Patching-strategieën binnen de bedrijfsinfrastructuur

Hoe patches op bedrijfscomputers kunnen worden geïnstalleerd zonder storingen te veroorzaken.

Microsoft heeft herhaaldelijk patches moeten publiceren voor bugs die in eerdere oplossingen opdoken, wat niet bepaald hielp bij het verminderen van het (al aanzienlijke) gebrek aan vertrouwen in updates.  Onder de bevindingen van onze recente enquête “Device updates: What’s stopping people from making the change?” zagen we dat 51% van de respondenten, zowel zakelijk als privé, updates uitstelde om te zien of andere er problemen mee zouden ervaren.

Aan de ene kant is dat begrijpelijk: niemand wil een update die hun bedrijfsnetwerk de vernieling in kan helpen, en downtime van bedrijven kan behoorlijke schade aanrichten. Aan de andere kant moet u er rekening mee houden dat er al snel na de uitgave van patches aanvallen kunnen volgen, omdat ook cybercriminelen weten dat mensen terughoudend zijn met het installeren van updates. Het veiligste pad ligt daar ergens tussenin: u moet patches tijdig installeren, maar u moet tegelijkertijd ook controleren of ze compatibel zijn met de infrastructuur.

Windows-updates vormen slechts een deel van het probleem; andere software heeft ook patches en updates nodig. Het verschil is dat andere softwareontwikkelaars gebruikers wellicht niet even regelmatig en actief over updates en oplossingen informeren als Microsoft. Hoe kunnen beheerders meer te weten komen over updates en hun installatie prioriteren?

Het updaten van software in een testomgeving

Het is helaas onmogelijk om het update-proces volledig te automatiseren binnen een bedrijfsomgeving. Omdat de combinatie van hardware en software in elk bedrijf uniek is, bestaat er altijd het gevaar dat de volgende update fouten of compatibiliteitsproblemen veroorzaakt. Alleen een systeembeheerder die zeer bekend is met een bedrijf kan een weloverwogen beslissing maken voor elke patch. Een testomgeving kan een veilige omgeving bieden waarin updates kunnen worden geïnstalleerd zonder de bedrijfssystemen in gevaar te brengen.

Testomgeving

In grotere bedrijven, zeker als die gespecialiseerde software gebruiken, heeft de infosec-afdeling normaal gesproken een test-subnet met computers (of in ieder geval meerdere virtuele machines) voor het controleren van nieuwe updates voordat die over het hele bedrijf worden geïmplementeerd. Kleinere bedrijven maken vaker gebruik van slechts één computer voor tests. Beheerders installeren nieuwe patches op de testmachines, die een typisch werkomgeving voor het bedrijf in kwestie simuleren, en monitoren die.

Deze methode is niet goedkoop en ook niet volledig betrouwbaar. Het is moeilijk om echte personen en hun echte dagelijkse werkzaamheden op een testmachine te recreëren, zeker als dit een virtuele machine is. Problemen duiken bijvoorbeeld vaak op in bepaalde functies en niet per se onmiddellijk bij de installatie van een patch.

Geleidelijke installatiemethode

Sommige IT-afdelingen maken gebruik van een alternatieve methode en installeren updates in batches om te garanderen dat alles goed draait voordat ze verdergaan met de volgende.

Het onbeschermd achterlaten van een gedeelte van de infrastructuur is natuurlijk riskant, maar de voordelen van tests in een echte omgeving wegen wellicht op tegen de risico’s.

Het prioriteren van updates met een systeem voor patch-beheer

Het gebruik van een systeem voor update-beheer maakt het vinden van relevante updates en het prioriteren van hun installatie veel makkelijker door beheerders te waarschuwen bij relevante updates en door context te bieden voor de kwetsbaarheden waar ze voor bedoeld zijn.

De oplossing Kaspersky Systems Management is hier ideaal voor, want het vereenvoudigt het systeembeheer door de software- en hardware-inventaris te centraliseren en automatiseren, kwetsbaarheden te beoordelen en patches en updates te distribueren. Kaspersky Systems Management maakt deel uit van Kaspersky Endpoint Security for Business.

Tips