Du trenger ikke å fokusere på alle sårbarheter samtidig; du trenger bare å begynne på de som mest sannsynlig vil forårsake problemer med en gang, og deretter bygge ut derfra.