Охрана безопасностиЯ только что получил бюллетень по безопасности. Что дальше?
Кристофер Бадд (Christopher Budd)
Ежемесячный бюллетень по безопасности Майкрософт выпускается по просьбе пользователей с октября 2003 года. Одним из самых главных требований является предсказуемость графика выпусков бюллетеня по безопасности. Мы имеем возможность использовать это правило и предсказуемость, чтобы усовершенствовать наши процессы.
На сайте Microsoft Security Bulletin (на английском языке) вы можете найти свежие выпуски бюллетеня по безопасности, а также предшествующие выпуски, как показано нарисунке 1. Пример бюллетеня, в данном случае за август 2006 года, показан на рисунке 2.
Рисунок 1** Сайт Microsoft Security Bulletin **(Щелкните изображение, чтобы увеличить его)
Для многих клиентов ежемесячный бюллетень по безопасности помог выработать навык использования пакетов обновления Майкрософт. Так как дата выпуска бюллетеней по безопасности известна заранее, клиенты использовали это преимущество, чтобы выработать свою собственную систему их использования. Эти клиенты построили графики и рассчитали шаги оценки и применения пакетов обновления безопасности, которые интегрируют прогнозируемые графики относительно ежемесячных выпусков бюллетеня по безопасности Майкрософт. Клиенты используют такой подход, для системного анализа, тестирования и применения пакетов обновления, что помогает увеличить их степень безопасности в целом и уменьшить простои и срывы рабочего процесса.
Рисунок 2** Бюллетень по безопасности за август 2006 г. **(Щелкните изображение, чтобы увеличить его)
Однако некоторые клиенты оценивают и используют пакеты обновления без всякого планирования. Наличие возможности бессистемного использования пакетов обновлений, при котором не возникает никаких проблем, полностью противоречит тому, что мы считаем наилучшей практикой управления пакетами обновления.
Мы опубликовали полезную информацию о том, как и когда мы выпускаем бюллетени, но мы не рассказали, что вы должны делать с бюллетенями, и как вы можете интегрировать их в свои процессы. Некоторые клиенты могут не знать о процессах, которые способны помочь им, или как лучше их создать.
Поэтому в этой статье я расскажу о том, что мы рекомендуем для вашей оценки и применения пакетов обновления системы безопасности. Этот алгоритм применим для организаций любого уровня. Для некоторых крупных организаций этот процесс нужно поделить на этапы для разных групп, в зависимости от внутренней структуры. Для небольших организаций все этапы будут направлены для одной группы или даже для одного лица. Независимо от распределения ответственности, все этапы должны быть четко соблюдены во время оценки и применения пакетов обновления. Рисунок 3 иллюстрирует сам процесс.
Рисунок 3** Процесс оценки и применения бюллетеня по безопасности **
1. Получение предварительного извещения
Первое, что нужно сделать, это убедиться, что вы получили предварительное извещение ожидаемого пакета обновления. Корпорация Майкрософт размещает информацию об этом на своем сайте приблизительно в десять часов утра Тихоокеанского времени (GMT -8)за три рабочих дня до ежемесячного выпуска, который является вторым вторником каждого месяца, Поэтому предварительное извещение приходит предыдущий четверг.
Цель такого извещения – обеспечить клиента информацией, которая поможет ему спланировать применение пакета обновления до его фактического выпуска. Уровень детализации сбалансирован таким образом, чтобы не было необходимости защитить клиента до выпуска пакета обновления системы безопасности неразглашением любой информации, которая может способствовать атаке. Предварительное извещение о новом пакете обновления содержит имя продукта без дополнительной информации относительно конкретной версии (например, Microsoft® Windows® или Microsoft Office). Каждый из них содержит информацию о том как много бюллетеней для данного продукта будет выпущено, важность этих бюллетеней, потребуют какие-либо пакеты перезагрузки системы, а также о том, какие инструменты обнаружения подойдут для данных бюллетеней.
Чтобы избежать недоразумений, предварительное извещение также содержит информацию о других обновлениях, не связанных с бюллетенем по безопасности, которые будут выпущены в тот же день. В частности, оно сообщает о количестве наиболее важных пакетов обновления не относящихся к системе безопасности, которые будут выпущены Microsoft Update (MU) и Windows Update (WU), а также об обновлениях программы Microsoft Windows Malicious Software Removal Tool.
И, наконец, мы предоставляем информацию о любых факторах, которые могут вызвать задержку применения пакетов обновления, как мы делали в MS06-019 для изменения разрешений "Отправить как".
Каждый месяц публикуется новое предварительное извещение, а служба Security Notification Service Comprehensive Edition (SNSCE) отправляет соответствующее уведомление. Вы можете зарегистрироваться в SNSCE.
2. Оценка потенциального воздействия
Получив предварительное извещение, первым делом вы должны определить актуальность предстоящего выпуска для вашей системы. Несмотря на то, что извещение содержит не всю информацию о подверженных опасности продуктах, в нем достаточно информации, для того чтобы определить степень актуальности выходящих бюллетеней.
Предположим, в извещении говорится о двух бюллетенях Microsoft Exchange, которые имеют наивысший уровень серьезности ошибки и требуют перезагрузки системы. Если вы не используете эту программу, вы заранее знаете, что эти бюллетени не подойдут для вашей системы. И наоборот, если вы используете Exchange Server 2003, вы узнаете, что во вторник вы сможете получить два бюллетеня, помеченных как важные, которые потребуют перезагрузки системы.
В целях планирования считайте предварительное извещение неким инструментом, помогающим вам определить степень зависимости вашей организации от количества выпускаемых бюллетеней, их важности и их условий применения, которые могут потребовать перезапуска системы. Определив актуальность и значимость пакетов обновлений, вы можете создать схему, которая должна включать следующие действия:
- Сотрудники, оценивающие степень риска, проводящие испытания и внедрение обновлений
- Планы испытания и время испытаний
- Планы по внедрению и график перезагрузки (по необходимости)
Любое планирование должно быть условным, так как информация в бюллетене может изменится. Так как извещение содержит очень обобщенную информацию, получив обновление, вы также можете изменить планы.
И наконец, если есть дополнительная информация, как например функциональные изменения, вам следует использовать время между получением извещения и фактическим выпуском бюллетеня, чтобы изучить вопрос и оценить его влияние на вашу систему. При изучении такого вопроса вы возможно пересмотрите свой предварительный план.
3. Получение нового бюллетеня по безопасности Майкрософт
Во второй вторник каждого месяца Майкрософт выпускает свой бюллетень по безопасности. В десять часов утра по тихоокеанскому времени (это ориентировочное время выпуска), но так как выпуск является частью большого, сложного, взаимосвязанного процесса, он может быть задержан по ряду причин. В этом выпуске, бюллетень по безопасности, пакеты обновления системы безопасности, обновления средств обнаружения и внедрения как Microsoft Baseline Security Analyzer (MBSA) и Windows Server® Update Services (WSUS), а также новые средства обнаружения: новая версия Enterprise Scan Tool (EST), посылаются на сайты Майкрософт.
Страница бюллетеня по безопасности Майкрософт поддерживает RSS. При выпуске бюллетеней по безопасности производится и обновление RSS , а также средств просмотра RSS. Кроме того, при помощи Security Notification Service (SNS) и SNSCE посылается соответствующее извещение. Извещения посылаются по электронной почте и в виде уведомлений MSN®.
Чтобы узнать о наличии новых бюллетеней по безопасности, необходимо зарегистрироваться во всех предлагаемых службах извещений. Вы можете подписаться на RSS и на SNS и SNSCE.
4. Оценка актуальности бюллетеня по безопасности
Очень важно назначит ответственное лицо за ознакомление с новым бюллетенем по безопасности и оценкой его актуальности для вашей системы. В рамках этого процесса вы можете получить полную информацию из бюллетеней по безопасности, чтобы пересмотреть и исправить свой предварительный график. Возвращаясь к примеру, если вы известили свою группу администраторов Exchange о возможном важном обновлении, но потом заметили, что Exchange Server не будет обновляться, вы можете изменить свой график.
Установив степень актуальности бюллетеня по безопасности для своей организации, вы можете двигаться далее, учитывая те обновления, которые важны для вашего предприятия.
5. Расчет риска и оценка бюллетеней
На этом этапе вы должны провести оценку риска для актуальных бюллетеней В организациях с разделенной ответственностью, этот этап часто реализуется группой безопасности. Так как бюллетень по безопасности Майкрософт содержит уровень максимальной серьезности ошибки, этот уровень отражает наивысшую серьезность всех уязвимых мест во всех подвергающихся опасности продуктах. Уровень серьезности ошибки Майкрософт, который применяется в вашей организации, может отличаться от максимального уровня серьезности ошибки, в зависимости от значения этой ошибки в версиях в вашей системы. Важно посмотреть на всю таблицу уровня серьезности ошибок и признаков уязвимости в разделе "Пояснительная записка" бюллетеня по безопасности и получить специальную информацию об уязвимости для вашей версии.
После этого необходимо изучить дополнительную техническую информацию, например, смягчающие факторы и технические детали для каждой уязвимости из раздела "Часто задаваемые вопросы", и модифицировать оценку риска, исходя из текущих условий и используемых политик. Ваши политики также могут определять необходимость учитывать при оценки не имеющие отношения к техническим вопросам факторы, например, уровень угрозы или важность определенных приложений для вашей организации.
По завершении этого процесса необходимо установить рейтинг риска для каждого бюллетеня и сопутствующих ему обновлений. Если продолжить с нашим примером, группа администрирования Exchange может определить пакет обновления как умеренный риск, основываясь на изменениях, детализированных в бюллетене по безопасности. Основываясь на своих политиках, вы должны производить обновления и делать изменения в вашем графике по мере необходимости. Например, ваши политики могут диктовать, что для обновлений со средним уровнем риска требуется проводить тестирование на два-три дня дольше, чем для обновлений с низким уровнем риска.
В некоторых случаях ваши политики могут требовать рассматривать альтернативные решения для бюллетеней с определенным уровнем риска. Например, политика вашей организации может требовать, чтобы для всех обновлений системы безопасности, которые вы оцениваете как важные, необходимо оценивать и развертывать альтернативные решения. В этом случае вы произведете дополнительную оценку рисков для альтернативных решений, чтобы определить, какие решения нужно применять, и когда.
В конце этого процесса у вас должен быть список обновлений, которые надо внедрить в систему, с указанием соответствующего уровня риска для каждого обновления. Также необходимо иметь список альтернативных решений, которые необходимо реализовать, чтобы на его основании менять график тестирования и внедрения. Изменения в вашем графике должны отражать сроки, определенные вашими политиками. Например, у вас может быть политика, которая требует, чтобы для всех важных обновлений работа была проделана в течение 24 часов, а обновления были внедрены в течение семи календарных дней.
6. Определение возможного влияния обновлений системы безопасности и альтернативных решений на вашу организацию.
Определение влияния пакетов обновления или альтернативных решений на вашу систему является важным шагом в процессе оценки. В организациях с разделенной ответственностью этот шаг часто осуществляется той группой, которая управляет системами, непосредственно предназначенными для обновлений системы безопасности и для работы.
Выявление возможного влияния помогает понять и определить риск, связанный с пакетами обновления или альтернативными решениями. Вы можете найти информацию в бюллетене по безопасности в разделе "Часто задаваемые вопросы", относяшемся к данному пакету обновления. Информация о том, как обновление определяет уязвимость, находится в разделе "Часто задаваемые вопросы по уязвимости", в разделе «Подробная информация об уязвимости».
Цель этого этапа – определить уровень риска для обновления и альтернативных решений. Продолжая с предыдущим примером, группа администрирования Exchange может определить уровень риска для обновления как «умеренный», основываясь на изменениях, описанных в бюллетене по безопасности. Основываясь на своих политиках, вы должны пересмотреть свой график. Например, ваши политики могут диктовать, что для обновлений со средним уровнем риска требуется проводить тестирование на два-три дня дольше, чем для обновлений с низким уровнем риска.
Вам может понадобиться пересмотреть свое решение относительно внедрения альтернативных решений, в зависимости от оценки риска в вашем графике. Например, вы можете обнаружить, что тестирование нужно продлить на два дня, что оставляет вашу систему незащищенной дольше, чем позволяют ваши политики. В этом случае вы должны пересмотрить сроки внедрения, чтобы они соответствовали вашим политикам.
И, наконец, вы будете использовать информацию, получаемую на этом этапе, когда перейдете к разработке плана тестирования обновлений.
7. Определение плана тестирования
Чтобы тестирование было эффективным, оно должно быть систематичным и проходить в соответствии с тщательно продуманным планом. Тестирование должно быть нацелено на области, в которых могут возникнуть проблемы. Так как все системы отличаются друг от друга, мы не можем предложить стандартный шаблон для создания эффективного плана тестирования.
Для организаций с распределенной ответственностью план тестирования зачастую планируется с учетом наличия нескольких групп. Группы, которые управляют технологиями или системами, для которых устанавливаются обновления безопасности или альтернативные решения, могут внести свой вклад в работу. Группа специалистов по тестированию может помочь подготовить план тестирования, подобрать инструменты и определить реалистичные сроки.
На этом этапе вы должны отметить, как план тестирования влияет на оценку риска обновления или альтернативного решения, и внести изменения в график тестирования или эксплуатации. Например, если вы определили, что не можете разработать достаточно полный план тестирования обновления, вы можете повысить оценку риска обновления, задержать внедрение и реализовать альтернативное решение.
8. Разработка плана внедрения
Внедрение представляет собой процесс фактической реализации защиты, обеспечиваемой обновлениями безопасности или альтернативными решениями. Поскольку внедрение фактически является конечной задачей, понимание доступных методов внедрения и их интеграция в оценку не менее важны, чем сама оценка рисков для безопасности. В организациях с распределенным уровнем ответственности возможные методы внедрения обновлений безопасности часто определяются группами, отвечающими за управление инфраструктурой обновления программного обеспечения, например, группой обслуживания сервера Systems Management Server (SMS). Группы, контролирующие средства управления конфигурацией (например, Active Directory) могут участвовать в определении возможных методов внедрения альтернативных решений.
На данном этапе ваша задача заключается в том, чтобы понять возможные методы внедрения и подготовить на их основании план, который вы сможете использовать для внедрения обновлений безопасности или альтернативных решений. На этом этапе очень важно понимать, как возможные методы внедрения могут повлиять на ваш график, и внести необходимые изменения. Например, если обновление безопасности не поддерживается WSUS, и если вы используете WSUS в качестве основного средства установки, вы можете решить, что внедрение обновления займет на два дня дольше, чем планировалось первоначально. В свою очередь, вы можете решить реализовать альтернативные решения для обеспечения необходимой защиты на период внедрения.
Информация по методам внедрения содержится в бюллетене безопасности в разделе "Часто задаваемые вопросы по обновлению безопасности". Информация о способах реализации альтернативных решений включается в состав каждого отдельного решения. Для каждого уязвимого места существует отдельное альтернативное решение.
На этом планирование завершается. К данному моменту вы должны подготовить график, содержащий все элементы оценки и планирования рисков в области безопасности, уровня риска обновлений безопасности и альтернативных решений, тестирования и внедрения. Как вы увидели, эти этапы не полностью взаимосвязаны и не всегда носят линейный характер. В некоторых организациях эти этапы проходят параллельно, а в других - последовательно. Необходимость реализации этих этапов определяется на основании политик, потребностей и ресурсов вашей организации. Наиболее важными для этих шагов являются не порядок и структура, а обеспечение их взаимодействия и использования актуальной информации. Самое главное для реализации – гибкость и адаптируемость.
9. Тестирование обновлений и альтернативных решений
На этапе тестирования необходимо проводить тестирование обновлений безопасности и альтернативных решений, основываясь на плане, определенном на предыдущих этапах. Основное назначение среды тестирования заключается в репликации основных элементов производственной системы. При тестировании обновлений безопасности или альтернативных решений ставится задача обнаружить проблемы до того, как они возникнут в рабочих условиях.
При обнаружении проблем при тестировании необходимо определить степень их тяжести и шаги, необходимые для их решения. Вы можете обнаружить небольшие проблемы, уровень воздействия которых находится в приемлемых пределах, а также другие проблемы, которые необходимо решить до внедрения обновлений. Если вы соглашаетесь с наличием проблемы, ее следует задокументировать для целей поддержки.
Для решения проблемы необходимо открыть заявку в службе Microsoft Product Support Services (PSS), которая бесплатно оказывает поддержку по вопросам, связанным с обновлениями безопасности. Информацию о том, как связаться с PSS, можно найти по адресу support.microsoft.com/security. Поскольку решение проблем может увеличить время тестирования и задержать внедрение, вы должны рассмотреть возможное воздействие на ваш график, прежде чем выбирать вариант с решением проблемы.
После завершения тестирования и документирования или решения всех проблем вы можете сертифицировать обновления безопасности или альтернативные решения для использования в рабочей среде.
10. Внедрение обновлений и альтернативных решений
После сертификации обновлений безопасности и альтернативных решений вы можете продолжить разработку. При внедрении используйте разработанный план установки обновлений безопасности и изменения конфигурации систем. Обычно внедрением занимаются группы, которые участвовали в разработке плана.
Если вы столкнетесь с проблемами при внедрении, например, если не получится нормально установить обновления безопасности с помощью инфраструктуры управления обновлениями, вы должны будете внимательно изучить проблему. Если проблема вызывает задержки, вы можете пересмотреть доступные варианты и использовать альтернативное решение для защиты своих систем.
В идеале в процессе тестирования должны определяться все проблемы, которые могут возникнуть в рабочей среде. Однако, если после установки обновления или внедрения альтернативного решения в рабочей среде все же возникнут проблемы, нужно следовать той же процедуре, что и при обнаружении проблем при тестировании. Необходимо оценить проблему и решить, что с ней делать.
Если обновления безопасности успешно установлены, это означает, что необходимый уровень защиты достигнут, что и составляет конечную цель всех описанных процедур. Однако если установка не проходит успешно, системы остаются уязвимыми.
Поскольку обновление некоторых систем может не завершиться успешно, окончательный и самый важный этап процесса внедрения заключается в проверке систем с целью определения успешности внедрения. В некоторых организациях такие проверки проводятся отдельными аудиторскими группами, которые нередко связаны с группами безопасности. Предлагаемые корпорацией Майкрософт средства, в том числе WSUS, MBSA и SMS, можно использовать для проверки успешной установки обновлений безопасности. Кроме того, описание проверки установки обновления безопасности содержится в информационном разделе бюллетеней по безопасности.
Заключение
Ежемесячный выпуск бюллетеней по безопасности корпорацией Майкрософт позволяет улучшить планирование и организацию процедур работы с обновления безопасности. Регулярное проведение процедур позволяет лучше защитить систему и максимально сократить время простоев и помехи нормальной работе.
Хотя каждая организация должна разработать собственную процедуру работы с обновлениями безопасности, в эту процедуру следует включить шаги, рекомендуемые в этом разделе. Вы не обязательно должны использовать отдельные группы по безопасности и обновлениям, однако вы должны выполнить оценку рисков с точки зрения безопасности и разработать план внедрения.
Очень важно подчеркнуть важность планирования. При хорошем планировании шаги, связанные с реальными действиями, в частности этапы тестирования и внедрения, проходят более стабильно, в результате чего процесс обновления безопасности завершается успешно.
Кристофер Бадд (Christopher Budd) является менеджером по программам для обеспечения безопасности в центре поддержки Microsoft Security Response Center (MSRC). Он занимается техническим взаимодействием с IT-специалистами и инженерами по безопасности, а также с другими пользователями.
© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.