Nye trusselbilleder efterlader it-chefen i opdateringshelvede

Illustration: leowolfert/Bigstock
It-sikkerhedschefernes fokus er oftest på sikkerhedshuller i Microsofts produkter, men truslerne kommer i stigende grad fra andre producenter. Det sætter pres på opdateringer.

It-chefer patcher i blinde, når de stadig først og fremmest har fokus på sikkerhedsopdateringer fra Microsoft. Udviklingen i sikkerhedstrusler sker nemlig i stigende grad inden for andre produkter end Microsofts. Det viser den seneste sårbarhedsundersøgelse fra det danske it-sikkerhedsfirma Secunia,

Hvor det for fire år siden var over halvdelen af alle sikkerhedshuller, der relaterede sig til Microsofts produkter, så er tallet faldet til 31 procent i 2010 for det software, der typisk er på en pc.

»Det giver en falsk tryghed at basere sig på opdateringer fra Microsoft. Hvor man tidligere kunne eliminere over halvdelen af sårbarhederne med en opdatering fra Microsoft, så er det i dag under en tredjedel,« siger CSO og medstifter af Secunia Thomas Kristensen til Version2.

Problemet med sikkerhedsopdateringer skærpes af, at der for langt de fleste producenter er meget forskellige metoder til opdatering af software. Som Thomas Kristensen gør opmærksom på, så får man ved Microsoft Update opdateret over 30 procent af sårbarhederne, mens der er 14 forskellige producenter og procedurer for patching af de 50 mest anvendte stykker software, der vil dække 70 procent af sårbarhederne.

»Det handler meget om at have en metodik og så gå pragmatisk til værks og bruge sin sunde fornuft. Vurdér, hvor der er den største risiko, og gør noget ved det i første omgang, og så kan man tilrettelægge en planlægning, så man kommer rundt i det hele et par gange i løbet af et år,« siger Thomas Kristensen.

Han peger på, at det tilsvarende er en god ide for it-cheferne at gøre sig klart, hvad det er for sårbarheder, de reelt er udsat for, så de ikke belaster både sig selv, deres afdeling og virksomheden med en kolossal opdateringsopgave.

Læs også: Sikkerhedsekspert: Håbløst at basere NemID på Java

Ifølge Secunias undersøgelse kan it-chefen opnå en reduktion på 80 procent af sikkerhedstruslerne ved enten at patche de 12 mest kritiske applikationer eller de 37 procent mest anvendte programmer. Thomas Kristensen peger desuden på, at sikkerhedsopdateringer langt hurtigere distribueres nu end tidligere, og der ofte er en sårbarheds og konsekvensvurdering tilgængelig samme dag, som et sikkerhedshul opdages. Ifølge Secunias undersøgelser er der desuden sket et generelt fald i omfanget af sikkerhedsstrusler, men det skal ikke få it-chefen til at slappe af, for truslerne er flyttet hen til områder, hvor opdateringsrutinerne er dårligere eller brugerne ikke anvender dem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Juhl

Heldigvis er det problem stort set ikke eksisterende på Linux.

Når jeg opdaterer min Arch Linux laptop sker det med en simpel
# pacman -Syu

Tilsvarende med Debian maskiner på arbejdet
# apt-get update && apt-get upgrade

og vupti, så har jeg installeret alle tilgængelige opdateringer til alle mine programmer, uafhængig af producent :-)

Det behøver ikke at være et helvede, men her er Windows virkelig lysår bagud i forhold til Linux.

  • 6
  • 3
Jesper Juhl

"For at bruge apt-get/aptitude metoden så skal programmet jo, så vidt jeg ved, også være installeret med apt-get/aptitude. Så hvis en bruger har installeret en dpkg fil fra et website skal den jo opdateres manuelt. Eller hvad?"

Hvis man vælger at forbigå sit pakkestyrings værktøj og installere software uden om det, ja så påtager man sig naturligvis selv ansvaret for at holde den software opdateret. Så lad være med det ;-)

Med distributioner som fx Arch Linux, Debian, Ubuntu, SuSE & RedHat der har forholdsvis store repositories er det ret sjældent, at det man skal bruge ikke findes i repositoriet. Og de er desuden alle ret flinke til at holde ting opdateret og rulle sikkerheds rettelser ud jævnligt.

  • 0
  • 0
Jesper Juhl

Hvordan sætter man det egentligt op på en linuxserver, så den genstarter de services som er blevet opdaterede?

Det afhænger lidt af den specifikke distribution.
Debian baserede distributioner der bruger apt gør det ofte selv som en del af opgraderingen af pakken. Andre distributioner, som fx Arch Linux, lader det være op til administratoren at gøre det.

Man skal lige huske på, at det ikke altid er smart bare blindt at genstarte en daemon umidelbart efter opgradering. Det kunne jo fx være der lige var konfigurations rettelser som skulle laves først før den nye version kan starte, eller der kunne være andre programmer som afhang af det opgraderede som man gerne lige ville lukke pænt ned først osv osv.

Og så er det jo heller ikke sværere end en enkelt kommando der lige kører et init script med "restart" som argument, at gøre det i hånden...
Fx: "/etc/rc.d/httpd restart" på Arch Linux eller "/etc/init.d/httpd restart" på Debian... Kunne ikke være nemmere :-)

  • 0
  • 0
Niels Dybdahl

Fx: "/etc/rc.d/httpd restart" på Arch Linux eller "/etc/init.d/httpd restart" på Debian... Kunne ikke være nemmere

Jo det kunne desværre være nemmere. Hvis det virkeligt er påkrævet med ændringer af konfigurationen, så kunne det være rart at få en email med information om dette. Og ellers burde nødvendige genstarter gøres automatisk. Jeg har sat en Ubuntuserver op og det eneste fornuftige måde jeg kunne finde på var at køre en fuld opdatering en gang om ugen efterfulgt af en genstart af serveren. Det er ikke særligt smart at der kan gå en hel uge fra en vigtig sikkerhedsopdatering bliver frigivet, til at vores server bliver opdateret.

  • 0
  • 0
Jesper Juhl

Hvis det virkeligt er påkrævet med ændringer af konfigurationen, så kunne det være rart at få en email med information om dette. Og ellers burde nødvendige genstarter gøres automatisk. Jeg har sat en Ubuntuserver op og det eneste fornuftige måde jeg kunne finde på var at køre en fuld opdatering en gang om ugen efterfulgt af en genstart af serveren.

Ok, det kan du sgu gøre smartere. Det tager ikke mange øjeblikke at skrive et lille script der opdaterer pakke databasen, spørger om hvor mange opdateringer der er tilgængelige og til hvad, samt hvor mange af disse der er klassificeret som sikkerheds opdateringer og derefter sender dig en mail med dette resultat. Så kan du køre det script fra cron en gang i døgnet og selv tage stilling til om det nu er tid til at logge på og køre opdateringen.

Jeg vil mene at selve opdateringen og genstart af services bør gøres i hånden, da der altid kan være vigtige informationer fra pakkesystemet der kræver manuel indgriben (og når der ikke er er det jo ikke mere end 20 sekunders arbejde) og der kan jo også ske fejl undervejs en sjælden gang imellem.

Bare at lade opdateringerne rulle blindt på fuldautomatisk og så krydse fingre for at "det gik nok godt alt sammen og der var nok ikke noget vigtigt jeg burde have set i den forbindelse" vil jeg mene er noget nær det mindst fornuftige man kan gøre som ansvarlig administrator.
Som absolut minimum, så lad dog dit script der ruller det på automatisk, opsamle alt output og sende det til dig som en mail. Så har du da det at gå efter når du skal finde årsagen til at din server ikke længere svarer...

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize