Выпуск огромного числа патчей в один день влечет риски и стресс для IT-команд
28 августа 2020 года
По наблюдениям специалистов, число сообщений об уязвимостях в 2020 году может оказаться на уровне либо превысить показатели прошлого года, однако выбор времени раскрытия информации о проблемах чреват стрессом и рисками для IT-команд организаций.
Согласно новому отчету компании Risk Based Security, в первом квартале текущего года число предупреждений об уязвимостях было ниже, при этом количество опасных уязвимостей выросло. Тренды демонстрируют, что сейчас показатели возвращаются к нормальному уровню, однако существует ряд факторов, которые могут повлиять на ситуацию не в лучшую сторону.
Одним из таких факторов является почти одновременный выпуск патчей крупными компаниями, например, Microsoft и Oracle. Microsoft положила начало практике выпуска обновлений в рамках «вторника исправлений», которую со временем переняли и другие компании - Adobe, SAP, Siemens и Schneider Electric. Нередко Apple, Mozilla, Intel и Cisco также выпускают патчи в один день. К примеру, 14 апреля нынешнего года были опубликованы предупреждения о 506 уязвимостях, информацию о 79% из них раскрыли семь различных вендоров. 14 июля показатель составил 491 уязвимость, причем 67% из них относились к продуктам Microsoft и Oracle.
По словам исследователей, в нынешнем году число уязвимостей в решениях Microsoft возросло на 150%, что может быть связано с большей открытостью компании к отчетам об уязвимостях от сторонних исследователей, а также большим объемом кодовой базы Windows 10 по сравнению с Windows 7. На втором месте в списке лидеров фигурирует Oracle (612 раскрытых уязвимостей), далее следуют Google (563), Red Hat (550), SUSE (519), IBM (446), Dell (430), Cisco (376), Canonical (363), организация Software in the Public Interest (293).
Перечень решений с наибольшим числом уязвимостей включает Windows 10 (478), openSUSE Leap (464), Windows Server 2019 (436), Windows Server Semi-Annual Channel (425), Windows Server 2016 (366), Ubuntu (362), Red Hat Enterprise Linux (353), Google Pixel/Nexus (314), Debian Linux (292).
Рост числа сообщений об уязвимостях влечет за собой сложности для команд безопасности. Хотя Microsoft проводит тестирование перед выпуском обновлений, компания не может учесть все конфигурации и вероятности, в результате организациям приходится тестировать патчи самостоятельно, отмечается в отчете.
«Могут пройти дни или недели, прежде чем им [IT-командам] дадут добро на установку патчей в производственной сети. Все это делает организации более уязвимыми», - говорят специалисты.
Учитывая скорость появления вредоносных эксплоитов для свежераскрытых уязвимостей, команды безопасности вынуждены сортировать, тестировать и устанавливать патчи в короткое время. К тому же, с ростом числа уязвимостей, которые нужно устранить, процесс ранее занимавший несколько часов, может занять весь день.
Software in the Public Interest, Inc. (SPI) - некоммерческая организация, созданная в 1997 году с целью помочь другим организациям создавать и распространять свободное программное обеспечение и открытые аппаратные решения. Любой человек имеет право подать заявку на членство в организации.
Источники
правитьЭта статья содержит материалы из статьи «Выпуск огромного числа патчей в один день влечет риски и стресс для IT-команд», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.