Guarda la patch

Guarda la patch

Negli ultimi due anni, c'è stato uno spostamento sottile ma significativo nell'approccio adottato dai gestori aziendali alla sicurezza della rete. L'enfasi non è più sull'acquisizione o l'implementazione di strumenti specialistici - come scanner antivirus, firewall e così via - ma a mantenere aggiornati i sistemi per limitare il numero di vulnerabilità che possono essere sfruttate in primo luogo.

Sul presupposto che la "prevenzione è meglio che curare", questo è un approccio eminentemente ragionevole da adottare. Tuttavia, non esiste un sistema operativo completamente sicuro, che si tratti di una variante di Windows, della distribuzione Linux o di un sistema operativo unix, mini o mainframe legacy unix, mini o mainframe. Allo stesso modo, è impossibile proteggere le applicazioni al 100 %.

Nuove vulnerabilità vengono scoperte continuamente, che richiedono una costante vigilanza per capire cosa e chi potrebbe essere influenzato. Quindi, è necessario acquisire e installare le patch necessarie non appena vengono scoperti potenziali nuovi exploit. Aggiungi a questa funzionalità miglioramenti, aggiornamenti per supportare nuove tecnologie, standard e così via, ed è facile capire perché la gestione delle patch è ora valutata dai gestori della rete come uno dei loro maggiori mal di testa. Questo è particolarmente vero su grandi reti aziendali, in cui il compito di mantenere aggiornati centinaia, se non migliaia, può essere un processo ripetitivo, che richiede tempo e noioso.

Tra i lati positivi, una maggiore consapevolezza delle potenziali minacce sta portando allo sviluppo di software più sicuri e software che è sempre più facile da mantenere in quel modo. Aggiunti a questo, grandi sviluppatori come IBM, Microsoft, Sun, Red Hat si stanno svegliando con le loro responsabilità e fornendo nuovi strumenti di gestione degli aggiornamenti e servizi di supporto per aiutare i clienti a gestire il processo di patching.

Quindi diamo un'occhiata a ciò che è disponibile per aiutare a automatizzare le attività di gestione delle patch.

La patch di Microsoft martedì

Potrebbe non essere il primo fornitore di grandi nomi ad affrontare il problema (abbastanza inverso), ma Microsoft ha fatto un passo avanti di recente per aiutare gli utenti a mantenere aggiornato il proprio software e al sicuro dagli attacchi. Inevitabilmente, gran parte di quel lavoro è andato dietro le quinte, con risorse extra lanciate per identificare le vulnerabilità e rispondere con aggiornamenti, calde e altre patch in modo tempestivo.

La manifestazione più ovvia è il servizio di aggiornamento automatico di Windows, un client per cui è incluso in ogni copia di XP e per Windows 2000 in SP 3 e superiore.

Un vantaggio per il consumatore e la piccola impresa, tutto ciò che è necessario per gli aggiornamenti automatici al lavoro è una connessione a Internet. Tuttavia, può effettivamente essere una specie di fastidio su una grande rete in cui migliaia di PC potrebbero provare a scaricare le stesse patch contemporaneamente. Questo è un problema aggravato dal ciclo di rilascio di Microsoft, che vede la maggior parte dei suoi aggiornamenti emessi il secondo martedì di ogni mese. O "patch martedì", come è noto dagli amministratori di rete i cui carichi di lavoro volano quando vengono pubblicate le nuove patch.

Di conseguenza, la maggior parte dei clienti aziendali sceglie di disabilitare regolarmente l'opzione Aggiornamenti automatici utilizzando la politica di gruppo, preferendo testare gli aggiornamenti stessi prima di applicarli. In questo modo è possibile schermare possibili conflitti con altre applicazioni e incompatibilità hardware prima che gli utenti mettano le mani sulle patch. Tuttavia, gli aggiornamenti approvati devono ancora essere distribuiti e installati, quindi Microsoft ha introdotto uno strumento chiamato SUS (software Update Services), che può essere scaricato gratuitamente ed eseguito su un server Windows, per aiutare a gestire il processo di aggiornamento.