Comments 17
Во всех местах где я работал тоже не было отдельных людей по ИБ. Мне интересно даже уднать, что они делают? За безопасность всего кода, серверного, БД, клиентских скриптов отвечали программисты и это как-то логично, не будут же мои код тотально пересматривать и переписываиь, а если ут, то зачем тогда программисты? Если за систему, то это администраторы, тогда зачем они нудны, если есть безопасники?
В нашем распоряжении 500+ Linux-серверов. У каждого сервера есть своё расписание патчинга (первый вторник месяца в 21:00, третья среда месяца в 15:00 и т.д.) и патчится он может максимум раз в месяц.
В начале месяца мы формируем патчинг-репорт для каждого сервера примерно такого вида (кастомными python-скриптами):
raw.githubusercontent.com/4815162342lost/linux_patching_prepare_steps_automation/master/screenshots/Screenshot%20from%202017-07-10%2000-00-44.png
raw.githubusercontent.com/4815162342lost/linux_patching_prepare_steps_automation/master/screenshots/Screenshot%20from%202017-07-10%2000-01-02.png
И если у сервера есть хотя бы 1 патч, то он будет патчится в этом месяце. Если нет — то подождёт следующего.
После сбора патчинг-листа и формирования списка серверов для патчинга начинается патчинг. И выполняется он полностью руками…
Но, что самое интересное: все 'потенциально-опасные' пакеты исключаются из патчинга. Например, если на сервере база данных Oracle или любое другие приложение, использующее java, java сразу заносится в эксклуды и не обновляется никогда. Если это веб-сервер, то httpd, nod*, nginx сразу заносятся в эксклуды. Если python-приложение — то python; mysql и т.д. Хотя мы каждый раз создаём снепшоты и хранятся они аж две недели. И ещё почти все серверы у нас CentOS\RHEL, где в принципе шанс что-то сломать крайне мал, т.к. дистрибутив крайне консервативный. Сделано это для того, чтобы заказчик не пришёл к нам с претензиями, что после нашего патчинга у него поломалось приложение. Естественно, при таких условиях ни о какой безопасности речи не идёт.
Со Spectre\Meltdown ситуация вышла забавной. Сначала патчинг полностью саморозили на 2 месяца. На третий месяц разрешили патчить тестовые серверы. Примерно через пол года подошли к prod. Через 9 месяцев, наконец-то, разрешили патчить все серверы… И знаете почему? Потому что 'а если упадёт производительность, что мы будем делать?'. Аргументы типа 'патчи отключаемые, мы можем загрузиться на старое ядро, восстановится со снепшота' для них не являлись аргументами. Кроме того, у заказчик свободных ресурсов очень и очень много, почти на каждом сервере load avg 0.05 или меньше, CPU utilization 3-10% максимум… (у нас свои серверы в DC, о ресурсах никто не заботится, всё железо просто простаивает). Риски были мизерными.
И да, у нас тоже есть отдельная команда для патчинга. Которым занимается менеджер, не имеющий никакого отношения к IT.
А знаете, кто принял решение о заморозке патчинга? и в целом, кто выстроил такой процесс? Наши любимые тим. лиды, проблем-менеджеры и менеджеры со стороны заказчика. Да, у нас очень много менеджеров. И знаете, что их всех объединяет? То, что они мало что понимают в IT и не смогу даже залогинтсья в консоли. А ещё их объединяет то, что именно они принимают все важные решения. И они отвечают за безопасность. И никто на них не может повлиять.
Поэтому в моём случае проблема в другом. Проблема в некомпетентных людях, занимающие руководящие должности в IT.
Вот.
Если они занимают такие посты в ит компаниях, значит это работает. По крайней мере пока. Да, потом наверняка будут проблемы, но так построены процессы к сожалению везде и всегда — "если жонглирующий костыляэми слон на моноцикле работает, то пусть работает". А вы ничего с этим поделать не можете(ведь даже названия компании не называете, что логично, потому что еще и крайним можете оказаться), поэтому советую вспомнить свою зону ответственности и забыть про остальное, по крайней мере до подходящего случая, когда вы сможете что то изменить.
Если они занимают такие посты в ит компаниях, значит это работает.Вы ошибаетесь. Это не работает, то есть совершенно. Деградация состояния ИТ от работы таких менеджеров просто налицо и четко видна по факту. В менеджмент массово пришли люди совершенно не заинтересованные в том, что у них реально происходит в ИТ, но крайне заинтересованные в выработке правильного впечатления об их работе у руководства. Вот этим они и занимаются все рабочее время. «Поглаживание» с нужными людьми и театральные представления о собственной важности и компетентности (по факту отсутствующей). Еще они очень заинтересованы в личном успехе: дети в зарубежных школах, машины, квартиры, дачи, иногда прислуга; и любят и умеют выставлять все это напоказ. Все остальное вне их интересов.
По факту, с нашей стороны много менеджеров, со стороны заказчика много менеджеров. Главный смысл нашей работы (оутсорсинга) — сделать так, чтобы заказчик был удовлетворён. А кто наш заказчик? Кто является представителем? Правильно, такие же менеджеры, которые ничего не понимают в IT.
Они довольны в том случае (и платят много денег), если наши менеджеры (ничего не понимающие в IT) смогут убедить их в том, что мы всё делаем правильно. И если уважать мнение заказчика.
Для заказчика главное, чтобы всё работало. И он будет недоволен, если наш патчинг сломает ему приложение. Поэтому у нас патчинг не ломает приложения (т.к. много эксклудов на каждом сервере), и в целом есть патчинг-процесс. Менеджер (заказчик) доволен.
А если 'патчить по-правильному', то заказчик будет недоволен. Т.к. 'не по процессу', а ещё 'ваш патчинг сломал нам приложение'. И доказать ему ничего нельзя будет, т.к. он не понимает в IT.
Замкнутый круг…
2. Компания приносит прибыль своим владельцам
3. Никто кроме ограниченного и/или заинтересованного круга лиц не знает о состоянии ИБ
Все три условия выполняются, значит это рабочая схема. Я не говорю, что так должно быть, но такое встречается повсеместно. И пока петух не клюнет, ничего в этой компании не изменится.
В менеджмент массово пришли люди совершенно не заинтересованные в том, что у них реально происходит
Да не пришли они — всегда были. Это теплый ламповый Ой Ти пришел в наши жизни и существенно изменил правила игры. А эти самые менеджеры не привыкли менять парадигмы потому что так правильно, вот и живут по старым правилам. Сейчас ИТ все сильнее входит во все большее число сфер жизни, в этом и наше благословение — улучшение качества жизни, экономический рост, новые возможности; и проклятье — профессионалов с грамотным подходом к делу просто не хватает, а иногда их вытесняют дилетанты лишь благодаря экономии на таких вещах, как например, ИБ. И пока нажива на таких компаниях не станет скорее правилом, ничего не изменится. В государстве тут я надежды не вижу.
Не говоря уж о случающихся проблемах совместимости кода с обновлениями некоторых используемых сервисов/библиотек даже в пределах минорных версий. Обычно тогда скатывается до заморозки обновлений для этих сервисов, потому что времени на перепроверку (не говоря уж о корректировке) «уже сделанного» функционала никто не даёт.
— Слава богу, хоть что-то у нас в безопасности
А вот для бизнеса простои и проблемы из-за патчей несут прямой убыток, иногда очень значительный. Так что всё правильно делают. А некоторые патчи или обновления версия полезно выдерживать месяцами, если не годами (некоторые обновление СУБД или серверов приложений).
Не говоря уже о проблемах с оборудованием после установки апдейтов firmware (в этом случае не напрасно есть золотое правило: работает — не трогай).
Эта фраза выглядит высосанной из пальца. Если только нехватка 2 млн, то сколько всего их надо? 5? 10? К каждому админу по безопаснику? Проверил источник по ссылке, но нет, переведено правильно: «But the global shortage of cybersecurity professionals will reach 2 million by 2019, according to ISACA, a global non-profit IT advocacy group.»
Стоп, а что за ISACA? Погуглил. А… они же продают услуги по сертификации, обучению и консалтингу. Ну-ну.
На самом деле дефицит есть. Только дефицит не «безопасников с сертификатами», а дефицит средней компетентности в ИБ в ИТ. Этот дефицит не перекрыть отдельными cybersecurity professionals.
Исследование: половина компаний патчит уязвимости в течение месяца — почему?