Обновлять или не обновлять серверы
Вопрос обновления серверов встает перед всеми компаниями и тем острее, чем парк серверов больше. Персонал ИТ и ИБ часто занимают в нем диаметрально противоположные позиции и это понятно. Бизнес и аудиторы тоже добавляют масла в огонь. Вот распространенные позиции каждой стороны:
ИТ
- на это нужно много ресурсов, которых нет
- это может вызвать сбои или отказы
- и так всё работает (или основное правило админа - не трожь, пока работает)
ИБ
- уменьшается количество уязвимостей
- улучшается сопротивляемость атакам
- возрастает надежность
Бизнес
- бизнес-процессы не должны прерываться
Аудитор
- всё должно обновляться
Основная идея этого поста в том, что как обновление, так и не обновление серверов могут привести к их сбоям или отказам. В случае обновления это может случиться из-за программных ошибок. В случае не обновления – в результате атак. Поэтому лучше, во-первых, минимизировать и принять данные риски, а во-вторых, выполняя обновления сделать процесс потери любых свойств информационной безопасности контролируемым.
Так как же в этом во всем найти компромисс, который будет устраивать все стороны этого процесса? Мне видится следующий путь. В организации далеко не все серверы являются критичными, а также далеко не все подвержены атакам. Имеет смысл выделить первоочередную группу серверов подлежащих обновлениям и включить в них:
- все серверы из DMZ
- все серверы, имеющие интерфейсы или port mapping во вне
- все серверы, по которым есть жесткие compliance требования
В дальнейшем после приобретения практического опыта данная группа может расширяться. Удельные затраты времени на обновления при расширении группы должны будут непременно снижаться в виду отработанности процесса и ставшими стандартными многие операций, да и админы перестанут бояться самого процесса обновлений.
Также хочу обратить внимание на компенсирующие меры для этого процесса. К таким мерам относятся:
- работа с минимальными привилегиями
- постоянно запущенный и обновляемый антивирус
- контроль доступа как физического, так и на всех уровнях модели OSI
- логирование событий
Мое IMHO заключается в том, что таким образом должны остаться целыми волки и сытыми овцы. :-)