uksus Jul 20 2022 at 13:39

Хватит создавать хрупкие инфраструктуры

9 min

9.4K

Angara Security corporate blogIT Infrastructure*

Comments 22

DrPass Jul 20 2022 at 14:23

Если мы говорим про корпоративную среду, то «работает — не трогай», это больше применимо в отношении новых версий софта или обновлений функциональности. В отношении обновлений безопасности это вообще хреновая идея. Особенно в свете того, что после выхода обновлений безопасности определённые лица разбирают их вдоль и поперёк, выясняя, что именно они там закрывали, и риск появления соответствующих эксплойтов возрастает многократно.

dvserg Jul 20 2022 at 14:27

Да, любые новшества/обновления - это палка о двух концах. Достаточно вспомнить проблемы с принтерами в обновлениях MS. Поэтому актуален вопрос тестирования работы обновлений перед их развертыванием на всю инфраструктуру.

UFO just landed and posted this here

NAI Jul 20 2022 at 16:53

Это вы еще в "промышленность" не заглядывали - когда какой-ндь софт сертифицирован только под XP\2008\2012, куплен в те же времена, а деньги выделены только на модернизацию оборудования.

edo1h Jul 20 2022 at 16:58

В одном из них CI/CD, инфраструктура как код, виртуализация и лямбды, Packer, Docker и автоскейлинг

это в обоих мирах есть

в другом всё ещё стоит вопрос нужно ли обновляться

и это тоже в обоих мирах

HappyGroundhog Jul 20 2022 at 14:37

Беда с современным апдейтами MS в том, что они кумулятивные. И часто приходится стоять перед выбором «Откатить кривой апдейт одного функционала и заодно с ним снова оставить дыру в другом» или «Жить с глюками, зато другой сервис успешно запатчен»…
Но обновляться вовремя надо всегда, иначе «Вы всё еще не апдейтитесь? Тогда мы идем к вам!»

uksus Jul 20 2022 at 17:19

Может у вас есть какой-нибудь пример такого "глюка"? Также интересно, было ли это критично для сервиса или инфраструктуры?

HappyGroundhog Jul 20 2022 at 18:21

Насколько я помню, такое было с закрытием «PrintNightmare». Правда в том случае был выбор в виде закрытой уязвимости, но неработающей в некоторых случаях печати или оставшейся уязвимости, но нормальной печати.

Я уже отошел от поддержки сети, сужу скорее по обсуждениям в профильных чатиках.

DrPass Jul 20 2022 at 19:20

У меня был реально критичный случай, когда апдейт убил Cisco VPN Client

DikSoft Jul 20 2022 at 14:48

(на момент публикации видео по новым обновлениям не выходили несколько месяцев. Но я не теряю надежды, что они вернутся).

Тёма Синицын больше не работает в Майкрософт. Офис распущен. Увы. Но вроде как вебинары обещали оставить.

uksus Jul 20 2022 at 17:12

Вы меня прям расстроили. Очень жаль. Очень полезный был вебинар.

valmont2k Jul 23 2022 at 15:41

Да? А что случилось?

DikSoft Jul 23 2022 at 15:42

Российский офис Майкрософт прекратил работу после начала войны. Похоже, что весь.

Roum15 Jul 20 2022 at 15:10

"Обновление - это источник и решение проблем ПО"

EvgeniyNuAfanasievich Jul 20 2022 at 15:45

Можете посоветовать какой-нибудь бесплатный или условно бесплатный сканер уязвимостей в Win\Lin ? Кроме nmap во всяких разных обертках ...

uksus Jul 20 2022 at 17:14

Nessus, OpenVAS.

EvgeniyNuAfanasievich Jul 21 2022 at 09:07

спасибо. попробую. Имелось ввиду что ищем уязвимости в хостах Windows\Linux не принципиально с какой платформы сканер работать будет (написал как смог, вышло неточно).

Ul3ainee Jul 20 2022 at 18:11

Для Linux могу посоветовать Lynis от Cisofy.com. Но это про сканирование и hardening «изнутри» (хотя можно и автоматизировать тем же Ansible/Chef/etc.).

EvgeniyNuAfanasievich Jul 21 2022 at 09:20

вот я хотел бы чето универсальное, что по сетке гуляет и потом отчет к обеду: что где и сколько дыр...

drdead Jul 21 2022 at 02:10

Но если сравнивать с ушедшими от нас серверными ОС (Windows 2003/2008), то процесс явно стал быстрее (в качестве измерительных приборов использовались мои личные ощущения и ощущения моих коллег. В минутах не скажу, не сравнивал).

Работал с Windows Server 2003 до 2022. К сожалению мои ощущения не совпадают с вашими: WS 2016 ОЧЕНЬ заметно медленнее патчится по сравнению с 2012 R2 (которая сама вполне на уровне 2008 R2 и 2012). На виртуалках одинаковой конфигурации 2012 R2 патчится за ~10 минут, а 2016 - 20-30. В 2019 хотя бы чуток перелопатили CBS, да и дельты до сих пор есть, так что оно ближе с 2012 R2 стало, но всё равно медленнее.

uksus Jul 21 2022 at 16:04

Тоже сталкивались с тем, что какие-то обновления очень долго вставали на 2016/19.
Когда мы начинали внедрять установку обновлений, то в парке имелось большое количество старых серверных ОС, которые потом заменялись на новые. Таким образом мы с коллегами могли сравнить время установки со старыми ОС, и когда их практически не осталось. По нашим субъективным мнениям, новые патчились быстрее.

Но тут конечно много факторов. От железа до серверных ролей.

navion Sep 29 2023 at 18:56

Для мониторинга багов в обновления Microsoft есть Patch Tuesday Megathread, это даже лучше вебинара Синицына с унылым перечислением номер CVE без каких-либо технических деталей.