Назад | Перейти на главную страницу

Насколько важно управление исправлениями?

Проблема

Я пытаюсь продать своему начальству идею организации управления исправлениями / обновлениями и управления антивирусами. Пока на мое предложение было дано два ответа:

  1. У нас пока не было проблем (я бы добавил что мы знаем о)
  2. Мы просто не думаем, что это большой риск.

Вопрос

Есть ли доступные ресурсы, которые помогут мне продать эту идею?

Мне сказали, что 55-85% всех проблем, связанных с безопасностью, можно решить с помощью надлежащего антивируса и управления исправлениями / обновлениями, но человек, который сказал мне, не смог обосновать это утверждение. Это можно обосновать?

Дополнительная информация

На 1/5 наших компьютеров (тех, что в здании) по умолчанию включено обновление Windows и установлен антивирус. 4/5 наших компьютеров не являются корпоративными, и в настоящее время пользователи имеют полный контроль над антивирусами и обновлениями Windows (я знаю, что это проблема, шаг за шагом).

Я могу вам сказать, что Patch Management занимает первое место в списке каждого ИТ-аудитора и проверяется довольно часто. Отсутствие исправлений в ваших системах делает их уязвимыми для любопытных глаз злоумышленников. Необходимо выполнить исправление, но его также необходимо протестировать, прежде чем запускать в производство. Единственные обязательные исправления, которые вам обычно нужно делать, - это исправления безопасности. Независимо от того, доступна ли система только по LAN или WAN (хотя WAN должен иметь приоритет).

Теперь вы можете сказать: «Эй, какой риск? Раньше у нас не было таких проблем!». Что ж, в некоторых странах, если у вас есть нарушение, в результате которого произошла утечка личной информации, и показано, что вы не приняли надлежащих мер для защиты своей среды (одним из них является управление исправлениями), ваша компания может быть привлечена к юридической ответственности за нарушение. В Европе со следующего года новый закон о защите данных сделает это даже так, чтобы ваше начальство, отвечающее за разработку политики в отношении того, как хранить эту личную информацию, могло быть лично несет ответственность за это.

По моему опыту, угрозы нулевого дня часто все равно находят способ заразить систему, если пользователь не будет осторожен, чтобы не нажимать на рекламные баннеры или zip-файлы, прикрепленные к спам-сообщениям и т. Д.

Даже с корпоративными брандмауэрами, управлением исправлениями и установленным новейшим антивирусом множество вредоносных программ нулевого дня прорезают все это, как горячий нож по маслу. Как правило, наибольшему риску подвержены менее грамотные пользователи компьютера, которые слишком любят кликать.

Тем не менее, управление исправлениями сокращает поверхность атаки до некоторые степень и, что касается юридических последствий: принятие мер по уменьшению поверхности атаки поможет защитить вашу карьеру и даже вас лично от юридической ответственности, если вы живете в Европе.

Так далеко как практичный Преимущества обеспокоены - я вообще-то не думаю, что вы увидите заметную разницу с точки зрения сокращения вирусных инфекций, если вы используете управление исправлениями. Самыми важными факторами являются ваши пользователи и их привычки просмотра в сочетании с современным антивирусом с (надеюсь) относительно хорошим уровнем обнаружения.

В корпоративной среде, в которой я тратил 10 тысяч долларов в год на управление патчами Numara, вирусные инфекции в их сети из 200 компьютеров не были редкостью (у нас было 10-20 серьезных заражений вредоносными программами в год).

В другом месте, которое я поддерживаю в свободное время уже 5 лет (всего 25 рабочих станций), у них не было ни одного вируса уже более 3 лет. Все, что я сделал, это установил обновление Windows для ежедневной автоматической установки обновлений и установил Adblock Plus во всех веб-браузерах (IE позволяет использовать скрипт вместо надстройки). Предотвращая почти все рекламные баннеры (и другую рекламу, такую ​​как реклама на Youtube), я смог значительно уменьшить поверхность атаки, используемую многими сегодняшними вредоносными программами, а также улучшить работу пользователей в Интернете. Если вы можете исключить рекламные баннеры из уравнения, вы не дадите вредоносному ПО, которое полагается на нее как на вектор заражения систем, шанс на победу.

Мне кажется, что слишком много внимания уделяется управлению исправлениями (что само по себе редко может использоваться для остановки вредоносных программ), и системные администраторы забывают, что есть другие высокоэффективные способы уменьшить поверхность атаки, которые не Это стоило копейки.

Это нормально и хорошо делать что-то, что снижает ваши шансы на судебный иск, но вы также должны помнить, что на самом деле это должно работай также.

Поскольку в вашей среде, по-видимому, включены автоматические обновления, ответы почти правильные. Никакого повышения безопасности не будет, если не будет нарушен процесс автоматического обновления. или у вас есть пакеты, которые не обновляются автоматически, представляют потенциальную угрозу безопасности и подпадают под действие решения для управления исправлениями.

«Управление исправлениями» теперь не так уж важно для обеспечения безопасности, поскольку почти каждый программный пакет поставляется со службой автоматического обновления. Это больше касается времени безотказной работы и доступности, поскольку он поддерживает соответствующий рабочий процесс QA для вашей среды (например, сначала публикуйте исправления в лабораторной среде, затем для небольшой группы пользователей «бета» и, наконец, для всех). Если вас не беспокоит перспектива поломки из-за плохого система, программа или обновление описания вирусов и не запускайте программное обеспечение, у которого нет работающего процесса автоматического обновления, тогда решение для управления исправлениями, вероятно, не является вашей самой острой потребностью.

Теперь где ты иметь проблема, связанная с безопасностью, - это 4/5 ваших устройств, на которых у пользователей есть "полный контроль" поверх конфигурации автообновления. Не столько потому, что у них есть возможность отключить автоматические обновления - если компьютеры находятся в домене или охвачены Решение NAP вы можете легко принудительно повторно активировать. Но потому что это означает, что пользователи, вероятно, являются локальными администраторами, что значительно расширит поверхности атаки и возможное влияние атаки. Вам следует сосредоточиться на том, чтобы это изменить.