Оновлення та дорога до пекла

Зараз ідеальна буря оновлень. Окрім здавалося б нескінченного потоку оновлень операційної системи (ОС), є оновлення програм та тепер оновлення для вашого обладнання. Всі ми звикли до щомісячного випуску патчів у Microsoft Windows до того моменту, коли ми очікуємо Patch Tuesday у місяць. Але тепер є більше.

Дослідники з безпеки виявили проблеми з Intel Engine Management Engine, який живе у власній маленькій ОС всередині процесорів Intel. Потім дослідники виявили серйозні проблеми з тим, як процесори планують виконання програми, що призвело до вразливості, позначеної Spectre та Meltdown. Meltdown впливає на межі безпеки в кешуванні процесорів, в той час як Spectre бере участь у спекулятивному виконанні і впливає на всі процесори, не тільки на Intel. (Повний опис читайте в розділі "Том Брант" Як захистити свої пристрої від зриву, стовпці Помилки "."

Отже, окрім звичних оновлень для Windows та Linux та менш частих оновлень MacOS, ми зараз бачимо оновлення процесорів, які їх підтримують. Восени 2017 року компанія Intel представила виробникам ПК оновлення управління двигуном, які потім випустили виправлення програмного забезпечення. Після цього з’явились патчі на мікропрограму та мікрокод процесора, щоб виправити Meltdown на процесорах Intel, а в деякій мірі Spectre майже на кожному процесорі.

Патчі Spectre та Meltdown також відображаються в програмному забезпеченні ОС, тому 3 січня було випущено важливе оновлення Windows із звичайної послідовності Patch Tuesday. І, звичайно, був ще черговий Патч-вівторок.

Оновити чи Не оновлювати

Раптом, навколо нас летить багато оновлень. Ви просто застосовуєте їх так швидко, як вони з’являються? Відповідь: напевно, ні. Intel вже вирішує проблеми з деякими старими процесорами, які почали перезавантажуватися після того, як патчі були застосовані. Зараз є повідомлення про те, що деякі системи управління промислові несправно працюють в результаті виправлень.

Зрозуміло, що вам слід подумати про те, щоб просто застосувати патчі під час їх появи. Але ви також повинні турбуватися про наслідки, якщо цього не зробите. Як прийняти рішення?

Наслідки вибору не виконувати оновлення відомі. Врешті-решт, незахищена вразливість відкриє ваші системи одним із багатьох подвигів, що призведе до втрати даних та всіх негативних наслідків. Але є і наслідки, які випливають із вибору патчу. Окрім проблем, пов’язаних із виправленнями Intel, є періоди, коли оновлення ваших ОС може спричинити проблеми. Вам потрібно це врахувати.

Наприклад, можливо, що локально написані або деякі власні програми можуть не працювати належним чином після застосування патчу до Windows. Це дуже рідко в ці дні, але така можливість існує. Якщо у вас є такий додаток, тоді ви повинні перевірити оновлення, перш ніж застосувати його до всіх ваших систем.

Проблеми є більш імовірними, коли оновлення є основним, наприклад, коли багато комп'ютерні системи були оновлені від Windows 7 до Windows 10. Тоді, незважаючи на те, що комерційне програмне забезпечення повинно здійснювати перехід, все-таки важливо перевірити, внести зміни кілька комп’ютерів, перш ніж пройти весь шлях.

У звичайних обставинах, коли ви маєте справу з офісними комп’ютерами, на яких працюють офісні програми, мало причин не допускати оновлення, як тільки дозволяє робоче навантаження людини, яка його використовує. Ризик від оновлення невеликий, а ризик користувачів зробити щось, чого не слід, є досить високим.

Особливі міркування із серверами

Комп'ютери, які використовуються як сервери, - це інша проблема. Там ризик від користувачів дещо нижчий, але ризики, які можуть виникнути внаслідок оновлення проблем, вище. Окрім того, коштують простої, якщо сервер є важливим для вашого бізнесу. У такому випадку процес застосування оновлення потрібно ретельно розглянути.

Мабуть, найкращий спосіб оновити сервери - це один за одним, починаючи із запасного. Ви оновлюєте запасний сервер і тестуєте це. Коли ви впевнені, що він працює як слід, тоді поміняйте сервер оновленим. На деякий час затримайтеся на старому, на випадок, якщо оновлення не буде добре працювати з рештою мережі, а потім оновіть його. Залежно від того, скільки серверів у вас є, ви можете робити це по черзі або автоматизувати його за допомогою свого програмного забезпечення для управління патчами.

Що важливо, це те, що ви не повинні просто відкладати робити свої оновлення назавжди. Багато з порушень даних, які досягли успіху в 2017 році і раніше, були можливі, оскільки хакери використовували подвиги, які залежали від незахищених вразливих місць, які мали оновлення та виправлення протягом місяців або років, але вони ніколи не застосовувалися. Готова наявність експлуатувань, розроблених розвідувальним співтовариством - і з тих пір просочена - робить ризики не виправлення ще більше.

Якщо розділити прийняття рішень, стає простіше. По-перше, негайно виправіть ті системи, де ризик виправлення низький, а ризик не виправити вищий рівень, який включає ваші офісні машини та будь-які комп’ютери, що стоять перед громадськістю. Далі застосуйте виправлення та оновлення до систем, де ви можете дозволити собі короткий час простою, наприклад, до серверів, які можуть працювати в режимі офлайн протягом ночі.

Нарешті, врахуйте підхід для заміни та заміни для решти ваших систем, де у вас є більше часу для тестування, а час простою мінімізований. Знову ж дайте системам поміняти час, щоб переконатися, що вони добре працюють у мережі.

Але що б ви не робили, не пропустіть застосування критичних патчів. Сплануйте їх, щоб вони працювали з вашими вимогами, але не відкладайте їх просто. Ви не хочете бути наступною компанією, яка потрапляє на перші сторінки через напад.