piatok 18. októbra 2019

Radíme: Správa softvérových aktualizácií

Rastúci počet aplikácií, utilít a mobilných zariadení zvyšuje zraniteľnosť firemných sietí, a tým aj riziká potenciálnych útokov. Na vytvorenie efektívneho systému na správu softvérových aktualizácií je potrebné splniť rad bodov, ktoré umožnia zvýšiť zabezpečenie firemných IT, znížiť riziká napadnutia a zároveň splniť prísne požiadavky zo strany najrôznejších regulačných nariadení.

Vytvorenie funkčného systému je stále naliehavejšie, napr. vlani došlo k opätovnému nárastu softvérových zraniteľností operačných systémov, stolných aj mobilných aplikácií. Vlani bolo zaznamenaných celkom 16.555 zraniteľností, t. j. o 12,5 % viac než v roku 2017, kedy bolo zistených 14.714 zraniteľností. Najviac nových zraniteľností bolo zaregistrovaných v operačných systémoch Debian Linux, Google Android, Ubuntu Linux a vo firmware Qualcomm, z aplikácií potom Mozilla Firefox a Adobe Acrobat Reader.

6 krokov na efektívnu správu aktualizácií podľa skúseností GFI Software zahŕňa:
1. Stanoviť si pravidlá na softvérové záplatovanie (patch management) v organizácii – zahŕňa stanovenie rozsahu záplatovania, termínov a výnimok a správu aktualizovaného inventára aktív.

2. Stanoviť si zodpovednosť za identifikáciu záplat a ich distribúciu v rámci organizácie – znamená stanoviť tím či osobu zodpovednú za správu rizík, hodnotenie zraniteľností, testovania záplat a ich inštaláciu.

3. Overovať inštalácie aktualizácií a riešiť chyby – Efektívna správa aktualizácií nezabúda ani na overenie, ktoré zaistí funkčnosť záplat po inštalácii a na riešenie prípadných chýb.

4. Automatizovať v čo najvyššej miere – Manuálne aplikovanie záplat nie je dlhodobo udržateľný postup, cestou k efektívnej správe je automatizovaná aplikácia aktualizácií, ak je to možné viacfázová.

5. Vytvoriť si databázu nápravných opatrení – Databáza rizík, nápravných opatrení a výnimiek zo záplatovania pomôže udržať prehľad a kontrolu nad procesmi správy aktualizácií.

6. Kontrolovať efektivitu systému na správu aktualizácií – Výkonnosť systému sa môže merať priebežným vyhodnocovaním napr. vyspelosti systému na správu záplatovania, nákladov na zavedenie a prevádzku systému a zhody s regulačnými požiadavkami.

„Efektívna správa aktualizácií je kľúčovou súčasťou každej stratégie kybernetickej bezpečnosti. Systém aktualizácií postavený na technických nástrojoch umožňujúci automatizáciu procesov záplatovania prináša vyššiu bezpečnosť, vyššiu produktivitu zamestnancov, lepšie fungovanie IT infraštruktúry, vyššiu zhodu s regulačnými požiadavkami a v celkovom dôsledku aj nižšie náklady“, dodal Zdeněk Bínek.