1. Co je kontrolní seznam auditu správy záplat?

2. Kontrolní seznam auditu správy záplat - deset důležitých kroků

3. Jak zabránit výpadkům při aktualizaci podnikových systémů

4. Rozhodování o softwarových nástrojích pro audit kontrolního seznamu správy záplat

5. Blogy

6. Další zdroje

Co je kontrolní seznam auditu správy záplat?

Správa záplat spočívá v kontrole počítačů, mobilních zařízení nebo jiných počítačů v síti, zda v nich nejsou chybějící aktualizace softwaru, tzv. záplaty, a v odstranění problému nasazením těchto záplat ve stanoveném čase. Záplaty jsou nezbytné k zajištění toho, aby byly systémy opravené, aktuální a chráněné proti bezpečnostním zranitelnostem a chybám, které se v softwaru vyskytovaly.

Vzhledem k důležitosti spray záplat, pro organizaci bude přínosné provádět pravidelné interní audity správy záplat, aby mohla vyhodnotit úspěšnost svého programu správy záplat. Tyto audity je nejlépe provádět systematicky, podle několika kroků na kontrolním seznamu, aby byl zajištěn důkladný a úplný audit.

Kontrolní seznam auditu správy záplat - deset důležitých kroků

Kontrolní seznam auditu správy záplat se může lišit v závislosti na velikosti organizace a jejích prostředcích, ale hlavní je, že aktualizace by neměly být instalovány hned, jak jsou k dispozici. Místo toho by měly procházet procesem stanoveným organizací. Tento procesně orientovaný přístup usnadní dodržování některých osvědčených postupů správy záplat.

1. Inventarizace všech síťových prostředků

   Velký podnik může mít stovky prostředků včetně serverů, pracovních stanic, počítačů, verzí operačních systémů, aplikací třetích stran a zařízení pro vzdálený přístup. Prvním krokem je inventarizace všech prostředků, abyste znali rozsah záplatovací operace. Kompletní inventarizace aktiv stanoví, co máte k dispozici, takže víte, co je třeba opravit.

   Mějte v souboru inventární údaje o každém systému - včetně informací, jako je název hostitele, umístění, IP adresa, MAC adresa, operační systém a aktuální úroveň revize. Tyto informace lze sice shromáždit ručně, ale existují nástroje pro správu záplat pro skenování sítě, které mohou poskytnout důkladný soupis všech síťových prostředků - v případě potřeby zajistí aktualizace. Soupis by měl být pravidelně aktualizován jako součást procesu správy záplat.

2. Stanovení priorit oprav

   Aktiva by měla být seřazena podle priority na základě expozice a zranitelnosti vůči rizikům. Jaký je dopad na organizaci, pokud je určité zařízení mimo provoz? Potřebuje toto zařízení okamžité nasazení záplaty, nebo standardní nasazení (které může trvat týdny)? Jaká je citlivost informací v daném zařízení (například čísla sociálního zabezpečení nebo soukromá data pacientů)? Používá se zařízení pro kritické obchodní operace, například pro zpracování plateb? Podporuje zařízení kritickou "veřejnou tvář" podniku, například hlavní webové stránky?

   Ustanovte pracovníky, kteří mají pravomoc rozhodovat o naléhavosti záplatování - spolu s prováděním přezkumů zranitelnosti a expozice systémů. Přezkumy naléhavosti by měly rozhodnout, zda je třeba okamžitě přijmout opatření k záplatování nebo implementovat řešení.

3. Zavedení zásad správy oprav

   Zavedená a zdokumentovaná politika správy záplat pomůže organizaci chránit se před viry a bezpečnostními zranitelnostmi. Zásady by měly dokumentovat, kdo je zodpovědný za proces správy záplat, co by mělo být záplatováno, kdy by mělo být záplatováno a jak by mělo být záplatováno. Zásady by měly obsahovat formální proces nasazování záplat, ale měly by být dostatečně přizpůsobivé, aby se mohly přizpůsobit ad hoc potřebám záplatování. Vytváří konzistentní šablonu, kterou se mohou pracovníci IT řídit, ale poskytuje flexibilitu, pokud se během procesu nasazování záplat něco pokazí.

   Kromě nasazování záplat by se zásady správy záplat měly zabývat tématy, jako jsou např:

   • Řešení případů, kdy oprava není k dispozici. Uveďte podrobnosti o tom, co by měl bezpečnostní tým udělat v případě, že aplikace nebo komponenta operačního systému vyžaduje záplatu, ale tato záplata ještě není k dispozici.
     Zahrňte všechny požadavky na záplatování. Záplatování vyžadují i aplikace, které nejsou propojeny s operačním systémem, protože mohou představovat bezpečnostní riziko. Je důležité zajistit, aby při procesu správy záplat nebyla žádná aplikace opomenuta.
     Načasování nasazení záplat. Zásady správy záplat musí uvádět časy a omezení operací pro tým správy záplat. Zásady musí obsahovat upozornění pro uživatele, kdy mohou očekávat restartování systému nebo kdy musí mít své počítače k dispozici pro nasazení záplat.

4. Sledujte stav záplat všech aplikací Vždy se dozvíte, kdy jsou potřeba nové záplaty. Nejjednodušší způsob, jak toho dosáhnout, je použít řešení, které monitoruje stav záplat v síti a automaticky vás upozorní, když jsou záplaty k dispozici. Pokud je problémem rozpočet, další možností je sledovat, jaké aplikace používáte, a pravidelně kontrolovat příslušné webové stránky, zda nejsou k dispozici nově vydané aktualizace.

   Součástí zásad by mělo být i sledování aktuálních událostí. Ne vždy je záplata vydána dříve, než se o zranitelnosti dozví široká veřejnost. Měla by také obsahovat postup pro posuzování mimořádných záplat.

5. Vždy testujte záplaty Záplaty jsou navrženy tak, aby dobře fungovaly izolovaně, ale v reálném světě bude mít každý počítač více než jeden typ softwaru. To znamená, že vždy existuje možnost nekompatibility mezi záplatou a jiným softwarem. Při nasazení záplat bez řádného otestování hrozí, že některá ze záplat může být v konfliktu a způsobit problémy v infrastruktuře organizace.

   Záplaty testujte v prostředí, které je zrcadlovým obrazem vašeho produkčního prostředí. Projděte si popisy záplat, aby testovací prostředí mohlo zahrnovat všechny známé problémy. Před použitím záplaty v celé síti je vhodné ji otestovat na několika počítačích. Při testování zahrňte restarty systému, aby neočekávané restarty po nasazení záplaty neovlivnily běžný provoz.

   .

6. Zdokumentujte veškeré úsilí o opravu
   Dokumentace je nezbytná pro případ, že by se po počátečním testování objevily problémy s nasazením záplat. Omezte přístup ke konfigurační dokumentaci včetně schémat a inventárních seznamů. Omezte přístup - včetně možností aktualizace - na oprávněné pracovníky.

7. Implementace záplat

   Jak již bylo zmíněno, zásady musí obsahovat upozornění pro uživatele, kdy mohou očekávat restartování nebo kdy musí mít své počítače k dispozici pro nasazení záplaty. Pokud nebyly během testovací fáze odhaleny žádné problémy, aplikujte záplatu v celé organizaci.

   Největším problémem při nasazení je nenarušit produkci. Pokud to rozpočet umožňuje, zhodnoťte nástroje pro automatickou správu záplat pro jejich nasazení a údržbu. Najděte a používejte nástroj, který nejlépe odpovídá velikosti a složitosti vaší operace správy záplat.

8. Audit nasazení záplat
   Zavedení auditu správy záplat, který vyhodnotí nasazení záplat a identifikuje problémy vyžadující nápravu. Analyzujte protokoly o nasazení a výjimky a formálně ověřte, že všechna nasazení proběhla správně. Monitorujte případné problémy s kompatibilitou nebo výkonem.

9. Buďte připraveni na katastrofy
   Stanovte postup obnovy po havárii, včetně podrobností o tom, jak vrátit špatné záplaty nebo co má tým dělat, pokud není možné vrátit se k předchozí verzi. Vytvořte plán zpětného vrácení, který umožní okamžitě vrátit záplaty zpět a vrátit se do stavu před záplatováním. Opět si projděte nástroje pro správu záplat, které vám pomohou s těmito případnými návraty záplat.

10. Generování zpráv o opravách Zdokumentujte úsilí o opravu, abyste prokázali soulad s předpisy a zajistili transparentnost svého úsilí. Efektivní reportování může také pomoci odhalit potenciální problémy, které pomohou týmu vyhnout se nástrahám v budoucnu. Vytvářejte podrobnou dokumentaci a zprávy o stahování, testování a instalaci záplat pro účely auditu a dodržování předpisů.

    Jakmile vaše organizace dokončí tyto kroky, mělo by být snazší opakovaně dodržovat kontrolní seznam auditu. Každá iterace auditu by měla zahrnovat vyhodnocení případně zastaralých strojů, revizi zásad a rozhodnutí, zda jsou určité výjimky ze zásad stále potřebné.

Jak zabránit výpadkům při aktualizaci podnikových systémů

Prostoje mohou být nákladné, proto je důležité před upgradem serveru dodržovat preventivní postupy. Následující seznam sice není vyčerpávající, ale poskytuje mnoho tipů, jak minimalizovat následky výpadků a zajistit kontinuitu provozu.

• Nezapomeňte si pořídit zálohy
  Upgrade sítě je lepší provádět až po ověření zálohy. Pravidelně kontrolujte zálohy fyzických a virtuálních počítačů a ověřujte, zda je možné provést obnovu. Upgrade může selhat, proto používejte technologie klonování disků nebo obrazy disků, abyste obnovili data i konfiguraci serveru.

• Pečlivé sledování před a po aktualizaci

• Sledování problémů se servery dříve, než dojde k jejich selhání. Je užitečné mít řešení pro monitorování sítě, které poskytuje upozornění na neobvyklé události, jako je vysoké využití procesoru nebo paměti nebo náhlé samovolné spuštění serveru. Po upgradu monitorujte kritické události, jako jsou soubory protokolu, chybová hlášení a operace zálohování. Pravidelně kontrolujte další zařízení, jako jsou přepínače, pracovní stanice a brány firewall, zda jsou všechna nastavení správná. Tyto úkoly lze také automatizovat pomocí softwaru pro inventarizaci a správu konfigurace sítě.

• Nedůvěřujte ... ověřujte
  Nezapomeňte potvrdit operační systém provedením rychlého auditu systému, který aktualizujete, abyste si ověřili kompatibilitu operačního systému. Také si ověřte, že šasi podporuje upgrade. Nejlepší je skříň skutečně otevřít a zjistit, zda bude nasazený server s upgradem fungovat. A konečně, nevytvářejte předpoklady o možnostech připojení zařízení k operačnímu systému serveru. Ověřte, zda je komponenta zařízení uvedena na seznamu hardwarové kompatibility dodavatele operačního systému.

  Upgradujte postupně a ne najednou
  Ačkoli na první pohled zní minimalizace restartů serveru jako dobrý nápad, je lepší neprovádět několik souběžných upgradů s jedním vypnutím. Ať už přidáváte disky, vyměňujete paměť nebo instalujete další karty, bezpečnější cestou je provádět tyto úlohy odděleně. Pokud dojde k problému, může být obtížné izolovat, která změna byla za chybu zodpovědná, pokud došlo k více souběžným změnám.

  Dokumentujte, co děláte
  Jakmile provedete upgrade serveru, aktualizujte dokumentaci s informacemi, jako je komponenta, která byla upgradována, výrobce, dodavatel, objednací čísla, sériová čísla - a také informace o záruce a podpoře. Zdokumentujte také provozní postupy a zajistěte, aby byly snadno přístupné zaměstnancům, abyste se vyhnuli prostojům způsobeným lidskou chybou.

  Vytvořte podrobný plán obnovy po havárii
  Dobře nacvičený plán obnovy - kdy zaměstnanci přesně vědí, co mají v případě nouze dělat - je klíčem k minimalizaci výpadků. Některé organizace mají sekundární lokalitu datového centra, takže pokud dojde k výpadku primární lokality, sekundární lokalita udrží organizaci v chodu. Jiné využívají zálohování dat a cloudové služby, aby zabránily trvalé ztrátě dat a pomohly organizaci rychle se zotavit z havárie.

Rozhodování o softwarových nástrojích pro audit kontrolního seznamu správy záplat

V posledních několika letech se objevily nástroje pro automatickou správu záplat, které mají správcům ulevit od tohoto tlaku a zlepšit celkovou efektivitu stahování a instalace záplat na různých zařízeních. Výsledkem je, že každá organizace může aktualizovat všechny své koncové body nejnovějšími záplatami, a to s minimálním zásahem člověka, bez ohledu na hardwarové specifikace a geografické umístění.

Jak ale vybrat správný software pro správu záplat vzhledem k velkému množství dnes dostupných nástrojů pro správu záplat? Zde je několik funkcí, které by měl mít každý dobrý software pro automatizovanou správu záplat:

Funguje na různých platformách a v různých operačních systémech - včetně operačních systémů Microsoft®, MAC OS X® a Linux®, Amazon Web Services (AWS), dalších cloudových platforem a také aplikací třetích stran.

• Prohledává celou síť a identifikuje chybějící záplaty napříč různým softwarem.
• Stahuje záplaty přímo ze stránek dodavatelů
• Zahrnuje efektivní testování a nasazení záplat
• Poskytuje podrobné reporty, které správcům poskytují kompletní přehled o chybějících, stažených, otestovaných a nainstalovaných záplatách
• Snadno se instaluje na všechna zařízení, jako jsou stolní počítače, notebooky a servery.
• Integrováno s automatizovanou správou záplat, která vám pomůže ušetřit čas
• Generuje zprávy o stavu každé aktualizace a příslušné statistiky o instalacích a aktualizacích záplat pro účely auditu

Blogy

Dodateční zdroje