Con quale frequenza le patch di sicurezza rompono le applicazioni aziendali [chiuso]

Naviga le tue risposte
7

Esistono statistiche su quanto siano affidabili le patch di sicurezza? Come la frazione richiamata o corretta?

Una parte della sicurezza di un computer è l'applicazione di patch di sicurezza. Il periodo tra la messa a disposizione di patch e l'installazione della patch ha aumentato il rischio di compromissione, dal momento che gli hacker sono stati informati di una vulnerabilità. Se la tua unica preoccupazione è la sicurezza, dovresti installare tutte le patch di sicurezza e installarle il prima possibile.

Tuttavia conosco amministratori di sistema professionali (nel senso che sono pagati per farlo) che non installano patch di sicurezza perché, dicono, sono preoccupati che l'installazione delle patch "interrompa" il loro sistema in qualche modo .

È facile denigrarli come pazzi. Ma un'analisi più sfumata rileva che il loro compito è non semplicemente per mantenere un sistema informatico sicuro. Il sistema ha un compito aziendale da svolgere e una violazione della sicurezza è solo uno dei numerosi errori di cui devono preoccuparsi. Un approccio razionale tiene conto del costo di ciascuna modalità di errore, del costo delle protezioni contro l'errore e della probabilità che si verifichi. Non installare patch può essere una decisione razionale, almeno teoricamente, in alcune circostanze. Più ragionevolmente, ritardare l'installazione di una patch in attesa di vedere se ha problemi potrebbe essere razionale in più circostanze.

Tuttavia, affinché tali decisioni siano razionali, la probabilità che una patch di sicurezza infranga un'applicazione aziendale deve essere nota e moderatamente elevata. Altrimenti la ragione data è più una scusa per la pigrizia.

Qual è la probabilità di una patch di sicurezza per un componente o un framework del sistema operativo (come un server Web) per interrompere un'applicazione aziendale in esecuzione su tale piattaforma. Esistono statistiche su quanto è probabile che una patch rompa qualcosa?

Ora, nessuno fa realmente un calcolo matematico del guadagno previsto, ma opera piuttosto su alcune intuizioni sul rischio relativo. Sospetto che gli amministratori di sistema abbiano un'intuizione errata sulla probabilità che una patch rompa il loro sistema. Come programmatore di applicazioni aziendali, trovo difficile credere che una patch per un componente del sistema operativo o un framework che è stato ragionevolmente testato dal venditore possa rompere l'applicazione, a meno che l'applicazione non sia stata scritta male e piena di errori che rappresentavano altri rischi aziendali Comunque. Ma come possiamo correggere tali intuizioni errate senza qualche tipo di statistica sulle patch difettose? Ad esempio la frazione di patch richiamata o corretta?

    
posta Raedwald 04.06.2016 - 16:07
fonte

2 risposte

1

Un approccio più razionale adottato negli stessi luoghi, non è quello di evitare completamente gli aggiornamenti, ma piuttosto di ritardare e testare prima dell'applicazione. Grandi organizzazioni come Microsoft, Apple e Mozilla hanno messo male aggiornamenti in passato dispositivi di rendering o software inutilizzabili o inutilizzabili dietro un proxy / firewall, ecc. Può essere un buon rischio calcolato ritardare un aggiornamento per un po 'per vedere se ci sono problemi che compaiono poco dopo che è stato rilasciato, e quindi per applicare l'aggiornamento ad alcuni sistemi non critici prima di verificare i problemi nell'ambiente locale, prima di un più ampio lancio.

    
risposta data 04.06.2016 - 17:02
fonte
0

La strategia di patching fa parte di una valutazione del rischio per un'azienda. Il tuo caso specifico può variare da "non applicare mai patch di sicurezza" a "applicare patch di sicurezza non appena vengono rilasciate".

Il problema che descrivi è ben noto ed estremamente diffuso. La mancata applicazione di patch (sicurezza o altro) è spiegata da vari motivi più o meno razionali (evitando tempi di fermo, evitando rotture, "troppo complicati", ...). Spetta al responsabile della sicurezza delle informazioni della tua azienda mettere il problema sul tavolo. Uno dei risultati corretti potrebbe essere "non applicheremo le patch".

Mettere il problema sul tavolo e formalizzarlo attraverso un criterio aiuta tutti: le persone della sicurezza sono felici, gli amministratori hanno una politica asino-copertura che fa il backup delle loro attività nel caso in cui le cose vadano a sud, l'audit interno può spuntare un altro segno di spunta e, in definitiva, l'azienda ne beneficerà.

Ovviamente non è possibile rispondere alla tua domanda. Potresti avere storie horror di quanto è andata male, ti darò il mio (spoiler: lieto fine): in una grande azienda ~ 12 anni fa IT è stata esternalizzata a una società di servizi. Questa azienda ha installato il proprio sistema di gestione delle patch e ha dimenticato di disabilitarlo. 40.000 macchine Windows sono state aggiornate sul posto con patch risalenti a anni fa. C'è stato un giorno di tensione dal momento che alcuni altri software hanno richiesto anche un aggiornamento e poi tutto è andato bene. YMMV.

    
risposta data 04.06.2016 - 20:19
fonte

Leggi altre domande sui tag

Prevenzione di XSS in SVG Vulnerabilità legata alla sessione PHP