web-dev-qa-db-ja.com

セキュリティパッチがビジネスアプリケーションを破壊する頻度

セキュリティパッチの信頼性に関する統計はありますか?回収または修正された割合など?

コンピュータを安全に保つには、セキュリティパッチを適用する必要があります。ハッカーが脆弱性について知らされてきたため、パッチが利用可能になってからパッチをインストールするまでの期間は、妥協のリスクが高まります。したがって、セキュリティのみが懸念される場合は、すべてのセキュリティパッチをインストールし、できるだけ早くインストールする必要があります。

それでも、セキュリティパッチをインストールしない専門家の(システムの管理者は報酬を支払うという意味で)セキュリティパッチをインストールしないことを知っています。

彼らを愚か者として非難するのは簡単だ。しかし、より微妙な分析では、彼らの仕事は単にコンピュータシステムを安全に保つためのではないと指摘しています。システムには実行すべきビジネスタスクがあり、セキュリティ違反は、心配する必要があるいくつかの障害の1つにすぎません。合理的なアプローチでは、各障害モードのコスト、障害に対する保護のコスト、および発生の可能性が考慮されます。パッチをインストールしないことは、状況によっては、少なくとも理論的には合理的な決定となる場合があります。より合理的には、問題があるかどうかを確認するのを待っている間にパッチのインストールを遅らせることは、より多くの状況で合理的である可能性があります。

ただし、そのような決定が合理的であるためには、セキュリティパッチがビジネスアプリケーションを破壊する可能性を知っており、適度に高い必要があります。そうでなければ、与えられた理由は怠惰の言い訳です。

オペレーティングシステムのコンポーネントまたはフレームワーク(Webサーバーなど)のセキュリティパッチが、そのプラットフォームで実行されているビジネスアプリケーションを破壊する可能性はどれくらいありますか。 パッチが何かを壊す可能性についての統計はありますか?

現在、期待ゲインの数学的な計算を実際に行う人はおらず、相対リスクに関する直観に基づいて操作しています。システム管理者は、パッチがシステムを破壊する可能性について、直感に欠陥があると思います。ビジネスアプリケーションのプログラマーとして、ベンダによって合理的にテストされたオペレーティングシステムコンポーネントまたはフレームワークへのパッチがアプリケーションを不正に作成し、他のビジネスリスクをもたらすエラーでだまされない限り、アプリケーションを破壊できるとは思えません。とにかく。しかし、欠陥のあるパッチに関するなんらかの統計なしに、このような欠陥のある直観をどのようにして修正できるでしょうか?リコールまたは修正されたパッチの割合など?

patchingbusiness-risk
7
Raedwald

同じ場所で行われるより合理的なアプローチは、更新を完全に回避することではなく、適用する前に遅延してテストすることです。 Microsoft、Apple、Mozillaなどの大規模な組織は、過去のレンダリングデバイスやソフトウェアが使用できなくなったり、プロキシやファイアウォールなどの背後で使用できなくなったりして、不適切な更新を行ってきました。更新をしばらく遅らせて、リリース直後にポップアップ表示される問題があります。次に、重要なシステムにアップデートを適用して、ローカル環境の問題をチェックしてから、より広範囲に展開します。

1
Ben

パッチ適用戦略は、企業のリスク評価の一部です。特定のケースは、「セキュリティパッチを適用しない」から「セキュリティパッチがリリースされたらすぐに適用する」までの範囲があります。

あなたが説明する問題はよく知られており、非常に広まっています。パッチを適用しないこと(セキュリティなど)は、多かれ少なかれ合理的な理由(ダウンタイムの回避、破損の回避、「複雑すぎる」など)によって説明されます。問題を解決するのは、会社の情報セキュリティ担当者次第です。正しい結果の1つは、「パッチを適用しない」かもしれません。

問題をテーブルに載せるそしてポリシーを通じてそれを形式化するはすべての人に役立ちます。セキュリティ担当者は満足しており、管理者は お尻カバー 事態が南下した場合の活動をバックアップするポリシーにより、内部監査は別のチェックマークにチェックマークを付けることができ、最終的に会社はその恩恵を受けることになります。

もちろんご質問にお答えすることはできません。あなたはそれがどれほどひどかったという恐ろしい話を持っているかもしれません、私にあなたに私を与えます(ネタバレ:ハッピーエンド):非常に大きな会社で〜12年前にITがサービス会社に外部委託されました。この会社は、パッチ管理システムをインストールし、それを無効にするのを忘れていました。 40,000台のWindowsマシンがその場で更新され、数年前のパッチが使用されました。他のいくつかのソフトウェアもアップデートを必要としたため、1日の緊張があり、その後すべてがうまくいきました。 YMMV。

0
WoJ