Необходимость устранения опасных дефектов в программном обеспечении появляется сегодня чаще, чем когда бы то ни было. Каким образом можно минимизировать риск и при этом организовать эффективное противодействие современным угрозам?

Когда-то концепция управления обновлениями ассоциировалась главным образом с недремлющим оком на сайте загрузки программного обеспечения корпорации Microsoft. Но в последние годы угрозы, исходящие из Глобальной сети, становятся все опаснее. К примеру, компания Sophos, один из разработчиков антивирусных средств, сообщила, что лишь в мае обнаружено 959 новых вирусов и червей. Количество уязвимых мест Windows и атак с их использованием растет экспоненциально.

Теперь это головная боль не только ворчливых системных администраторов. Вопросы установки заплат становятся важной частью деятельности любого предприятия — как крупного, так и небольшого. Возможно, проработанной политики обновлений окажется достаточно, но поднявшаяся волна обновлений требует от ИТ-менеджеров представления о работе средств безопасности на всех уровнях. В конце концов, даже если всего одна из критически важных систем будет взломана, вся сеть окажется открытой.

Огромный объем обновлений сильнее, чем когда-либо, осложнил обеспечение безопасности корпоративных сетей. Одно дело — вести подготовку к установке пакета обновлений операционной системы и совсем другое — когда неожиданные особенности программ с исправленными было ошибками начинают докучать системным администраторам исподтишка. «Устраняющие опасные дефекты обновления появляются в последнее время очень часто, — отмечает ИТ-менеджер муниципалитета Колорадо-Спрингс Джон Соулз. — Необходимо знать, где их искать, успевать протестировать обновленное программное обеспечение в условиях жесткого дефицита времени и в конце концов принять решение о том, безопасно ли его развертывание. На все про все отводится лишь несколько дней».

Оборонительные рубежи Windows

Исправлением ошибок, приводящих к нарушению системы безопасности, приходится заниматься разработчикам любой платформы, но чаще всего именно использование Windows заставляет предприятия принимать решение о внедрении средств управления обновлениями. Windows — не только основа для многих корпоративных систем, но также источник наибольшего числа уязвимых мест.

В Редмонде долго предпочитали не замечать отчаянные призывы к повышению безопасности программного обеспечения, но с недавнего времени Microsoft решила поставить безопасность во главу угла. Осенью прошлого года корпорация полностью пересмотрела свою стратегию выпуска обновлений, начав с объявления об еженедельном предоставлении заплат. Весть о планировании обновлений с энтузиазмом была встречена измученными системными администраторами. В результате и другие производители программного обеспечения вынуждены были адекватно отреагировать на инициативу Microsoft.

«Устанавливать заплаты — очень дорогое удовольствие, поэтому консолидация и централизация этого процесса представляет немалую ценность, — заметила руководитель службы безопасности Oracle Мэри-Энн Дэвидсон. — Microsoft сделала верные шаги. Пользователям это наверняка понравится, поэтому и мы воспринимаем предпринятые меры с оптимизмом».

Кроме того, Microsoft предлагает ряд инструментов, призванных помочь администраторам следить за появлением новых версий и обновлением системы безопасности, реагируя на изменение ситуации незамедлительно. Развитие сервиса Windows Update Services, известного ранее как Software Update Services, предоставит администраторам дополнительные инструменты. Сервер Systems Management Server 2003 обещает пользователям дополнительные средства развертывания, формирования отчетов и реализации функций обеспечения соответствия требованиям сред, наиболее чувствительных к системе управления.

Дальнейшее усложнение, расширение спектра средств управления обновлениями, которые предлагаются третьими фирмами, выходит за рамки возможностей продуктов Microsoft. Какие из этих пакетов наилучшим образом подойдут предприятию, зависит от его специфических требований.

Пересмотр отношения к безопасности

Первый шаг в разработке эффективной стратегии управления обновлениями заключается в обобщении полной и точной информации об ИТ-активах предприятия. В современной сетевой среде любой компонент потенциально может стать слабым звеном, а потому четкое понимание того, какими системами вы располагаете, чрезвычайно важно для надежной защиты.

«Очень важно знать, чем вы располагаете, — отметил Соулз, отвечающий за управление полутора тысячами ПК и 150 серверами, размещенными в различных районах Колорадо-Спрингс. — Это поможет определить основные системы, ключевые типы обновлений и сформировать стратегию развертывания».

Проведя исчерпывающую инвентаризацию, ИТ-менеджер может опереться на ее результаты при проработке корпоративной политики безопасности и расстановке приоритетов в проведении обновления, тестирования и развертывания систем в масштабах всего предприятия.

По мнению старшего сетевого администратора ИТ-службы штата Нью-Йорк Лилина Чанга, одна из главных задач инвентаризации заключается в том, чтобы выявить наиболее важные системы, функционирование которых будет иметь приоритетное значение в кризисной ситуации.

«Выяснив, что именно при обнаружении уязвимых мест следует защищать в первую очередь, можно спланировать стратегию обновления с учетом особенностей этих критически важных систем», — пояснил Чанг.

Обладая четким представлением о функционировании сетевой среды и списком приоритетов, можно приступать к оценке программных решений, которые помогут избежать неприятностей.

Программное обеспечение управления обновлениями доступно сегодня в самых различных вариантах. Каждый из них предлагает свой путь решения проблемы. Если правильно расставлены приоритеты, то выбор наиболее подходящего варианта выльется в сравнение требований основных политик с потенциально сильными и слабыми сторонами каждого пакета.

Предотвращение кризиса

В идеале хочется найти исчерпывающее решение управления обновлениями, но многие администраторы — даже те из них, которые отвечают за крупные сети, — вследствие сложившихся обстоятельств вынуждены искать особый подход. Чанг отвечает за управление более чем 1000 узлов, включая и 100 серверов, размещенных в разных местах. Дальнейшее расширение вызывает дополнительные трудности при развертывании полномасштабных средств управления обновлениями.

«Наличие централизованного инструментария управления обновлениями для нас — безусловная необходимость, потому что количество находящихся в нашем ведении узлов к концу года должно достигнуть 4500», — отметил Чанг.

Подобная ситуация требует немедленного принятия мер, чтобы как-то продержаться до момента разработки полноценной стратегии проведения обновлений. Сотрудники Чанга приступили к испытаниям системы Systems Management Server 2003, однако сам он не уверен в том, что это программное обеспечение будет готово к вводу в эксплуатацию к концу третьего квартала. Что касается Software Update Services, этот инструментарий выбран только для того, чтобы залатать имеющиеся дыры.

«Эту систему можно внедрить сравнительно быстро, — пояснил Чанг. — Во всяком случае, благодаря ей мы получаем централизованный механизм управления обновлениями, хотя вручную придется пока выполнять гораздо больше операций, чем хотелось бы».

Software Update Services позволяет создать репозитарий обновлений в локальной сети, не обращаясь при этом к сайту Microsoft Windows Update. Однако данное решение требует ручных манипуляций и заставляет ИТ-персонал индивидуально подходить к обновлению каждой из систем.

В определенных условиях подобный подход становится просто неприемлемым. Такие ситуации требуют более мощных средств, например Microsoft SMS или одного из многочисленных решений, предлагаемых третьими фирмами.

За пределами Microsoft

«Необходимость развертывания средств управления обновлениями, распространяемых независимыми компаниями, очень быстро стала для нас совершенно очевидной, — заметил ИТ-директор банка Аламеда Майкл Робертс. — Наша сеть невелика, но разобщенность ее нескольких сегментов делает обновление вручную практически невозможным. Нам приходится нанимать больше ИТ-специалистов, чем предусмотрено бюджетом. Кроме того, они вынуждены тратить значительную часть своего времени на разъезды».

В итоге Робертс остановился на решении Hercules компании Citadel, которая, вот уже в течение восьми лет работает над созданием подобных инструментальных средств.

«Hercules не только управляет всеми нашими платформами, но и позволяет нам установить централизованный контроль за всеми имеющимися сегментами, — подчеркнул Робертс. — Система импортирует информацию об уязвимых местах, собранную инструментарием Retina, разработанным компанией eEye Technologies, а затем использует ее при формировании пакетов обновлений».

Соулз также отдал предпочтение решению, предлагаемому независимым разработчиком. Но вместо того чтобы вкладывать деньги в специализированный инструментарий, он решил обратить внимание на уже имеющиеся у него средства.

«Configuresoft используется у нас сейчас в качестве конфигурационного репозитария, — сообщил он. — Дополнение ее функциями управления обновлениями позволяет добиться не только высокой эффективности с точки зрения стоимости, но и оперативности. Эта платформа прекрасно подходит для нас благодаря наличию средств сканирования и инвентаризации. Благодаря этому мы можем проанализировать даже свои старые ПК под управлением Windows 98».

Существенное преимущество специализированных средств управления обновлениями заключается в том, что они в отличие от продуктов Configuresoft или Microsoft зачастую поддерживают платформы, отличные от Windows. Программное обеспечение Citadel Hercules способно осуществлять управление обновлениями Windows, Red Hat Linux, AIX, HP-UX и Mac OS X. К концу текущего года компания планирует также выпустить ряд агентов для сетевых устройств Cisco и некоторых других производителей.

Впрочем, организация регулярного обновления операционных систем решает лишь часть возникающих вопросов. По мере того как все больше приложений интегрируются в ИТ-инфраструктуру предприятий, опасность появления уязвимых мест в них повышается. «Защищенность серверов крайне важна для любых сетевых операций, в то время как защищенность ключевых приложений играет определяющую роль для бизнес-процессов, — заметил вице-президент консультационной компании LifeLine Computers Джеми Бернстайн. — Надо заботиться и о том и о другом».

Еще один вопрос, с которым пришлось столкнуться многим предприятиям, связан с удаленными пользователями. Даже проводя жесткую политику безопасности и располагая автоматизированными средствами распространения протестированных обновлений по локальной сети, сетевые администраторы бессильны в том случае, когда некоторые пользователи оказываются от нее отключены.

Внедрение одобренных обновлений

Для многих одно из основных преимуществ средств управления обновлениями, предлагаемых независимыми производителями, состоит в том, что внешний разработчик привносит свежую струю на этот рынок. Microsoft старается обеспечить безвредность обновлений для существующей операционной среды, но уже не один системный администратор столкнулся с тем, что порой обновления скорее вызывают конфликты, чем помогают преодолевать трудности.

Стремясь переломить складывающуюся ситуацию, ряд разработчиков предлагают собственные репозитарии обновлений в качестве альтернативы решениям Microsoft. Преимущество этих обновлений заключается в том, что независимые производители собственными силами проводят предварительные испытания, помогающие выявлять потенциальные конфликты, которые могут ускользнуть от внимания Microsoft.

Подобные «предварительные испытания» сулят дополнительные удобства тем, кто работает в среде Windows, однако никто из разработчиков не тестирует обновления совместно именно с тем набором программных продуктов, который установлен в конкретном предприятии. Клиенты хотят получить средства управления обновлениями, позволяющие оценить корректность заплат перед их широкомасштабным развертыванием. В частности, компания LANDesk недавно начала сотрудничать с VMware, стремясь создать среду тестирования обновлений на основе виртуальных машин. «Функции тестирования имеют для нас особое значение, — заявил Бернстайн, имеющий опыт испытаний систем управления обновлениями у ряда клиентов LifeLine. — Мы управляем рядом небольших корпоративных сетей, поэтому должны избегать установки обновлений, которые могут отрицательно сказаться на работе наших клиентов».

Свой путь к успеху

В прошлом централизованная установка обновлений на отдельные компьютеры вызывала немало осложнений, но сегодня большинство современных инструментов управления системами позволяют упростить решение этой задачи. Основные трудности сейчас обусловлены наличием огромного количества сетевых узлов, которые необходимо обслуживать, и сложностью неоднородной ИТ-инфраструктуры.

Даже для организаций, которые могут позволить себе внедрение мощных средств управления обновлениями, путь к успеху оказывается нелегок и во многом индивидуален. Существуют различные способы решения данных вопросов. Каждому из них присущи свои сильные и слабые стороны.

С полной уверенностью можно говорить лишь о том, что ни одна организация сегодня не имеет права пускать управление обновлениями на самотек. Надо стремиться к тому, чтобы своевременно устанавливать свежие заплаты, минимизируя при этом риск повреждения остальных компонентов ИТ-инфраструктуры. Игнорирование обновлений системы безопасности — не выход.

Путь к управлению обновлениями

Сегодня на рынке предлагается множество разнообразных решений, помогающих справиться с задачами обновления системы безопасности. Системы проведения обновлений вручную, подобные Microsoft Software Update Services, недороги, но не обладают необходимой масштабируемостью для управления сложными средами. Системы автоматизации этого процесса предлагают централизованное управление и развертывание обновлений и зачастую поставляются в виде дополнительных модулей для программного обеспечения настройки конфигурации и поиска уязвимых мест. Но для поддержки крупной, сложной и неоднородной сети в ИТ-бюджет придется заложить расходы на полнофункциональную, специализированную систему управления обновлениями.


Конвейер обновлений

Чтобы контроль этой все более неспокойной территории не превратился в ночной кошмар, необходим тщательно проработанная стратегия безопасности, в которой управлению обновлениями отведена центральная роль

  • Провести тщательную инвентаризацию ИТ-активов.
  • Определить приоритеты для важнейших систем.
  • Разработать четкие политики и планы ответных действий при возникновении нештатной ситуации.
  • Проверить сеть на наличие уязвимых мест.
  • Следить за появлением критических обновлений.
  • Провести автономное тестирование, гарантирующее отсутствие конфликтов.
  • Установить обновления должным образом.

Поделитесь материалом с коллегами и друзьями