Nye trusselbilleder efterlader it-chefen i opdateringshelvede

11 kommentarer.  Hop til debatten
It-sikkerhedschefernes fokus er oftest på sikkerhedshuller i Microsofts produkter, men truslerne kommer i stigende grad fra andre producenter. Det sætter pres på opdateringer.
person
14. juli 2011 kl. 12:00
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

It-chefer patcher i blinde, når de stadig først og fremmest har fokus på sikkerhedsopdateringer fra Microsoft. Udviklingen i sikkerhedstrusler sker nemlig i stigende grad inden for andre produkter end Microsofts. Det viser den seneste sårbarhedsundersøgelse fra det danske it-sikkerhedsfirma Secunia,

Hvor det for fire år siden var over halvdelen af alle sikkerhedshuller, der relaterede sig til Microsofts produkter, så er tallet faldet til 31 procent i 2010 for det software, der typisk er på en pc.

»Det giver en falsk tryghed at basere sig på opdateringer fra Microsoft. Hvor man tidligere kunne eliminere over halvdelen af sårbarhederne med en opdatering fra Microsoft, så er det i dag under en tredjedel,« siger CSO og medstifter af Secunia Thomas Kristensen til Version2.

Problemet med sikkerhedsopdateringer skærpes af, at der for langt de fleste producenter er meget forskellige metoder til opdatering af software. Som Thomas Kristensen gør opmærksom på, så får man ved Microsoft Update opdateret over 30 procent af sårbarhederne, mens der er 14 forskellige producenter og procedurer for patching af de 50 mest anvendte stykker software, der vil dække 70 procent af sårbarhederne.

Artiklen fortsætter efter annoncen

»Det handler meget om at have en metodik og så gå pragmatisk til værks og bruge sin sunde fornuft. Vurdér, hvor der er den største risiko, og gør noget ved det i første omgang, og så kan man tilrettelægge en planlægning, så man kommer rundt i det hele et par gange i løbet af et år,« siger Thomas Kristensen.

Han peger på, at det tilsvarende er en god ide for it-cheferne at gøre sig klart, hvad det er for sårbarheder, de reelt er udsat for, så de ikke belaster både sig selv, deres afdeling og virksomheden med en kolossal opdateringsopgave.

Ifølge Secunias undersøgelse kan it-chefen opnå en reduktion på 80 procent af sikkerhedstruslerne ved enten at patche de 12 mest kritiske applikationer eller de 37 procent mest anvendte programmer. Thomas Kristensen peger desuden på, at sikkerhedsopdateringer langt hurtigere distribueres nu end tidligere, og der ofte er en sårbarheds og konsekvensvurdering tilgængelig samme dag, som et sikkerhedshul opdages. Ifølge Secunias undersøgelser er der desuden sket et generelt fald i omfanget af sikkerhedsstrusler, men det skal ikke få it-chefen til at slappe af, for truslerne er flyttet hen til områder, hvor opdateringsrutinerne er dårligere eller brugerne ikke anvender dem.

11 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
7
Niels Dybdahl
14. juli 2011 kl. 21:05

Hvordan sætter man det egentligt op på en linuxserver, så den genstarter de services som er blevet opdaterede?

  • more_vert
    • insert_linkKopier link
8
Deleted User
14. juli 2011 kl. 22:52

Hvordan sætter man det egentligt op på en linuxserver, så den genstarter de services som er blevet opdaterede?

Det afhænger lidt af den specifikke distribution. Debian baserede distributioner der bruger apt gør det ofte selv som en del af opgraderingen af pakken. Andre distributioner, som fx Arch Linux, lader det være op til administratoren at gøre det.

Man skal lige huske på, at det ikke altid er smart bare blindt at genstarte en daemon umidelbart efter opgradering. Det kunne jo fx være der lige var konfigurations rettelser som skulle laves først før den nye version kan starte, eller der kunne være andre programmer som afhang af det opgraderede som man gerne lige ville lukke pænt ned først osv osv.

Og så er det jo heller ikke sværere end en enkelt kommando der lige kører et init script med "restart" som argument, at gøre det i hånden... Fx: "/etc/rc.d/httpd restart" på Arch Linux eller "/etc/init.d/httpd restart" på Debian... Kunne ikke være nemmere :-)

  • more_vert
    • insert_linkKopier link
9
Niels Dybdahl
14. juli 2011 kl. 23:02

Fx: "/etc/rc.d/httpd restart" på Arch Linux eller "/etc/init.d/httpd restart" på Debian... Kunne ikke være nemmere

Jo det kunne desværre være nemmere. Hvis det virkeligt er påkrævet med ændringer af konfigurationen, så kunne det være rart at få en email med information om dette. Og ellers burde nødvendige genstarter gøres automatisk. Jeg har sat en Ubuntuserver op og det eneste fornuftige måde jeg kunne finde på var at køre en fuld opdatering en gang om ugen efterfulgt af en genstart af serveren. Det er ikke særligt smart at der kan gå en hel uge fra en vigtig sikkerhedsopdatering bliver frigivet, til at vores server bliver opdateret.

  • more_vert
    • insert_linkKopier link
10
Deleted User
14. juli 2011 kl. 23:27

Hvis det virkeligt er påkrævet med ændringer af konfigurationen, så kunne det være rart at få en email med information om dette. Og ellers burde nødvendige genstarter gøres automatisk. Jeg har sat en Ubuntuserver op og det eneste fornuftige måde jeg kunne finde på var at køre en fuld opdatering en gang om ugen efterfulgt af en genstart af serveren.

Ok, det kan du sgu gøre smartere. Det tager ikke mange øjeblikke at skrive et lille script der opdaterer pakke databasen, spørger om hvor mange opdateringer der er tilgængelige og til hvad, samt hvor mange af disse der er klassificeret som sikkerheds opdateringer og derefter sender dig en mail med dette resultat. Så kan du køre det script fra cron en gang i døgnet og selv tage stilling til om det nu er tid til at logge på og køre opdateringen.

Jeg vil mene at selve opdateringen og genstart af services bør gøres i hånden, da der altid kan være vigtige informationer fra pakkesystemet der kræver manuel indgriben (og når der ikke er er det jo ikke mere end 20 sekunders arbejde) og der kan jo også ske fejl undervejs en sjælden gang imellem.

Bare at lade opdateringerne rulle blindt på fuldautomatisk og så krydse fingre for at "det gik nok godt alt sammen og der var nok ikke noget vigtigt jeg burde have set i den forbindelse" vil jeg mene er noget nær det mindst fornuftige man kan gøre som ansvarlig administrator. Som absolut minimum, så lad dog dit script der ruller det på automatisk, opsamle alt output og sende det til dig som en mail. Så har du da det at gå efter når du skal finde årsagen til at din server ikke længere svarer...

  • more_vert
    • insert_linkKopier link
1
Deleted User
14. juli 2011 kl. 12:55

Heldigvis er det problem stort set ikke eksisterende på Linux.

Når jeg opdaterer min Arch Linux laptop sker det med en simpel

pacman -Syu

Tilsvarende med Debian maskiner på arbejdet

apt-get update && apt-get upgrade

og vupti, så har jeg installeret alle tilgængelige opdateringer til alle mine programmer, uafhængig af producent :-)

Det behøver ikke at være et helvede, men her er Windows virkelig lysår bagud i forhold til Linux.

  • more_vert
    • insert_linkKopier link
11
Troels Arvin
15. juli 2011 kl. 09:22

Jesper: Jeg får da Flash updates med automatisk, direkte fra Adobe, fordi de (bl.a.) stiller Flash tilrådighed via en yum-kanal.

  • more_vert
    • insert_linkKopier link
4
Henning Wangerin
14. juli 2011 kl. 14:33

Mja.

Hvis man har et problem med at distroen ikke er hutrigt nok, er der mannge steder hvor projekterne også selv har et repository, som kan smides i /etc/apt/sources.list

Så kører det hele automatisk igen.

/Henning

  • more_vert
    • insert_linkKopier link
2
Lars Hansen
14. juli 2011 kl. 13:01

For at bruge apt-get/aptitude metoden så skal programmet jo, så vidt jeg ved, også være installeret med apt-get/aptitude. Så hvis en bruger har installeret en dpkg fil fra et website skal den jo opdateres manuelt. Eller hvad?

  • more_vert
    • insert_linkKopier link
6
Deleted User
14. juli 2011 kl. 15:57

"For at bruge apt-get/aptitude metoden så skal programmet jo, så vidt jeg ved, også være installeret med apt-get/aptitude. Så hvis en bruger har installeret en dpkg fil fra et website skal den jo opdateres manuelt. Eller hvad?"

Hvis man vælger at forbigå sit pakkestyrings værktøj og installere software uden om det, ja så påtager man sig naturligvis selv ansvaret for at holde den software opdateret. Så lad være med det ;-)

Med distributioner som fx Arch Linux, Debian, Ubuntu, SuSE & RedHat der har forholdsvis store repositories er det ret sjældent, at det man skal bruge ikke findes i repositoriet. Og de er desuden alle ret flinke til at holde ting opdateret og rulle sikkerheds rettelser ud jævnligt.

  • more_vert
    • insert_linkKopier link