Con che frequenza installate le patch in un ambiente aziendale?

Se si tratta di un ambiente Microsoft, si trarrebbe vantaggio dalla maggior parte installando le patch mensilmente, pianificando questo subito dopo Patch Tuesday ogni mese.

Siate pronti a interrompere questo programma per le patch critiche, fuori banda. Assicurati che tutte le patch vengano testate prima in un ambiente di pre-produzione prima di applicarle alla produzione.

Per le altre piattaforme, dovresti fare lo stesso se c'è un programma di aggiornamento pubblicato. L'obiettivo è quello di applicare patch alle piattaforme di produzione il prima possibile una volta che sono state testate.

Riguardo agli standard, un esempio è PCI DSS v3 che afferma:

6.2 Ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor supplied security patches. Install critical security patches within one month of release

Quindi, per lo meno dovresti cercare una volta al mese, ma ti consiglio di accelerare questo problema per i bug critici con exploit disponibili pubblicamente (ad esempio Shellshock ).

Ho visto aziende aziendali che installano tutti gli aggiornamenti (obbligatori) in un ambiente di accettazione il giorno in cui vengono rilasciati gli aggiornamenti. Una volta installato in questo ambiente, viene accuratamente testato.

Se tutto procede bene, riparano l'ambiente di produzione due settimane più tardi. Tuttavia, questo vale per le patch regolari. Se sono presenti una o più patch di sicurezza applicabili al proprio ambiente, si consiglia di farlo quanto prima.

Esempi di patching immediata (entro 24 ore): Heartbleed, Shell Shock, GHOST ecc.