Wdrażanie poprawek przy użyciu Novell ZENworks Patch
Transkrypt
Wdrażanie poprawek przy użyciu Novell ZENworks Patch
Wdrażanie poprawek przy użyciu Novell ZENworks Patch Management ZENworks Patch Management automatyzuje działania administratora poprzez wykrycie informacji o zagrożeniach, ściągnięcie poprawek i dostarczenie ich do odpowiednich systemów w firmie. Spustoszenia dokonywane przez wirusy komputerowe są coraz większe. Z przeprowadzonych w roku 2003 badań Instytutu Bezpieczeństwa Komputerowego (Computer Security Institute) i Laboratorium Przestępstw Komputerowych FBI (FBI Computer Crime Lab) wynika, że 83% firm i instytucji podlegających atakom poniosło związane z nimi straty w wysokości 27 mln USD. Ataki Denial of Service spowodowały kolejne 65 mln USD strat. Sam wirus Love Letter wywołał ogólnoświatowe straty w wysokości 8,75 mld USD, w roku, w którym łączne koszty związane z wirusami oszacowano na 17,1 mld. USD. Negatywne skutki ataków wirusów są znaczące. Według danych ICSA Labs, organizacji zajmującej się badaniami i certyfikacją systemów zabezpieczeń informacji, w 75% organizacji zaatakowanych przez wirusy występują straty produktywności, w 69% przerwy w dostępie do systemów informatycznych i w 62 procent uszkodzenia i utrata danych. Kolejne możliwe efekty to brak dostępu do danych, niestabilne działanie aplikacji czy innego typu przerwy w funkcjonowaniu systemów IT. Na szczęście nie wszystkie wirusy komputerowe są tak skuteczne w swoich niszczących działaniach. Jednym z najpowszechniejszych w roku 2003 był niesławnej pamięci wirus Klez.H, który zaraził ponad 8 milionów systemów, zgodnie z szacunkami TrendMicro. Zawierał on procedurę, która powinna nieodwracalnie niszczyć dane na dostępnych dla zarażonego systemu dyskach lokalnych i sieciowych. Na szczęście drobny błąd w kodzie wirusa zapobiegł tej części jego destrukcyjnego działania. Gdyby nie to, 8 milionów systemów poniosłoby katastrofalne straty danych. Mimo iż największe wrażenie robią na nas możliwości destruktywne wirusów komputerowych, warto pamiętać, że największy wpływ na funkcjonowanie firmy mają nie niszczące możliwości wirusów, ale wysiłki związane z usuwaniem wirusa z sieci i wynikające z jego ataku przerwy w dostępności zasobów i straty produktywności użytkowników. Według ICSA Labs koszty te mogą być nawet 50 razy wyższe, niż bezpośrednie efekty niszczącej działalności wirusów. Bez względu na to jak się zaczyna, atak wirusa niesie z sobą istotne zagrożenie dla działania każdej instytucji czy firmy. Presja rośnie Infekcje wirusami komputerowymi zdarzają się coraz częściej w ciągu 6 ostatnich lat, obejmując ponad 11 procent wszystkich systemów. Według ICSA Labs średni czas (mediana) odtwarzania systemu po ataku wirusa to cztery dni, przeciętne koszty każdego incydentu wynosiły 9 tys. USD. Podczas gdy zwykle kojarzymy wirusy z atakami na stacje robocze użytkowników, serwery również im podlegają, z przeciętną rzędu 37 zainfekowanych serwerów na zaatakowaną organizację. Co więcej, ICSA Labs stwierdziło, że 77 procent firm zanotowało infekcje serwerów, powodujące przestoje trwające przeciętnie 3 godziny. Aby lepiej uświadomić sobie problem, przyjrzyjmy się przykładowi ostatnio działającego robaka SQL Slammer, który pojawił się 25 stycznia 2003 r. Wykorzystuje on znany problem z przepełnieniem bufora baz danych MS SQL (w wersji serwerowej i desktopowej). Robak szybko się rozprzestrzeniał po firmach, które nie zastosowały odpowiednich łat, pokazując, że nawet aplikacje o znaczeniu krytycznym, takie jak bazy danych, mogą być obiektem skutecznych ataków. Po zainstalowaniu się w systemie robak kontaktował się z innymi serwerami, automatycznie wykrywając i zarażając niezabezpieczone serwery, blokując pasmo komunikacyjne i moc obliczeniową. Wystarczy „tylko” ściągnąć łatkę Obecnie walka z wirusami odbywa się przy pomocy uaktualnień wzorców wirusów i łat na systemy operacyjne, skanery antywirusowe i aplikacje. Security Focus donosił o 223 wymagających łat potencjalnych zagrożeniach w produktach Microsoftu wykrytych w 2003 r. W samym tylko styczniu 2004 r. Security Focus informował o 35 wykrytych „dziurach” we wszystkich monitorowanych produktach. David Aucsmith, Dyrektor d/s Technologii (CTO) w dziale zabezpieczeń biznesowych Microsoftu poinformował niedawno, iż: „[Microsoft] nie stwierdził do tej pory przypadku wykorzystania luk w zabezpieczeniach przed opublikowaniem odpowiedniej poprawki.” Wynika z tego, że wirusy są zwykle tworzone i uwalniane po odkryciu przypadków niedostatecznych zabezpieczeń, nagłośnieniu informacji o nich i dostarczeniu odpowiednich poprawek! Na przykładzie wirusa Blaster możemy zobaczyć, że pierwsza informacja o luce w zabezpieczeniach, jaką wykorzystywał, pojawiła się 1 lipca 2003 r., Biuletyn informacyjny (MS03-026) i łata pojawiły się na serwerach Microsoftu 16 lipca 2003 r. Dopiero 25 lipca 2003 r. w Internecie pojawił się publicznie dostępny kod, wykorzystujący tę lukę, natomiast sam wirus Blaster i pokrewne warianty został odkryty w systemach dopiero 11 sierpnia 2003 r. Obecnie hakerzy bardzo często zajmują się badaniem i rozpracowywaniem kodu (reverse engineering) dostarczanych przez producentów poprawek, aby lepiej poznać naturę luk w systemach, jakie miałyby być przy ich pomocy łatane, a następnie tworzą wirusy, skierowane przeciwko tym, którzy jeszcze nie zastosowali danej poprawki. Problemem nie jest więc uzyskanie łaty czy poprawki od producenta. Zwykle więcej kłopotów sprawiają: brak świadomości czy wiedzy na temat istnienia łaty, uświadomienie sobie jak istotna dla działania systemów jest dana luka w zabezpieczeniach i czy rzeczywiście mamy z nią do czynienia w naszych systemach. Gdy już wiemy, że łata jest dostępna i należy ją zastosować, kolejnym problemem jest jej dostarczenie i zainstalowanie na wszystkich zagrożonych stacjach i serwerach. Prawie rok po udostępnieniu poprawki, zapobiegającej atakom wirusa Blaster, 2 kwietnia 2004 r., Robert Lemos donosił na łamach CNET News: „Najnowsze dane z Microsoftu sugerują, że co najmniej 8 mln komputerów z Windows zostało zainfekowanych przez wirusy MSBlast lub Blaster od sierpnia 2003 r. – znacznie więcej, niż się wcześniej spodziewano. Dane te uzyskano dzięki stworzonemu przez inżynierów narzędziu on-line do czyszczenia systemów, zainfekowanych przez wirusa.” „Od momentu udostępnienia tego narzędzia w styczniu 2004 r. ponad 16 milionów systemów, które łączyły się z witryną Microsoft Windows Update okazało się być zainfekowane przez wirusa i uzyskały odpowiednią łatę oraz skorzystały z narzędzia dezynfekującego” napisał Lemos. W tym samym czasie około 8 mln użytkowników skorzystało z narzędzia do usuwania wirusa i zainstalowało łatę, zapobiegającą ponownemu zakażeniu. A wirus nadal atakuje, ponieważ poprawka nie została zainstalowana na wszystkich potencjalnie zagrożonych maszynach! Mamy łatę – i co z tego? Obecnie dystrybucja łat i poprawek odbywa się zwykle przy pomocy „sieci tenisówkowej” (bierzemy administratora w miękkich butach, który chodzi od komputera do komputera i instaluje...). Wielu administratorów systemów polega jedynie na własnej pamięci i orientacji, nie jest to jednak najlepszy mechanizm. Według Steve’a Ulfeldera z Network World Fusion, „wielu administratorów sieci polega przede wszystkim na własnej pamięci jeśli chodzi o łatanie luk w zabezpieczeniach i instaluje odpowiednie poprawki na bieżąco. Ale w ciągu ostatnich dwóch lat stopień skomplikowania systemów i liczba łat do zainstalowania uczyniła to podejście nieefektywnym.” Pomimo wcześniejszej dostępności odpowiednich poprawek wirusy SQL Slammer czy Blaster były w stanie rozpętać sieciowe piekło. Zresztą nawet sam mechanizm publikowania łat sprawia problemy dla działu IT – trzeba stale śledzić pojawiające się informacje o lukach w zabezpieczeniach, badać związane z nimi problemy, uzyskiwać, testować i wdrażać odpowiednie poprawki w firmowej sieci. Choćby w odniesieniu do samego systemu Windows jest to bardzo poważne zadanie. W raporcie Forrester Research z lutego 2004 r. „Best Practices: Desktop Security” czytamy: „Rosnąca liczba wirusów, robaków i innych form ataku zagraża bezpieczeństwu systemów desktopowych. To olbrzymie zagrożenie, w połączeniu z potrzebą zarządzania zdalnymi lokalizacjami czy oddziałami, sprawia że dział IT w firmie jest pod ciągłą presją rozwijania i wdrażania standardowych procedur zabezpieczeń systemów. Zdalni lub mobilni pracownicy są dodatkowym zagrożeniem, ale zapewnienie im odpowiedniego dostępu jest krytyczne z biznesowego punktu widzenia. Koszt rozwiązania jednego incydentu w przypadku braku takich standardowych procedur i reguł postępowania wobec wirusów, poprawek czy zarządzania konfiguracją może być bardzo wysoki. Pewna firma, posiadająca 5.000 stacji roboczych, stwierdziła, że opanowanie infekcji wirusa Blaster kosztowało ją 900 tys. USD. Regulacje prawne i inne normy również mogą wiązać się z problemami dotyczącymi zabezpieczeń, w takich dziedzinach jak ochrona zdrowia, sektor rządowy czy finansowy”. Spróbujmy oszacować te obciążenia. Przyjmijmy, że zarządzamy sporą siecią, liczącą 10 serwerów i 1.000 stacji. Załóżmy (dość konserwatywnie) konieczność instalowania 2 łat tygodniowo na tych wszystkich systemach, co daje 404 instalacje i restarty systemów dziennie. Przyjmując, że taka instalacja wraz z restartem systemu zajmie średnio tylko 10 minut, otrzymujemy 67 godzin i 20 min. spędzone codziennie przez delegowanych administratorów na instalacji łat i poprawek (czyli pełnoetatowe zatrudnienie dla ponad 8 osób!). Nic dziwnego, że wiele systemów nie jest w odpowiedni sposób zabezpieczone i na bieżąco uaktualniane. Jak widać największym problemem jest dostarczenie odpowiednich poprawek do wszystkich zarządzanych systemów na czas (czyli jak najszybciej), oraz rejestrowanie tego, które łaty zostały dostarczone i zainstalowane na których systemach. W dużej sieci nie da się tego po prostu zrobić ręcznie. Koszty i zagrożenia wiążące się z takim podejściem byłyby zbyt duże. ZENworks Patch Management ZENworks Patch Management wspomaga administratora w wykrywaniu zagrożeń, ściąganiu od producentów łat i poprawek oraz instalowaniu ich na zarządzanych systemach. Wdrożenie bądź nie jakiejś poprawki jest teraz wyłącznie kwestią świadomej decyzji administratora. ZENworks Patch Management automatyzuje ten proces przez dostarczanie administratorowi informacji o wykrytych lukach, ściąganie łat i poprawek oraz instalacje odpowiedniego kodu na wskazanych stacjach i serwerach. Efektem ostatecznym jest oszczędność czasu administratorów oraz zagwarantowanie bezpieczeństwa systemów, co można bezpośrednio przełożyć na redukcję kosztów IT. ZENworks Patch Management, licencjonowany przez Novella od firmy PatchLink, składa się z 2 komponentów: serwera (PatchLink Update Server) oraz agenta (PatchLink Update Agent). Komponenty serwerowe możemy zainstalować na serwerze Windows 2000 lub 2003, agentów w odpowiedniej wersji instalujemy na wszystkich zarządzanych maszynach. Można przy tym wykorzystać dostarczane w ramach ZENworks mechanizmy sieciowej dystrybucji aplikacji lub użyć wbudowanych w ZENworks Patch Management mechanizmów dystrybucji w środowisku Active Directory. Dostarczane łaty i poprawki obejmują nie tylko systemy Windows czy NetWare, ale także aplikacje od innych producentów, na przykład systemy antywirusowe. Pierwszym krokiem po instalacji agenta na stacji lub serwerze jest analiza konfiguracji zainstalowanego systemu operacyjnego oraz zinwentaryzowanie już zainstalowanych i brakujących łat, dokonywane przy zastosowaniu oczekującej na opatentowanie przez PatchLink technologii (Patch Fingerprinting). Zebrane informacje są przesyłane do serwera zarządzającego i gromadzone w bazie danych. Na tej podstawie określana jest lista koniecznych i zalecanych dla danego systemu poprawek. Po wykryciu luk w systemie ZENworks Patch Management umożliwia automatyzację procedury wyszukania poprawek i ich instalacji, w zależności od wykrytego poziomu zagrożenia. Wymagane łaty mogą być dostarczane do systemów i instalowane całkowicie automatycznie. Można również ustalić minimalny zestaw koniecznych łatek, w zależności od wersji systemu i zainstalowanych aplikacji. ZENworks gwarantuje też, że każdy system o określonej konfiguracji otrzyma wszystkie konieczne poprawki. Dzięki temu nawet nowe maszyny, pojawiające się w sieci będą chronione od początku ich sieciowej egzystencji. Ponieważ agent stale monitoruje system, w razie zainstalowania na nim nowej aplikacji można od razu – automatycznie – sprawdzić jej status i zastosować konieczne łatki. Proste zarządzanie ZENworks Patch Management jest zarządzany przy pomocy przeglądarkowego interfejsu administratora. Punktem wyjścia jest strona domowa lokalnego serwera Patch Management (Rysunek 1). Rysunek 1: Strona domowa lokalnego serwera Patch Management W przewijającym się oknie wyświetlane są dostarczane automatycznie przez Internet informacje o nowo odkrytych zagrożeniach, na bieżąco uaktualniane dzięki systemowi subskrypcji. Częścią strony domowej jest również diagram obrazujący graficznie stan „połatania” wszystkich zarządzanych systemów. Kolejne czynności administracyjne i konfiguracyjne wykonujemy przy pomocy odpowiednich zakładek. Jedną z nich są raporty (Reports). Możemy albo obejrzeć wszystkie łatki i poprawki dostępne dla wszystkich systemów stwierdzonych w firmie, albo dotyczące wybranego, konkretnego komputera. Co ważne, nie są wyświetlane łatki do tych wersji systemów czy aplikacji, których nie stwierdzono podczas inwentaryzacji systemów (Rysunek 2). Rysunek 2: W raportach nie są wyświetlane łatki do tych wersji systemów czy aplikacji, których nie stwierdzono podczas inwentaryzacji systemów. Każdy z raportów zawiera bardziej szczegółowy opis zagrożenia, jego wagę dla bezpieczeństwa sieci, listę programów, które wymagają łatki i wreszcie liczbę systemów w naszej sieci, które wymagają interwencji. Podany jest również odnośnik do biuletynu informacyjnego producenta systemu czy aplikacji i wreszcie ocena problemu przez firmę PatchLink. Każda z poprawek jest testowana i weryfikowana przed dostarczeniem jej do instalacji w ramach mechanizmu subskrypcji (Rysunek 3). Rysunek 3. Każda z poprawek jest testowana i weryfikowana przed dostarczeniem jej do instalacji w ramach mechanizmu subskrypcji. Do wszystkich, którzy powinni o tym wiedzieć Główną zaletą rozwiązań ZENworks jest upraszczanie zarządzania systemami IT w oparciu o reguły i automatyczne wykonywanie powtarzalnych czynności. W ramach mechanizmu ZENworks Patch Management możemy ustalić dla wszystkich grup maszyn listy wymaganych łat (Mandatory Baseline). Wtedy, na przykład, wszystkie komputery z Windows XP, także nowe, dodawane do sieci (pod warunkiem instalacji na nich agenta Patch Management), będą automatycznie otrzymywać konieczne poprawki (Rysunek 4). Rysunek 4. W ramach mechanizmu ZENworks Patch Management możemy ustalić dla wszystkich grup maszyn listy wymaganych łat (Mandatory Baseline). Do zarządzania grupami komputerów służy odpowiednia zakładka interfejsu administratora (Groups). Oprócz wbudowanego zestawu grup, wydzielonych według systemów operacyjnych, możemy tworzyć nowe, wskazując maszyny, które mają należeć do danej grupy i ustalając dla niej minimalny zestaw wymaganych łat. Na przykład jedną z systemowych grup jest grupa WinXP – wszystkie stacje, na których zainstalowano ten system automatycznie zostają włączone do tej grupy, w momencie gdy zainstalowany na nich agent po raz pierwszy skomunikuje się z serwerem. Wybierając zakładkę Mandatory Baseline możemy ustalić minimalną listę wymaganych dla Windows XP poprawek. Jeśli dodamy jakieś nowe elementy do tej listy, ZENworks Patch Management automatycznie sprawdza wszystkie należące do grupy systemy i weryfikuje, czy odpowiednia łatka jest zainstalowana. Jeśli nie jest – rozpoczyna się proces dostarczania i instalacji na niezgodnych z minimalnymi wymaganiami systemach (Rysunek 5). Rysunek 5. ZENworks Patch Management automatycznie sprawdza wszystkie należące do grupy systemy i weryfikuje, czy odpowiednia łatka jest zainstalowana. Zawsze na bieżąco Gdy już mamy skonfigurowany i uruchomiony mechanizm wykrywania luk i wdrażania poprawek, ZENworks Patch Management pozwala nam być zawsze na bieżąco z aktualnymi łatami. Lokalny serwer uaktualnień komunikuje się regularnie z serwerami subskrypcyjnymi firmy PatchLink i pobiera informacje o wszystkich dostępnych nowych poprawkach oraz te z nich, które trzeba zainstalować w naszej sieci. Po uzyskaniu informacji o nowej luce w zabezpieczeniach i odpowiedniej dla niej łacie PatchLink testuje i weryfikuje każdą poprawkę. Dopiero po pomyślnym zakończeniu testów odpowiednie raporty i pliki są udostępniane użytkownikom programu. Po otrzymaniu przez nasz lokalny serwer informacji o nowej poprawce administrator otrzymuje informację e-mailem lub na konsoli zarządzającej i może podjąć decyzję o jej wdrożeniu w firmowym środowisku informatycznym. Wystarczy tylko przypisać dystrybucję łaty do odpowiednich grup komputerów, a automatyczne mechanizmy ZENworks Patch Management zajmą się resztą. Zabezpieczenia transmisji Aby zagwarantować, że wszystkie dostarczane przez mechanizm subskrypcji łaty i poprawki pochodzą z zaufanego źródła, wszelka komunikacja lokalnego serwera poprawek z serwerami PatchLink oraz agentów z lokalnym serwerem jest szyfrowana i podpisywana cyfrowo. Dzięki temu możemy mieć pewność, że poprawki podczas swej drogi przez Internet czy sieć lokalną nie ulegną nieuprawnionym modyfikacjom i będą w niezmienionej postaci instalowane na wskazanych systemach. Artykuł na podstawie tekstu z miesięcznika Novell Connection (maj/czerwiec 2004 r.)