Wdrażanie poprawek przy użyciu Novell ZENworks Patch

Wdrażanie poprawek przy użyciu Novell ZENworks Patch

Wdrażanie poprawek przy użyciu Novell ZENworks Patch Management
ZENworks Patch Management automatyzuje działania administratora poprzez wykrycie informacji
o zagrożeniach, ściągnięcie poprawek i dostarczenie ich do odpowiednich systemów w firmie.
Spustoszenia dokonywane przez wirusy komputerowe są coraz większe. Z przeprowadzonych w roku
2003 badań Instytutu Bezpieczeństwa Komputerowego (Computer Security Institute) i Laboratorium
Przestępstw Komputerowych FBI (FBI Computer Crime Lab) wynika, że 83% firm i instytucji
podlegających atakom poniosło związane z nimi straty w wysokości 27 mln USD. Ataki Denial of
Service spowodowały kolejne 65 mln USD strat. Sam wirus Love Letter wywołał ogólnoświatowe
straty w wysokości 8,75 mld USD, w roku, w którym łączne koszty związane z wirusami oszacowano
na 17,1 mld. USD.
Negatywne skutki ataków wirusów są znaczące. Według danych ICSA Labs, organizacji zajmującej
się badaniami i certyfikacją systemów zabezpieczeń informacji, w 75% organizacji zaatakowanych
przez wirusy występują straty produktywności, w 69% przerwy w dostępie do systemów
informatycznych i w 62 procent uszkodzenia i utrata danych. Kolejne możliwe efekty to brak dostępu
do danych, niestabilne działanie aplikacji czy innego typu przerwy w funkcjonowaniu systemów IT.
Na szczęście nie wszystkie wirusy komputerowe są tak skuteczne w swoich niszczących działaniach.
Jednym z najpowszechniejszych w roku 2003 był niesławnej pamięci wirus Klez.H, który zaraził
ponad 8 milionów systemów, zgodnie z szacunkami TrendMicro. Zawierał on procedurę, która
powinna nieodwracalnie niszczyć dane na dostępnych dla zarażonego systemu dyskach lokalnych
i sieciowych. Na szczęście drobny błąd w kodzie wirusa zapobiegł tej części jego destrukcyjnego
działania. Gdyby nie to, 8 milionów systemów poniosłoby katastrofalne straty danych.
Mimo iż największe wrażenie robią na nas możliwości destruktywne wirusów komputerowych, warto
pamiętać, że największy wpływ na funkcjonowanie firmy mają nie niszczące możliwości wirusów,
ale wysiłki związane z usuwaniem wirusa z sieci i wynikające z jego ataku przerwy w dostępności
zasobów i straty produktywności użytkowników. Według ICSA Labs koszty te mogą być nawet
50 razy wyższe, niż bezpośrednie efekty niszczącej działalności wirusów. Bez względu na to jak się
zaczyna, atak wirusa niesie z sobą istotne zagrożenie dla działania każdej instytucji czy firmy.
Presja rośnie
Infekcje wirusami komputerowymi zdarzają się coraz częściej w ciągu 6 ostatnich lat, obejmując
ponad 11 procent wszystkich systemów. Według ICSA Labs średni czas (mediana) odtwarzania
systemu po ataku wirusa to cztery dni, przeciętne koszty każdego incydentu wynosiły 9 tys. USD.
Podczas gdy zwykle kojarzymy wirusy z atakami na stacje robocze użytkowników, serwery również
im podlegają, z przeciętną rzędu 37 zainfekowanych serwerów na zaatakowaną organizację. Co
więcej, ICSA Labs stwierdziło, że 77 procent firm zanotowało infekcje serwerów, powodujące
przestoje trwające przeciętnie 3 godziny. Aby lepiej uświadomić sobie problem, przyjrzyjmy się
przykładowi ostatnio działającego robaka SQL Slammer, który pojawił się 25 stycznia 2003 r.
Wykorzystuje on znany problem z przepełnieniem bufora baz danych MS SQL (w wersji serwerowej
i desktopowej). Robak szybko się rozprzestrzeniał po firmach, które nie zastosowały odpowiednich
łat, pokazując, że nawet aplikacje o znaczeniu krytycznym, takie jak bazy danych, mogą być obiektem
skutecznych ataków. Po zainstalowaniu się w systemie robak kontaktował się z innymi serwerami,
automatycznie wykrywając i zarażając niezabezpieczone serwery, blokując pasmo komunikacyjne
i moc obliczeniową.
Wystarczy „tylko” ściągnąć łatkę
Obecnie walka z wirusami odbywa się przy pomocy uaktualnień wzorców wirusów i łat na systemy
operacyjne, skanery antywirusowe i aplikacje. Security Focus donosił o 223 wymagających łat
potencjalnych zagrożeniach w produktach Microsoftu wykrytych w 2003 r. W samym tylko styczniu
2004 r. Security Focus informował o 35 wykrytych „dziurach” we wszystkich monitorowanych
produktach.
David Aucsmith, Dyrektor d/s Technologii (CTO) w dziale zabezpieczeń biznesowych Microsoftu
poinformował niedawno, iż: „[Microsoft] nie stwierdził do tej pory przypadku wykorzystania luk
w zabezpieczeniach przed opublikowaniem odpowiedniej poprawki.” Wynika z tego, że wirusy są
zwykle tworzone i uwalniane po odkryciu przypadków niedostatecznych zabezpieczeń, nagłośnieniu
informacji o nich i dostarczeniu odpowiednich poprawek! Na przykładzie wirusa Blaster możemy
zobaczyć, że pierwsza informacja o luce w zabezpieczeniach, jaką wykorzystywał, pojawiła się 1 lipca
2003 r., Biuletyn informacyjny (MS03-026) i łata pojawiły się na serwerach Microsoftu 16 lipca
2003 r. Dopiero 25 lipca 2003 r. w Internecie pojawił się publicznie dostępny kod, wykorzystujący tę
lukę, natomiast sam wirus Blaster i pokrewne warianty został odkryty w systemach dopiero
11 sierpnia 2003 r. Obecnie hakerzy bardzo często zajmują się badaniem i rozpracowywaniem kodu
(reverse engineering) dostarczanych przez producentów poprawek, aby lepiej poznać naturę luk
w systemach, jakie miałyby być przy ich pomocy łatane, a następnie tworzą wirusy, skierowane
przeciwko tym, którzy jeszcze nie zastosowali danej poprawki.
Problemem nie jest więc uzyskanie łaty czy poprawki od producenta. Zwykle więcej kłopotów
sprawiają: brak świadomości czy wiedzy na temat istnienia łaty, uświadomienie sobie jak istotna
dla działania systemów jest dana luka w zabezpieczeniach i czy rzeczywiście mamy z nią do czynienia
w naszych systemach. Gdy już wiemy, że łata jest dostępna i należy ją zastosować, kolejnym
problemem jest jej dostarczenie i zainstalowanie na wszystkich zagrożonych stacjach i serwerach.
Prawie rok po udostępnieniu poprawki, zapobiegającej atakom wirusa Blaster, 2 kwietnia 2004 r.,
Robert Lemos donosił na łamach CNET News: „Najnowsze dane z Microsoftu sugerują, że co
najmniej 8 mln komputerów z Windows zostało zainfekowanych przez wirusy MSBlast lub Blaster
od sierpnia 2003 r. – znacznie więcej, niż się wcześniej spodziewano. Dane te uzyskano dzięki
stworzonemu przez inżynierów narzędziu on-line do czyszczenia systemów, zainfekowanych przez
wirusa.”
„Od momentu udostępnienia tego narzędzia w styczniu 2004 r. ponad 16 milionów systemów, które
łączyły się z witryną Microsoft Windows Update okazało się być zainfekowane przez wirusa
i uzyskały odpowiednią łatę oraz skorzystały z narzędzia dezynfekującego” napisał Lemos. W tym
samym czasie około 8 mln użytkowników skorzystało z narzędzia do usuwania wirusa i zainstalowało
łatę, zapobiegającą ponownemu zakażeniu. A wirus nadal atakuje, ponieważ poprawka nie została
zainstalowana na wszystkich potencjalnie zagrożonych maszynach!
Mamy łatę – i co z tego?
Obecnie dystrybucja łat i poprawek odbywa się zwykle przy pomocy „sieci tenisówkowej” (bierzemy
administratora w miękkich butach, który chodzi od komputera do komputera i instaluje...). Wielu
administratorów systemów polega jedynie na własnej pamięci i orientacji, nie jest to jednak najlepszy
mechanizm.
Według Steve’a Ulfeldera z Network World Fusion, „wielu administratorów sieci polega przede
wszystkim na własnej pamięci jeśli chodzi o łatanie luk w zabezpieczeniach i instaluje odpowiednie
poprawki na bieżąco. Ale w ciągu ostatnich dwóch lat stopień skomplikowania systemów i liczba łat
do zainstalowania uczyniła to podejście nieefektywnym.”
Pomimo wcześniejszej dostępności odpowiednich poprawek wirusy SQL Slammer czy Blaster były
w stanie rozpętać sieciowe piekło. Zresztą nawet sam mechanizm publikowania łat sprawia problemy
dla działu IT – trzeba stale śledzić pojawiające się informacje o lukach w zabezpieczeniach, badać
związane z nimi problemy, uzyskiwać, testować i wdrażać odpowiednie poprawki w firmowej sieci.
Choćby w odniesieniu do samego systemu Windows jest to bardzo poważne zadanie. W raporcie
Forrester Research z lutego 2004 r. „Best Practices: Desktop Security” czytamy: „Rosnąca liczba
wirusów, robaków i innych form ataku zagraża bezpieczeństwu systemów desktopowych. To
olbrzymie zagrożenie, w połączeniu z potrzebą zarządzania zdalnymi lokalizacjami czy oddziałami,
sprawia że dział IT w firmie jest pod ciągłą presją rozwijania i wdrażania standardowych procedur
zabezpieczeń systemów. Zdalni lub mobilni pracownicy są dodatkowym zagrożeniem,
ale zapewnienie im odpowiedniego dostępu jest krytyczne z biznesowego punktu widzenia. Koszt
rozwiązania jednego incydentu w przypadku braku takich standardowych procedur i reguł
postępowania wobec wirusów, poprawek czy zarządzania konfiguracją może być bardzo wysoki.
Pewna firma, posiadająca 5.000 stacji roboczych, stwierdziła, że opanowanie infekcji wirusa Blaster
kosztowało ją 900 tys. USD. Regulacje prawne i inne normy również mogą wiązać się z problemami
dotyczącymi zabezpieczeń, w takich dziedzinach jak ochrona zdrowia, sektor rządowy czy
finansowy”.
Spróbujmy oszacować te obciążenia. Przyjmijmy, że zarządzamy sporą siecią, liczącą 10 serwerów
i 1.000 stacji. Załóżmy (dość konserwatywnie) konieczność instalowania 2 łat tygodniowo na tych
wszystkich systemach, co daje 404 instalacje i restarty systemów dziennie. Przyjmując, że taka
instalacja wraz z restartem systemu zajmie średnio tylko 10 minut, otrzymujemy 67 godzin i 20 min.
spędzone codziennie przez delegowanych administratorów na instalacji łat i poprawek (czyli
pełnoetatowe zatrudnienie dla ponad 8 osób!). Nic dziwnego, że wiele systemów nie jest
w odpowiedni sposób zabezpieczone i na bieżąco uaktualniane.
Jak widać największym problemem jest dostarczenie odpowiednich poprawek do wszystkich
zarządzanych systemów na czas (czyli jak najszybciej), oraz rejestrowanie tego, które łaty zostały
dostarczone i zainstalowane na których systemach. W dużej sieci nie da się tego po prostu zrobić
ręcznie. Koszty i zagrożenia wiążące się z takim podejściem byłyby zbyt duże.
ZENworks Patch Management
ZENworks Patch Management wspomaga administratora w wykrywaniu zagrożeń, ściąganiu od
producentów łat i poprawek oraz instalowaniu ich na zarządzanych systemach. Wdrożenie bądź nie
jakiejś poprawki jest teraz wyłącznie kwestią świadomej decyzji administratora. ZENworks Patch
Management automatyzuje ten proces przez dostarczanie administratorowi informacji o wykrytych
lukach, ściąganie łat i poprawek oraz instalacje odpowiedniego kodu na wskazanych stacjach
i serwerach. Efektem ostatecznym jest oszczędność czasu administratorów oraz zagwarantowanie
bezpieczeństwa systemów, co można bezpośrednio przełożyć na redukcję kosztów IT.
ZENworks Patch Management, licencjonowany przez Novella od firmy PatchLink, składa się
z 2 komponentów: serwera (PatchLink Update Server) oraz agenta (PatchLink Update Agent).
Komponenty serwerowe możemy zainstalować na serwerze Windows 2000 lub 2003, agentów
w odpowiedniej wersji instalujemy na wszystkich zarządzanych maszynach. Można przy tym
wykorzystać dostarczane w ramach ZENworks mechanizmy sieciowej dystrybucji aplikacji lub użyć
wbudowanych w ZENworks Patch Management mechanizmów dystrybucji w środowisku Active
Directory. Dostarczane łaty i poprawki obejmują nie tylko systemy Windows czy NetWare, ale także
aplikacje od innych producentów, na przykład systemy antywirusowe.
Pierwszym krokiem po instalacji agenta na stacji lub serwerze jest analiza konfiguracji
zainstalowanego systemu operacyjnego oraz zinwentaryzowanie już zainstalowanych i brakujących
łat, dokonywane przy zastosowaniu oczekującej na opatentowanie przez PatchLink technologii (Patch
Fingerprinting). Zebrane informacje są przesyłane do serwera zarządzającego i gromadzone w bazie
danych. Na tej podstawie określana jest lista koniecznych i zalecanych dla danego systemu poprawek.
Po wykryciu luk w systemie ZENworks Patch Management umożliwia automatyzację procedury
wyszukania poprawek i ich instalacji, w zależności od wykrytego poziomu zagrożenia. Wymagane
łaty mogą być dostarczane do systemów i instalowane całkowicie automatycznie. Można również
ustalić minimalny zestaw koniecznych łatek, w zależności od wersji systemu i zainstalowanych
aplikacji. ZENworks gwarantuje też, że każdy system o określonej konfiguracji otrzyma wszystkie
konieczne poprawki. Dzięki temu nawet nowe maszyny, pojawiające się w sieci będą chronione od
początku ich sieciowej egzystencji. Ponieważ agent stale monitoruje system, w razie zainstalowania na
nim nowej aplikacji można od razu – automatycznie – sprawdzić jej status i zastosować konieczne
łatki.
Proste zarządzanie
ZENworks Patch Management jest zarządzany przy pomocy przeglądarkowego interfejsu
administratora. Punktem wyjścia jest strona domowa lokalnego serwera Patch Management
(Rysunek 1).
Rysunek 1: Strona domowa lokalnego serwera Patch Management
W przewijającym się oknie wyświetlane są dostarczane automatycznie przez Internet informacje
o nowo odkrytych zagrożeniach, na bieżąco uaktualniane dzięki systemowi subskrypcji. Częścią
strony domowej jest również diagram obrazujący graficznie stan „połatania” wszystkich zarządzanych
systemów.
Kolejne czynności administracyjne i konfiguracyjne wykonujemy przy pomocy odpowiednich
zakładek. Jedną z nich są raporty (Reports). Możemy albo obejrzeć wszystkie łatki i poprawki
dostępne dla wszystkich systemów stwierdzonych w firmie, albo dotyczące wybranego, konkretnego
komputera. Co ważne, nie są wyświetlane łatki do tych wersji systemów czy aplikacji, których nie
stwierdzono podczas inwentaryzacji systemów (Rysunek 2).
Rysunek 2: W raportach nie są wyświetlane łatki do tych wersji systemów czy aplikacji, których nie
stwierdzono podczas inwentaryzacji systemów.
Każdy z raportów zawiera bardziej szczegółowy opis zagrożenia, jego wagę dla bezpieczeństwa sieci,
listę programów, które wymagają łatki i wreszcie liczbę systemów w naszej sieci, które wymagają
interwencji. Podany jest również odnośnik do biuletynu informacyjnego producenta systemu czy
aplikacji i wreszcie ocena problemu przez firmę PatchLink. Każda z poprawek jest testowana
i weryfikowana przed dostarczeniem jej do instalacji w ramach mechanizmu subskrypcji (Rysunek 3).
Rysunek 3. Każda z poprawek jest testowana i weryfikowana przed dostarczeniem jej do instalacji
w ramach mechanizmu subskrypcji.
Do wszystkich, którzy powinni o tym wiedzieć
Główną zaletą rozwiązań ZENworks jest upraszczanie zarządzania systemami IT w oparciu o reguły
i automatyczne wykonywanie powtarzalnych czynności. W ramach mechanizmu ZENworks Patch
Management możemy ustalić dla wszystkich grup maszyn listy wymaganych łat (Mandatory
Baseline). Wtedy, na przykład, wszystkie komputery z Windows XP, także nowe, dodawane do sieci
(pod warunkiem instalacji na nich agenta Patch Management), będą automatycznie otrzymywać
konieczne poprawki (Rysunek 4).
Rysunek 4. W ramach mechanizmu ZENworks Patch Management możemy ustalić dla wszystkich grup
maszyn listy wymaganych łat (Mandatory Baseline).
Do zarządzania grupami komputerów służy odpowiednia zakładka interfejsu administratora (Groups).
Oprócz wbudowanego zestawu grup, wydzielonych według systemów operacyjnych, możemy tworzyć
nowe, wskazując maszyny, które mają należeć do danej grupy i ustalając dla niej minimalny zestaw
wymaganych łat. Na przykład jedną z systemowych grup jest grupa WinXP – wszystkie stacje, na
których zainstalowano ten system automatycznie zostają włączone do tej grupy, w momencie gdy
zainstalowany na nich agent po raz pierwszy skomunikuje się z serwerem. Wybierając zakładkę
Mandatory Baseline możemy ustalić minimalną listę wymaganych dla Windows XP poprawek.
Jeśli dodamy jakieś nowe elementy do tej listy, ZENworks Patch Management automatycznie
sprawdza wszystkie należące do grupy systemy i weryfikuje, czy odpowiednia łatka jest
zainstalowana. Jeśli nie jest – rozpoczyna się proces dostarczania i instalacji na niezgodnych z
minimalnymi wymaganiami systemach (Rysunek 5).
Rysunek 5. ZENworks Patch Management automatycznie sprawdza wszystkie należące do grupy
systemy i weryfikuje, czy odpowiednia łatka jest zainstalowana.
Zawsze na bieżąco
Gdy już mamy skonfigurowany i uruchomiony mechanizm wykrywania luk i wdrażania poprawek,
ZENworks Patch Management pozwala nam być zawsze na bieżąco z aktualnymi łatami. Lokalny
serwer uaktualnień komunikuje się regularnie z serwerami subskrypcyjnymi firmy PatchLink i pobiera
informacje o wszystkich dostępnych nowych poprawkach oraz te z nich, które trzeba zainstalować
w naszej sieci. Po uzyskaniu informacji o nowej luce w zabezpieczeniach i odpowiedniej dla niej łacie
PatchLink testuje i weryfikuje każdą poprawkę. Dopiero po pomyślnym zakończeniu testów
odpowiednie raporty i pliki są udostępniane użytkownikom programu.
Po otrzymaniu przez nasz lokalny serwer informacji o nowej poprawce administrator otrzymuje
informację e-mailem lub na konsoli zarządzającej i może podjąć decyzję o jej wdrożeniu w firmowym
środowisku informatycznym. Wystarczy tylko przypisać dystrybucję łaty do odpowiednich grup
komputerów, a automatyczne mechanizmy ZENworks Patch Management zajmą się resztą.
Zabezpieczenia transmisji
Aby zagwarantować, że wszystkie dostarczane przez mechanizm subskrypcji łaty i poprawki
pochodzą z zaufanego źródła, wszelka komunikacja lokalnego serwera poprawek z serwerami
PatchLink oraz agentów z lokalnym serwerem jest szyfrowana i podpisywana cyfrowo. Dzięki temu
możemy mieć pewność, że poprawki podczas swej drogi przez Internet czy sieć lokalną nie ulegną
nieuprawnionym modyfikacjom i będą w niezmienionej postaci instalowane na wskazanych
systemach.
Artykuł na podstawie tekstu z miesięcznika Novell Connection (maj/czerwiec 2004 r.)