Обновлять или не обновлять серверы

Обновлять или не обновлять серверы
Обновлять или не обновлять серверы
Вопрос обновления серверов  встает перед всеми компаниями и тем острее, чем парк серверов больше.  Персонал ИТ и ИБ часто занимают в нем диаметрально противоположные позиции и это понятно. Бизнес и аудиторы тоже добавляют масла в огонь. Вот распространенные позиции каждой стороны:
 ИТ
-  на это нужно много ресурсов, которых нет
-  это может вызвать сбои или отказы
-  и так всё работает (или основное правило админа - не трожь, пока работает)
ИБ
-  уменьшается количество уязвимостей
-  улучшается сопротивляемость  атакам
-  возрастает надежность
Бизнес
-  бизнес-процессы не должны прерываться
Аудитор
-  всё должно обновляться
Основная идея этого поста в том, что как обновление, так и не обновление серверов могут привести к их сбоям или отказам. В случае обновления это может случиться из-за программных ошибок. В случае не обновления – в результате атак. Поэтому лучше, во-первых, минимизировать и принять данные риски, а во-вторых, выполняя обновления сделать процесс потери любых свойств информационной безопасности контролируемым.
Так как же в этом во всем найти компромисс, который будет устраивать все стороны этого процесса? Мне видится следующий путь. В организации далеко не все серверы являются критичными, а также далеко не все подвержены атакам. Имеет смысл выделить первоочередную группу серверов подлежащих обновлениям и включить в них:
-  все серверы из DMZ
-  все серверы, имеющие интерфейсы или portmappingво вне
-  все серверы, по которым есть жесткие complianceтребования
В дальнейшем после приобретения практического опыта данная группа может расширяться. Удельные затраты времени на обновления при расширении группы должны будут непременно снижаться в виду отработанности процесса и ставшими стандартными многие операций, да и админы перестанут бояться самого процесса обновлений.
Также хочу обратить внимание на компенсирующие меры для этого процесса. К таким мерам относятся:
-  работа с минимальными привилегиями
-  постоянно запущенный и обновляемый антивирус
-  контроль доступа как физического, так и на всех уровнях модели OSI
-  логирование событий
Мое IMHOзаключается в том, что таким образом должны остаться целыми волки и сытыми овцы. :-)
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Евгений Шауро

Блог специалиста по информационной безопасности