web-dev-qa-db-ja.com

パッチ管理はどのくらい重要ですか?

問題

組織のパッチ/アップデート管理とアンチウイルス管理のアイデアを上司に売り込もうとしています。これまでのところ、私の提案には2つの回答がありました。

  1. まだ問題はありません(知っていることを追加します)
  2. それほど大きなリスクではないと私たちは考えています。

質問

このアイデアの販売に役立つリソースはありますか?

すべてのセキュリティ関連の問題の55〜85%は適切なウイルス対策とパッチ/アップデート管理によって解決できると言われましたが、私に言った個人は主張を立証できませんでした。それは実証できますか?

追加情報

私たちのコンピューターの1/5(建物にあるコンピューター)には、Windows Updateがデフォルトでオンになっていて、ウイルス対策がインストールされています。私たちのコンピューターの4/5は社外にあり、ユーザーは現在、ウイルス対策とWindowsの更新を完全に制御しています(これは問題であり、一度に1つのステップです)。

corporate-policyrisk-managementpatchingupdates
3
James Hill

主張は、Secuniaデータベースに対して成功したエクスプロイト率をチェックするか、最新の、たとえば100のセキュリティアドバイザリをチェックすることによって実証できます Microsoft TechNet (管理loves Microsoftソース:-))またはeg S-CERT

エクスプロイトが発生した時点でが判明している何かのエクスプロイトが存在する場合、それはパッチ適用によって回避されたであろう脆弱性です。

任意のコンピューターに Secunia Personal をインストールすると、非常に効果的な表示を行うことができます。

あなたはほぼ確実に(私はあなたをからかっていません!)いくつかの脆弱性を見つけます:

  • これは、巧妙に細工された電子メールによって悪用される可能性があります。 つまり受信するすべてのメールにエクスプロイトが含まれる可能性があります
  • リモートで悪用される可能性があります。 つまり、そのラップトップをホテルのWiFiに接続します。近くの部屋(海外でのワークショップの場合、多くの場合、同僚や競合他社)がラップトップを手に入れることができます。たぶんそれらはしない。しかし、それらはできました
  • サーバーでリモートから悪用される可能性があります。 つまり:あなたのウェブサイトは既にyoursでなくなっているかもしれません。プライベートエリアがあり、営業担当者にとって機密文書である可能性がある場合...「クラッカーがこの情報を落札者に漏らした場合、どうしますか?」.

リモートの認証されていない攻撃者が脆弱なシステム上で任意のコードを実行することを許可する脆弱性が彼らのビジネスに何を意味するかを正確に説明します。

4
LSerni

セキュリティの脆弱性を解決するには、パッチ管理が重要です。これらの脆弱性の多くに対して既知のエクスプロイトがリリースされており、攻撃者はこれらのホールを使用してコンピューターに侵入できます。多くの場合、アンチウイルスはそれをキャッチすることはありません。

危険は、パッチがすでにリリースされていることです。つまり、攻撃者は、パッチが適用されていないマシンの何が問題かを正確に知っています。パッチを当てないのは、玄関のドアのキーをウェルカムマットの下に置いておくようなものです。確かに、問題があることを知らないかもしれませんが、問題があったことをどれだけ知っているでしょうか。

リスクを確認したい場合は、 Metasploit と呼ばれるソフトウェアがあり、これはこの種のことだけに使用されます。公開済みの脆弱性を利用するために、事前に構築されたエクスプロイトの大規模なライブラリが含まれています。それは非常に堅牢な無料版を持っています。

代表的なマシンでMetasploitスキャナーを実行して脆弱性を特定し、エクスプロイトを実行します。 AVがキャッチするかどうかを確認します。おそらく、マシンをかなり迅速に簡単に悪用できるようになるでしょう。攻撃者は、ネットワークに接続したり、Wi-Fiをクラックして同じことをしたり、Webサイトのブラウザーを悪用してMetasploitを使用したり、1台のマシンを他のマシンの起動パッドとして使用したりすることができます。

私はサードパーティベンダーに、彼らが使用していた同じバージョンのWindowsを実行しているマシンを危険にさらすためにMetasploitを使用している誰かのYouTubeビデオを見せることで、彼らのWindowsマシンにパッチを当てるよう説得することに成功しました。

パッチは低コスト(おそらく「無料」)であり、侵害の可能性を大幅に下げることができます。これは非常に簡単なリスク計算であり、あなたが直面する抵抗は恐怖に基づいています。パッチを適用しないことを、問題から隠すよりも恐れさせます。

2
schroeder

パッチ管理がすべてのIT監査者のリストの上位にあり、頻繁にチェックされることがわかります。システムにパッチを適用しないと、攻撃者の覗き見に対して脆弱になります。パッチを適用する必要がありますが、本番環境に移行する前にテストする必要もあります。一般的に必要な唯一の必須パッチは、セキュリティパッチです。システムがLANのみか、またはWANアクセス可能かどうかに関係なく(WANを優先する必要があります)。

これで、「リスクは何ですか?以前にそのような問題は発生していません!」と言うことができます。一部の国では、個人情報が漏洩した違反があり、環境を保護するための適切な対策を講じていなかったことが示されている場合(パッチ管理がその1つである)、会社は違反に対して法的責任を問われる場合があります。来年以降のヨーロッパでは、新しいデータ保護法により、この個人情報の保存方法に関するポリシーを作成する上司がpersonallyこれについて責任を負います。

1
Lucas Kauffman